Noong Marso 2022, ang cryptocurrency network Ronin nagsiwalat na naging biktima ito ng isa sa pinakamalaking hack sa lahat ng panahon, na dumanas ng paglabag na nagpapahintulot sa mga umaatake na nagnakaw ng higit sa $540 milyon halaga ng Ethereum at USD na mga barya. Nakita ng insidente na sinasamantala ng mga hacker ang isang kahinaan sa isang serbisyo na kilala bilang Ronin Bridge. Isa ito sa maraming matagumpay na pag-atake sa "mga tulay na blockchain" kamakailan na nakakuha ng pansin sa kanilang likas na kawalan ng kakayahan sa seguridad.
Blockchain bridges, minsan tinatawag na network bridges, ay mga serbisyong ginagawang posible para sa mga may hawak ng crypto na ilipat ang kanilang mga digital asset mula sa isang blockchain patungo sa isa pa. Nagbibigay ang mga ito ng isang mahalagang papel, dahil ang mga cryptocurrencies ay madalas na siled at walang interoperability, ibig sabihin maaari kang magpadala ng Bitcoin sa isang Ethereum wallet address, halimbawa. Dahil sa ganitong siled nature, ang mga tulay ay lumitaw bilang isang pangunahing mekanismo sa loob ng crypto economy.
Ang mga serbisyo ng tulay ay hindi aktwal na naglilipat ng isang uri ng digital asset sa isa pang chain. Sa halip, ang ginagawa nila ay "i-wrap" ang mga token ng cryptocurrency upang ma-convert ang mga ito sa isang bagong asset sa kabilang chain. Kaya't kung ang isang user ay gustong i-bridge ang Bitcoin sa Solana, ang tulay ay mahalagang i-freeze ang orihinal na BTC sa pamamagitan ng pag-lock nito sa isang wallet address, bago iluwa ang tinatawag na balot na BTC (WBTC) na maaaring magamit sa pangalawang chain. Maaari itong isipin bilang isang uri ng gift card na nagbibigay ng eksaktong parehong halaga ng pera, na magagamit lamang sa isang partikular na tindahan.
Dahil sa paraan ng kanilang pagtatrabaho, ang mga tulay ay may hawak na malalaking reserba ng mga token ng cryptocurrency na naka-lock sa mga matalinong kontrata, at ang mga reserbang iyon ay ginagawang mas kaakit-akit sa mga hacker.
Tulad ng alam ng mga crypto stalwarts, ang anumang halaga na hawak sa chain ay napapailalim sa pag-atake anumang oras ng araw. Ang internet ay hindi kailanman napupunta offline, ibig sabihin ang mga token na hawak ng anumang tulay ay palaging maa-access.
Ronin Hack Ipinapakita Ang Panganib Ng Sentralisasyon
Isa itong napaka-sentralisadong setup na nagresulta sa desisyon ng Axie Dao na mag-set up ng walang gas na RPC node noong Nobyembre 2021 upang subukan at ayusin ang pagsisikip ng network. Pinahintulutan ng DAO ang Sky Mavis key upang pumirma ng mga transaksyon sa ngalan nito. Pansamantalang pagsasaayos lang sana ito, ngunit hindi kailanman binawi ang listahan ng payagan. Ito lumikha ng pambungad para sa mga umaatake – sinasabing ang Lazarus Group na itinataguyod ng North Korea – na gumamit ng mga diskarte sa social engineering upang ikompromiso ang apat na susi ni Sky Mavis. Pagkatapos ay natuklasan ng mga hacker ang isang kahinaan sa code ng RPC, na binibigyan ito ng kontrol ng ikalimang validator at pinapayagan itong gumawa ng ipinagbabawal na pag-alis.
Ang pangunahing isyu ay ang multi-signature system ni Ronin para sa pag-sign off sa mga transaksyon ay nakompromiso dahil sa kakulangan ng desentralisasyon. Inilalarawan nito ang kahinaan ng mga mekanismo ng seguridad kung saan ang karamihan ng pamamahala ay nakakonsentra sa mga kamay ng isang entity.
Nananatili ang Mga Kahinaan sa Smart Contract
Na-hack ang Qubit Bridge dahil sa sinasabing "logical error" sa loob ng code ng smart contract nito. Ang kahinaan ay nagbigay-daan sa hacker na manipulahin ang tulay gamit ang malisyosong data, upang ma-withdraw niya ang mga token ng BSC nang hindi nagdedeposito sa Ethereum. An autopsy ng pag-atake natagpuan na ang QBridge smart contract ay hindi na-verify nang maayos na ang kinakailangang halaga ng ETH ay naka-lock. Sa halip, ang hacker ay nakapagpakita ng pekeng patunay ng isang hindi umiiral na deposito.
