Web3 Tidak Akan Pergi Arus Perdana Sehingga Terdapat Penyepaduan Blockchain yang Lancar: Dengan Semakin Banyak Serangan Jambatan, Apakah Maksudnya?

Kembali pada Mac 2022, rangkaian mata wang kripto Ronin mendedahkan ia telah menjadi mangsa salah satu penggodaman terbesar sepanjang masa, mengalami pelanggaran yang membenarkan penyerang untuk mencuri lebih daripada $540 juta nilai syiling Ethereum dan USD. Insiden itu menyaksikan penggodam mengeksploitasi kelemahan dalam perkhidmatan yang dikenali sebagai Jambatan Ronin. Ia adalah salah satu daripada beberapa serangan yang berjaya ke atas "jambatan rantaian blok" baru-baru ini yang telah menarik perhatian kepada ketidakcekapan keselamatan yang wujud.

Jambatan rantaian blok, kadang-kadang dipanggil jambatan rangkaian, adalah perkhidmatan yang membolehkan pemegang kripto memindahkan aset digital mereka dari satu blok ke yang lain. Mereka memberikan peranan yang penting, kerana mata wang kripto sering disenyapkan dan kurang saling kendali, bermakna anda boleh menghantar Bitcoin ke alamat dompet Ethereum, sebagai contoh. Oleh kerana sifat senyap ini, jambatan telah muncul sebagai mekanisme utama dalam ekonomi crypto.

Perkhidmatan jambatan sebenarnya tidak memindahkan satu jenis aset digital ke rantaian lain. Sebaliknya, apa yang mereka lakukan ialah "membungkus" token mata wang kripto untuk menukarnya menjadi aset baharu pada rantaian lain. Jadi jika pengguna ingin menghubungkan Bitcoin ke Solana, jambatan itu pada dasarnya akan membekukan BTC asal dengan menguncinya dalam alamat dompet, sebelum mengeluarkan apa yang dikenali sebagai BTC berbalut (WBTC) yang boleh digunakan pada rantai kedua. Ia boleh dianggap sebagai sejenis kad hadiah yang memberikan nilai kewangan yang sama, yang hanya boleh digunakan di kedai tertentu.

Disebabkan oleh cara mereka bekerja, bridges mempunyai rizab besar token mata wang kripto yang dikunci dalam kontrak pintar, dan rizab tersebut menjadikannya sangat menarik kepada penggodam.

Memandangkan penyokong kripto hanya tahu dengan baik, sebarang nilai yang dipegang pada rantaian tertakluk kepada serangan pada bila-bila masa sepanjang hari. Internet tidak pernah berada di luar talian, bermakna token yang dipegang oleh mana-mana jambatan sentiasa boleh diakses.

Ronin Hack Menunjukkan Bahaya Pemusatan

 Serangan ke atas Rangkaian Ronin adalah salah satu rompakan DeFi terbesar pernah berlaku dari segi nilai dolar. Ronin ialah rantaian sampingan Ethereum yang membolehkan transaksi yang lebih murah pada kelajuan yang lebih pantas daripada rangkaian utama. Ia adalah jambatan pilihan untuk permainan mata wang kripto "bermain-untuk-dapat" popular Axie Infinity, bermakna ia sentiasa memproses berjuta-juta dolar dalam mata wang kripto dan stablecoin.

Sidechains ialah penyelesaian penskalaan blok yang memerlukan jambatan untuk menyambung ke rantai lain. Dengan Ronin, pengguna dapat mengunci ETH mereka dan ETH yang dibalut pudina pada rangkaian alternatif. Transaksi diproses dan diluluskan melalui algoritma konsensus Bukti Kuasa. Dengan model ini, 5 daripada 9 pengesah mesti bersetuju dengan urus niaga untuk konsensus dicapai. Walau bagaimanapun, empat daripada pengesah Ronin dikendalikan oleh satu syarikat – Sky Mavis, pemaju Ronin.

