Ang Web3 ay Hindi Mapupunta sa Mainstream Hanggang May Walang Seamless na Pagsasama-sama ng Blockchain: Sa Parami Nang Parami Ng Bridge Attacks, Ano ang Ibig Sabihin Nito?

Noong Marso 2022, ang cryptocurrency network Ronin nagsiwalat na naging biktima ito ng isa sa pinakamalaking hack sa lahat ng panahon, na dumanas ng paglabag na nagpapahintulot sa mga umaatake na nagnakaw ng higit sa $540 milyon halaga ng Ethereum at USD na mga barya. Nakita ng insidente na sinasamantala ng mga hacker ang isang kahinaan sa isang serbisyo na kilala bilang Ronin Bridge. Isa ito sa maraming matagumpay na pag-atake sa "mga tulay na blockchain" kamakailan na nakakuha ng pansin sa kanilang likas na kawalan ng kakayahan sa seguridad.

Blockchain bridges, minsan tinatawag na network bridges, ay mga serbisyong ginagawang posible para sa mga may hawak ng crypto na ilipat ang kanilang mga digital asset mula sa isang blockchain patungo sa isa pa. Nagbibigay ang mga ito ng isang mahalagang papel, dahil ang mga cryptocurrencies ay madalas na siled at walang interoperability, ibig sabihin maaari kang magpadala ng Bitcoin sa isang Ethereum wallet address, halimbawa. Dahil sa ganitong siled nature, ang mga tulay ay lumitaw bilang isang pangunahing mekanismo sa loob ng crypto economy.

Ang mga serbisyo ng tulay ay hindi aktwal na naglilipat ng isang uri ng digital asset sa isa pang chain. Sa halip, ang ginagawa nila ay "i-wrap" ang mga token ng cryptocurrency upang ma-convert ang mga ito sa isang bagong asset sa kabilang chain. Kaya't kung ang isang user ay gustong i-bridge ang Bitcoin sa Solana, ang tulay ay mahalagang i-freeze ang orihinal na BTC sa pamamagitan ng pag-lock nito sa isang wallet address, bago iluwa ang tinatawag na balot na BTC (WBTC) na maaaring magamit sa pangalawang chain. Maaari itong isipin bilang isang uri ng gift card na nagbibigay ng eksaktong parehong halaga ng pera, na magagamit lamang sa isang partikular na tindahan.

Dahil sa paraan ng kanilang pagtatrabaho, ang mga tulay ay may hawak na malalaking reserba ng mga token ng cryptocurrency na naka-lock sa mga matalinong kontrata, at ang mga reserbang iyon ay ginagawang mas kaakit-akit sa mga hacker.

Tulad ng alam ng mga crypto stalwarts, ang anumang halaga na hawak sa chain ay napapailalim sa pag-atake anumang oras ng araw. Ang internet ay hindi kailanman napupunta offline, ibig sabihin ang mga token na hawak ng anumang tulay ay palaging maa-access.

Ronin Hack Ipinapakita Ang Panganib Ng Sentralisasyon

 Ang pag-atake sa Ronin Network ay isa sa pinakamalaking pagnanakaw sa DeFi sa mga tuntunin ng halaga ng dolyar. Ang Ronin ay isang Ethereum sidechain na nagbibigay-daan sa mas murang mga transaksyon sa mas mabilis na bilis kaysa sa pangunahing network. Ito ang napiling tulay para sa sikat na "play-to-earn" cryptocurrency game na Axie Infinity, ibig sabihin, patuloy itong nagpoproseso ng milyun-milyong dolyar sa crypto at stablecoins.

Ang Sidechains ay isang blockchain scaling solution na nangangailangan ng tulay upang kumonekta sa iba pang chain. Sa Ronin, nagagawa ng mga user na i-lock ang kanilang ETH at mint wrapped ETH sa mga alternatibong network. Ang mga transaksyon ay pinoproseso at inaprubahan sa pamamagitan ng isang Algoritmo ng pinagkasunduan ng Proof of Authority. Sa modelong ito, 5 sa 9 na validator ang dapat sumang-ayon sa isang transaksyon para makamit ang consensus. Gayunpaman, apat sa mga validator ni Ronin ang pinatatakbo ng isang kumpanya – si Sky Mavis, ang developer ng Ronin.