Ang insidente ay nagsilbi upang i-highlight kung paano nananatiling isang patuloy na problema sa DeFi ang mga smart contract vulnerabilities, at lalo na para sa mga blockchain bridge. Ang karamihan sa mga bridge attack ay nagta-target ng mga bug sa mga smart contract, na mga automated na kontrata na self-execute kapag natugunan ang ilang partikular na kundisyon.
Ang Mga Tulay ay Susi Upang Palawakin ang Abot ng Crypto
Pagbuo ng Mas Mabuting Tulay
Ang magandang balita ay mayroong mga nasa industriya na kinikilala ang kahalagahan ng secure na koneksyon sa blockchain. Ang isang kapana-panabik na pag-asa ay AllianceBlock's lubos na nangangako AllianceBridge, na sumusuporta sa mga pangunahing network kabilang ang Ethereum, Binance Smart Chain, Avalanche, Polygon, Arbirtrum, Optimism at Energy Web na may natatanging imprastraktura na mas desentralisado at naghahatid ng mas mabilis at mas ligtas na pagganap.
Hindi tulad ng mga sentralisadong tulay, na umaasa sa isa o iilang entity lamang upang i-verify na ang mga transaksyon ay lehitimo, ang mga desentralisadong tulay ay nakabatay sa parehong mga prinsipyo tulad ng blockchain mismo. Mayroong maraming mga operator na gumagamit ng mahusay na structured consensus na mga mekanismo upang maitaguyod ang bisa ng mga transaksyon. Ang AllianceBridge ay isang desentralisadong tulay na nakabuo ng isang natatanging paraan upang matiyak na maabot ang pinagkasunduan.
Tulad ng iba, ni-lock ng AllianceBridge ang mga token na natatanggap nito sa isang matalinong kontrata at pagkatapos ay naglalabas ng mga nakabalot na token sa target na blockchain. Iiral ang mga nakabalot na token sa pangalawang chain hanggang sa oras na magpasya ang user na kunin ang mga ito sa orihinal na network. Sa puntong iyon, ang mga nakabalot na token ay sinusunog, ibig sabihin, ang mga ito ay hindi na umiiral, habang ang orihinal na mga token sa katutubong chain ay na-unlock.
Kung saan naiiba ang AllianceBridge ay gumagamit ito ng isang EVM-compatible na network ng mga operator ng tulay. Bilang karagdagan, ginagamit nito ang matatag, third-party Hedera Hashgraph Consensus Service na pinalakas ng isang makabagong "tsismis-ng-tsismis” algorithm ng pinagkasunduan.
Gamit ang serbisyo ng HCS, ang mga application at network ng blockchain ay maaaring magsumite ng mga mensahe sa pampublikong ledger ng Hedera, kung saan ang mga ito ay natatakpan ng oras at inutusan nang may ganap na transparency. Ginagawa nitong posible para sa AllianceBridge na maabot ang consensus nang hindi pinapanatili ang pag-synchronize sa pagitan ng mga bridge operator nito. Nangangahulugan ito ng mas mabilis na pagganap na may mataas na antas ng desentralisasyon, habang ang HCS ay nagbibigay ng karagdagang layer ng tiwala na ginagawang mas secure ang tulay.
Ang mga matalinong kontrata ng AllianceBridge, na ginagamit upang i-lock ang mga orihinal na asset at mint at magsunog ng mga nakabalot na token, ay nagbibigay ng higit na katiyakan. Ang buong smart contract codebase ay isinulat upang umayon sa EIP-2535 na pamantayan at naging ganap na sinuri ng Omniscia. Sa panahon ng pag-audit, itinuro ng Omniscia ang ilang potensyal na problema na agad na naayos ng AllianceBlock bago naging live ang code.
Ang seguridad at pagiging maaasahan ng AllianceBridge ay may mahalagang papel sa pagpapalawak ng utility ng hanay ng AllianceBlock ng mga handog na DeFi, kabilang ang DeFi Terminal, na nagbibigay ng madaling paraan para sa mga proyekto na maglunsad ng liquidity mining at staking campaign sa maraming sinusuportahang network at dApps. Gamit ang secure na blockchain interoperability protocol nito, ang AllianceBlock ay nagtatayo ng matatag na pundasyon na kailangan ng isang mayaman, magkakaugnay na Web3 ecosystem upang lumago at umunlad.
- Advertising -
Source: https://thecryptobasic.com/2022/09/21/web3-wont-go-mainstream-until-there-is-seamless-blockchain-integration-with-more-and-more-bridge-attacks-what-does-this-mean/?utm_source=rss&utm_medium=rss&utm_campaign=web3-wont-go-mainstream-until-there-is-seamless-blockchain-integration-with-more-and-more-bridge-attacks-what-does-this-mean