Ia merupakan persediaan terpusat yang terhasil daripada keputusan Axie Dao untuk menyediakan nod RPC bebas gas pada November 2021 untuk mencuba dan membetulkan kesesakan rangkaian. DAO membenarkan kunci Sky Mavis untuk menandatangani transaksi bagi pihaknya. Ia sepatutnya hanya pengaturan sementara, tetapi senarai yang dibenarkan tidak pernah dibatalkan. ini mencipta pembukaan untuk penyerang – dikatakan Kumpulan Lazarus tajaan Korea Utara – yang menggunakan teknik kejuruteraan sosial untuk menjejaskan empat kunci Sky Mavis. Penggodam kemudiannya menemui kelemahan dalam kod RPC, memberikannya kawalan ke atas pengesah kelima dan membenarkannya membuat pengeluaran haram.

Isu utama ialah sistem berbilang tandatangan Ronin untuk menandatangani transaksi telah terjejas kerana kekurangan desentralisasi. Ia menggambarkan kelemahan mekanisme keselamatan di mana majoriti tadbir urus tertumpu di tangan satu entiti.

Kerentanan Kontrak Pintar Berterusan

 Penggodaman Ronin bukan sekali sahaja, sebaliknya hanya yang terbaru dalam rentetan serangan berprofil tinggi ke atas jambatan rantaian blok yang telah mengakibatkan nilai berjuta-juta dolar hilang. Sebulan sebelum itu, penyerang berjaya melarikan diri dengan Ethereum bernilai kira-kira $80 juta berikutan serangan ke atas Jambatan Qubit.

Ia adalah perkhidmatan yang dikendalikan oleh platform Qubit Finance, yang membolehkan pengguna meminjamkan dan meminjam aset digital merentas rangkaian Ethereum dan Binance Smart Chain. Sebagai contoh, ia memungkinkan untuk mendepositkan token ERC-20 dan menerima syiling BEP-20 sebagai pertukaran, yang kemudiannya boleh digunakan pada rantaian Binance.

Qubit Bridge telah digodam kerana apa yang dikatakan sebagai "ralat logik" dalam kod kontrak pintarnya. Kerentanan itu membolehkan penggodam memanipulasi jambatan menggunakan data berniat jahat, supaya dia boleh mengeluarkan token BSC tanpa membuat sebarang deposit pada Ethereum. An bedah siasat serangan itu mendapati bahawa kontrak pintar QBridge tidak mengesahkan dengan betul bahawa jumlah ETH yang diperlukan telah dikunci. Sebaliknya, penggodam itu dapat menunjukkan bukti palsu tentang deposit yang tidak wujud.

Insiden itu bertujuan untuk menyerlahkan bagaimana kelemahan kontrak pintar kekal sebagai masalah berterusan dalam DeFi, dan terutamanya untuk jambatan rantaian blok. Sebilangan besar serangan jambatan menyasarkan pepijat dalam kontrak pintar, yang merupakan kontrak automatik yang dilaksanakan sendiri apabila syarat tertentu dipenuhi.

Jambatan Adalah Kunci Untuk Meluaskan Jangkauan Kripto

 Platform kripto telah tertakluk kepada aliran serangan yang tidak berkesudahan sejak industri baru mula menjadi popular. Penganut DeFi berkata ia boleh menyediakan alternatif yang lebih mudah diakses dan saksama kepada perkhidmatan kewangan tradisional, tetapi apabila ruang telah berkembang, ia telah tertakluk kepada apa yang pada dasarnya adalah percubaan melalui api. Serangan ke atas jambatan telah menjadi perkara biasa seperti pertukaran mata wang kripto dan rompakan protokol DeFi. Isunya ialah jambatan, seperti pertukaran dan protokol, adalah platform berkepentingan tinggi yang memegang sejumlah besar nilai dan mana-mana satu daripadanya boleh terdedah kepada pepijat dalam kod asasnya.

Terdapat kepercayaan yang meluas bahawa kripto dan DeFi tidak akan mencapai penerimaan yang meluas tanpa penyelesaian yang betul untuk risiko serangan. Sebahagian besar nilai dunia dipegang oleh pelabur institusi, seperti bank pelaburan dan dana lindung nilai yang besar. Organisasi sedemikian mengutamakan pematuhan dan keselamatan dana mereka di atas sebarang potensi keuntungan yang boleh diperolehi. Jadi DeFi dan crypto tidak mungkin menjadi lebih daripada industri pelaburan khusus sehingga masalah keselamatannya dapat diselesaikan.