Isa itong napaka-sentralisadong setup na nagresulta sa desisyon ng Axie Dao na mag-set up ng walang gas na RPC node noong Nobyembre 2021 upang subukan at ayusin ang pagsisikip ng network. Pinahintulutan ng DAO ang Sky Mavis key upang pumirma ng mga transaksyon sa ngalan nito. Pansamantalang pagsasaayos lang sana ito, ngunit hindi kailanman binawi ang listahan ng payagan. Ito lumikha ng pambungad para sa mga umaatake – sinasabing ang Lazarus Group na itinataguyod ng North Korea – na gumamit ng mga diskarte sa social engineering upang ikompromiso ang apat na susi ni Sky Mavis. Pagkatapos ay natuklasan ng mga hacker ang isang kahinaan sa code ng RPC, na binibigyan ito ng kontrol ng ikalimang validator at pinapayagan itong gumawa ng ipinagbabawal na pag-alis.

Ang pangunahing isyu ay ang multi-signature system ni Ronin para sa pag-sign off sa mga transaksyon ay nakompromiso dahil sa kakulangan ng desentralisasyon. Inilalarawan nito ang kahinaan ng mga mekanismo ng seguridad kung saan ang karamihan ng pamamahala ay nakakonsentra sa mga kamay ng isang entity.

Nananatili ang Mga Kahinaan sa Smart Contract

 Ang Ronin hack ay hindi isang one-off, ngunit sa halip ay ang pinakabago sa isang serye ng mga high-profile na pag-atake sa mga blockchain bridge na nagresulta sa milyun-milyong dolyar na halaga ng pagkawala. Isang buwan bago nito, matagumpay na nakabawi ang mga umaatake sa humigit-kumulang $80 milyon na halaga ng Ethereum kasunod ng pag-atake sa Qubit Bridge.

Ito ay isang serbisyong pinapatakbo ng Qubit Finance platform, na nagbibigay-daan sa mga user na magpahiram at humiram ng mga digital na asset sa Ethereum at Binance Smart Chain network. Halimbawa, ginagawang posible na magdeposito ng ERC-20 token at makatanggap ng BEP-20 coin bilang kapalit, na maaaring magamit sa chain ng Binance.

Na-hack ang Qubit Bridge dahil sa sinasabing "logical error" sa loob ng code ng smart contract nito. Ang kahinaan ay nagbigay-daan sa hacker na manipulahin ang tulay gamit ang malisyosong data, upang ma-withdraw niya ang mga token ng BSC nang hindi nagdedeposito sa Ethereum. An autopsy ng pag-atake natagpuan na ang QBridge smart contract ay hindi na-verify nang maayos na ang kinakailangang halaga ng ETH ay naka-lock. Sa halip, ang hacker ay nakapagpakita ng pekeng patunay ng isang hindi umiiral na deposito.

Ang insidente ay nagsilbi upang i-highlight kung paano nananatiling isang patuloy na problema sa DeFi ang mga smart contract vulnerabilities, at lalo na para sa mga blockchain bridge. Ang karamihan sa mga bridge attack ay nagta-target ng mga bug sa mga smart contract, na mga automated na kontrata na self-execute kapag natugunan ang ilang partikular na kundisyon.

Ang Mga Tulay ay Susi Upang Palawakin ang Abot ng Crypto

 Ang mga Crypto platform ay napapailalim sa walang katapusang stream ng mga pag-atake mula nang magsimulang maging popular ang nascent na industriya. Ang mga tagasunod ng DeFi ay nagsasabi na maaari itong magbigay ng isang mas naa-access at patas na alternatibo sa mga tradisyunal na serbisyo sa pananalapi, ngunit habang ang espasyo ay umunlad ito ay sumailalim sa kung ano ang mahalagang pagsubok sa pamamagitan ng apoy. Ang mga pag-atake sa mga tulay ay naging karaniwan na gaya ng cryptocurrency exchange at DeFi protocol heists. Ang isyu ay ang mga tulay, tulad ng mga palitan at protocol, ay mga high-stakes na platform na nagtataglay ng napakalaking halaga at ang alinman sa mga ito ay maaaring masugatan sa mga bug sa kanilang pinagbabatayan na code.

Mayroong malawak na paniniwala na ang crypto at DeFi ay hindi makakamit ng malawakang pag-aampon nang walang wastong solusyon sa panganib ng mga pag-atake. Ang karamihan sa halaga ng mundo ay hawak ng mga namumuhunan sa institusyon, tulad ng mga investment bank at malalaking hedge fund. Ang ganitong mga organisasyon ay inuuna ang pagsunod at ang kaligtasan ng kanilang mga pondo kaysa sa anumang potensyal na kita na maaaring makuha. Kaya't ang DeFi at crypto ay malabong maging higit pa sa isang angkop na industriya ng pamumuhunan hanggang sa malutas ang mga problema sa seguridad nito.