Keselamatan jambatan adalah amat penting. Sifat senyap blok blok adalah kecacatan teruk yang mengehadkan potensi capaian mana-mana aplikasi terdesentralisasi. DApp yang dibina di atas Ethereum tidak boleh bercakap dengan orang lain berdasarkan rantaian blok yang berbeza. Ia tidak boleh berurus niaga dengan Bitcoin, mata wang kripto yang paling bernilai dan digunakan secara meluas di dunia, bermakna pemegang BTC tidak mempunyai cara untuk berinteraksi dengan ekosistem DeFi. Jika kripto akan menjadi sentiasa ada, pengguna mesti mempunyai cara yang selamat untuk berkomunikasi dengan rangkaian yang berbeza.

Membina Jambatan yang Lebih Baik

 Berita baiknya ialah terdapat mereka dalam industri yang mengiktiraf kepentingan ketersambungan blockchain yang selamat. Satu prospek yang menarik ialah AllianceBlock ni sangat menjanjikan AllianceBridge, yang menyokong rangkaian utama termasuk Ethereum, Binance Smart Chain, Avalanche, Polygon, Arbirtrum, Optimisme dan Energy Web dengan infrastruktur unik yang lebih terpencar dan menyampaikan prestasi yang lebih pantas dan selamat.

Tidak seperti jambatan terpusat, yang bergantung pada satu atau hanya beberapa entiti untuk mengesahkan bahawa urus niaga adalah sah, jambatan terdesentralisasi adalah berdasarkan prinsip yang sama seperti blockchain itu sendiri. Terdapat berbilang pengendali yang menggunakan mekanisme konsensus yang tersusun dengan baik untuk menentukan kesahihan transaksi. AllianceBridge ialah jambatan terpencar yang telah membangunkan kaedah unik untuk memastikan konsensus dicapai.

Seperti yang lain, AllianceBridge mengunci token yang diterimanya ke dalam kontrak pintar dan kemudian mengeluarkan token yang dibungkus pada blockchain sasaran. Token yang dibalut itu akan wujud pada rantaian kedua sehingga masa pengguna memutuskan untuk menebusnya pada rangkaian asal. Pada ketika itu, token yang dibalut dibakar, bermakna ia tidak lagi wujud, manakala token asal pada rantai asli dibuka kuncinya.

Di mana AllianceBridge berbeza ialah ia menggunakan rangkaian pengendali jambatan yang serasi dengan EVM. Di samping itu, ia memanfaatkan pihak ketiga yang teguh Perkhidmatan Konsensus Hedera Hashgraph yang dikuasakan oleh “ inovatifgosip-gosip” algoritma konsensus.

Menggunakan perkhidmatan HCS, aplikasi dan rangkaian blockchain boleh menghantar mesej kepada lejar awam Hedera, di mana ia dicap masa dan dipesan dengan ketelusan penuh. Ini membolehkan AllianceBridge mencapai konsensus tanpa mengekalkan penyegerakan antara pengendali jambatannya. Ini bermakna prestasi yang lebih pantas dengan tahap desentralisasi yang tinggi, manakala HCS menyediakan lapisan kepercayaan tambahan yang menjadikan jambatan lebih selamat.

Kontrak pintar AllianceBridge, yang digunakan untuk mengunci aset asal dan token yang dibalut pudina dan membakar, memberikan lebih banyak jaminan. Seluruh pangkalan kod kontrak pintar telah ditulis untuk bergema dengan standard EIP-2535 dan telah diaudit sepenuhnya oleh Omniscia. Semasa audit, Omniscia menunjukkan beberapa masalah yang berpotensi yang telah diselesaikan dengan segera oleh AllianceBlock sebelum kod tersebut disiarkan secara langsung.

Keselamatan dan kebolehpercayaan AllianceBridge telah memainkan peranan penting dalam mengembangkan utiliti suite tawaran DeFi AllianceBlock, termasuk Terminal DeFi, yang menyediakan cara mudah untuk projek melancarkan kempen perlombongan kecairan dan staking merentas berbilang rangkaian dan dApp yang disokong. Dengan protokol kebolehoperasian blockchain yang selamat, AllianceBlock sedang membina asas teguh yang diperlukan oleh ekosistem Web3 yang kaya dan saling berkaitan untuk berkembang dan berkembang.

- Iklan -