Ang seguridad ng tulay ay may espesyal na kahalagahan. Ang siled na katangian ng mga blockchain ay isang matinding kapansanan na naglilimita sa potensyal na maabot ng anumang desentralisadong aplikasyon. Ang isang dApp na binuo sa Ethereum ay hindi maaaring makipag-usap sa iba batay sa iba't ibang mga blockchain. Hindi ito maaaring makipagtransaksyon sa Bitcoin, ang pinakamahalaga at malawakang ginagamit na cryptocurrency sa mundo, ibig sabihin, ang mga may hawak ng BTC ay walang paraan upang makipag-ugnayan sa DeFi ecosystem. Kung ang crypto ay magiging ubiquitous, ang mga user ay dapat magkaroon ng ligtas na paraan upang makipag-ugnayan sa iba't ibang chain.

Pagbuo ng Mas Mabuting Tulay

 Ang magandang balita ay mayroong mga nasa industriya na kinikilala ang kahalagahan ng secure na koneksyon sa blockchain. Ang isang kapana-panabik na pag-asa ay AllianceBlock's lubos na nangangako AllianceBridge, na sumusuporta sa mga pangunahing network kabilang ang Ethereum, Binance Smart Chain, Avalanche, Polygon, Arbirtrum, Optimism at Energy Web na may natatanging imprastraktura na mas desentralisado at naghahatid ng mas mabilis at mas ligtas na pagganap.

Hindi tulad ng mga sentralisadong tulay, na umaasa sa isa o iilang entity lamang upang i-verify na ang mga transaksyon ay lehitimo, ang mga desentralisadong tulay ay nakabatay sa parehong mga prinsipyo tulad ng blockchain mismo. Mayroong maraming mga operator na gumagamit ng mahusay na structured consensus na mga mekanismo upang maitaguyod ang bisa ng mga transaksyon. Ang AllianceBridge ay isang desentralisadong tulay na nakabuo ng isang natatanging paraan upang matiyak na maabot ang pinagkasunduan.

Tulad ng iba, ni-lock ng AllianceBridge ang mga token na natatanggap nito sa isang matalinong kontrata at pagkatapos ay naglalabas ng mga nakabalot na token sa target na blockchain. Iiral ang mga nakabalot na token sa pangalawang chain hanggang sa oras na magpasya ang user na kunin ang mga ito sa orihinal na network. Sa puntong iyon, ang mga nakabalot na token ay sinusunog, ibig sabihin, ang mga ito ay hindi na umiiral, habang ang orihinal na mga token sa katutubong chain ay na-unlock.

Kung saan naiiba ang AllianceBridge ay gumagamit ito ng isang EVM-compatible na network ng mga operator ng tulay. Bilang karagdagan, ginagamit nito ang matatag, third-party Hedera Hashgraph Consensus Service na pinalakas ng isang makabagong "tsismis-ng-tsismis” algorithm ng pinagkasunduan.

Gamit ang serbisyo ng HCS, ang mga application at network ng blockchain ay maaaring magsumite ng mga mensahe sa pampublikong ledger ng Hedera, kung saan ang mga ito ay natatakpan ng oras at inutusan nang may ganap na transparency. Ginagawa nitong posible para sa AllianceBridge na maabot ang consensus nang hindi pinapanatili ang pag-synchronize sa pagitan ng mga bridge operator nito. Nangangahulugan ito ng mas mabilis na pagganap na may mataas na antas ng desentralisasyon, habang ang HCS ay nagbibigay ng karagdagang layer ng tiwala na ginagawang mas secure ang tulay.

Ang mga matalinong kontrata ng AllianceBridge, na ginagamit upang i-lock ang mga orihinal na asset at mint at magsunog ng mga nakabalot na token, ay nagbibigay ng higit na katiyakan. Ang buong smart contract codebase ay isinulat upang umayon sa EIP-2535 na pamantayan at naging ganap na sinuri ng Omniscia. Sa panahon ng pag-audit, itinuro ng Omniscia ang ilang potensyal na problema na agad na naayos ng AllianceBlock bago naging live ang code.

Ang seguridad at pagiging maaasahan ng AllianceBridge ay may mahalagang papel sa pagpapalawak ng utility ng hanay ng AllianceBlock ng mga handog na DeFi, kabilang ang DeFi Terminal, na nagbibigay ng madaling paraan para sa mga proyekto na maglunsad ng liquidity mining at staking campaign sa maraming sinusuportahang network at dApps. Gamit ang secure na blockchain interoperability protocol nito, ang AllianceBlock ay nagtatayo ng matatag na pundasyon na kailangan ng isang mayaman, magkakaugnay na Web3 ecosystem upang lumago at umunlad.

- Advertising -