Bilo je preko 2.5 milijarde dolara ukraden u unakrsnom lancu kripto bridge hakova od 2021. do 2022. godine, prema izvještaju Token Terminala. Ali, uprkos nekoliko pokušaja programera da poboljšaju sigurnost mosta, debata od decembra 2022. do januara 2023. na forumima Uniswap DAO je ružan gole sigurnosne slabosti koje i dalje postoje u blockchain mostovima.
U prošlosti, mostovi kao što su Ronin i Horizon koristili su multisign novčanike kako bi osigurali da samo validatori mosta mogu odobriti povlačenje. Na primjer, Ronin je zahtijevao pet od devet potpisa za povlačenje, dok je Horizon trebao dva od pet potpisa. Ali napadači su smislili kako da zaobiđu ove sisteme i povukli milione dolara vrijedne kriptovalute, ostavljajući korisnicima ovih mostova nepodržane tokene.
Nakon što su ovi višeznačni mostovi hakovani, programeri su počeli da se okreću sofisticiranijim protokolima kao što su Celer, LayerZero i Wormhole, koji su tvrdili da su sigurniji.
Ali u decembru 2022., Uniswap DAO je počeo raspravljati o implementaciji Uniswap v3 u BNB lanac. U tom procesu, decentralizovana autonomna organizacija (DAO) morala je odlučiti koji će se protokol za premošćivanje koristiti za upravljanje Uniswap-om u više lanaca. U diskusiji koja je uslijedila, kritičari su osporavali sigurnost svakog rješenja, ostavljajući neke posmatrače da zaključe da nijedno rješenje za most nije dovoljno sigurno za Uniswap-ove svrhe.
Kao rezultat toga, neki su sudionici zaključili da samo multibridge rješenje može osigurati kripto imovinu u cross-chain okruženju kripto danas.
Trenutno se nalazi preko 10 milijardi dolara kripto imovine zaključano na mostovima od 15. februara, prema DefiLlami, što pitanje sigurnosti mostova čini hitnim.
Kako funkcioniraju blockchain mostovi
Blockchain mostovi omogućiti dijeljenje dva ili više blockchaina podatke međusobno, kao što je kriptovaluta. Na primjer, most može omogućiti USD Coin (USDC) za slanje iz Ethereuma u BNB lanac ili Trader Joe (JOE) iz Avalanche u Harmony.
Ali svaka blockchain mreža ima svoju arhitekturu i bazu podataka, odvojenu od drugih. Dakle, u doslovnom smislu, nijedan novčić se ne može poslati s jedne mreže na drugu.
Da biste zaobišli ovaj problem, mostovi zaključavaju kovanice na jednoj mreži i kovaju njihove kopije na drugoj. Kada korisnik želi da "premjesti" svoje novčiće natrag na originalnu mrežu, most tada spaljuje kopije i otključava originalne novčiće. Iako ovo ne premješta novčiće između mreža, dovoljno je slično da odgovara svrhama većine kripto korisnika.
Međutim, problem nastaje kada napadač može ili kovati kovanice bez podrške u lancu primanja ili povući novčiće u lancu za slanje bez spaljivanja njegovih kopija. U svakom slučaju, ovo dovodi do toga da lanac primanja ima dodatne novčiće koji nisu ničim podržani. Upravo to se dogodilo u hakovima Ronin i Horizon 2022.
Ronin i Horizont: Kada premošćavanje pođe po zlu
Ronin bridge je bio protokol koji je omogućio igračima Axie Infinityja da premještaju novčiće između Ethereuma i Ronin sidechaina kako bi igrali igru.
Ethereum ugovori za most imali su funkciju pod nazivom “withdrawERC20For”, koja je omogućavala Ronin validatorima da povuku tokene na Ethereumu i daju ih korisniku, sa ili bez spaljivanja na Ronin. Međutim, Ronin softver koji su pokretali validatori bio je programiran samo da pozove ovu funkciju ako su odgovarajući novčići na Roninu spaljeni. Pozivanje funkcije zahtijevalo je potpise iz pet od devet validatorskih čvorova, sprječavajući napadača da povuče sredstva čak i ako ima kontrolu nad jednim čvorom.
Kako bi dodatno osigurao da sredstva ne mogu biti ukradena, Axie Infinity programer Sky Mavis distribuirao je većinu validator ključeva drugim dionicima, uključujući Axie DAO. To je značilo da ako su Sky Mavisovi kompjuteri preuzeti, napadač i dalje ne bi mogao povući novčiće bez njihove podrške jer bi napadač imao samo četiri ključa.
Ali uprkos ovim merama opreza, napadač je i dalje mogao da dobije sva četiri ključa Sky Mavis, plus peti potpis od Axie DAO za povući preko 600 miliona dolara vrijednost kriptovaluta sa mosta.
Nedavno: SEC protiv Krakena: Jednokratna ili uvodna salva u napadu na kriptovalute?
Sky Mavis je od tada nadoknadio troškove žrtvama napada i jeste ponovo pokrenut most sa onim što programeri nazivaju “prekidačem” sistema koji zaustavlja velika ili sumnjiva povlačenja.
Sličan napad se dogodio na Harmony Horizon Bridge 24. juna 2022. Ovaj most je omogućio korisnicima da prenesu sredstva sa Ethereuma na Harmony i nazad. Funkcija “unlockTokens” (povlačenje) mogla bi se pozvati samo ako su je dva od pet potpisa Harmony tima odobrila. Privatni ključevi koji mogu proizvesti ove potpise su šifrirano i pohranjeno pomoću usluge upravljanja ključevima. Ali nekim nepoznatim metodom, napadač je uspio dobiti i dešifrirati dva ključa, što im je omogućilo povući 100 miliona dolara kriptovaluta sa Ethereum strane mosta.
Harmony tim predloženo plan nadoknade u avgustu 2022. i ponovo pokrenut most koristeći LayerZero.
Nakon ovih hakova, neki programeri mostova su vjerovali da im je potrebna bolja sigurnost od osnovnog multisign novčanika. Tu su se pojavili protokoli za premošćivanje.
Uspon protokola za premošćivanje
Budući da su Ronin i Horizon hakovi skrenuli pažnju na problem sigurnosti mostova, nekoliko kompanija je počelo da se specijalizuje za kreiranje protokola mostova koje drugi programeri mogu prilagoditi ili implementirati za svoje specifične potrebe. Ovi protokoli tvrde da su sigurniji od obične upotrebe novčanika sa više potpisa za rukovanje isplatama.
Krajem januara, Uniswap DAO je razmatrao pokretanje BNB Chain verzije svoje decentralizovane berze. U tom procesu, trebalo je odlučiti koji će protokol koristiti. Evo četiri razmatrana protokola, zajedno sa kratkim objašnjenjem kako pokušavaju da osiguraju svoje mostove.
Layer Zero
prema za LayerZero dokumente, protokol koristi dva servera da bi potvrdio da su novčići zaključani na originalnom lancu prije nego što im dopusti da budu kovani u odredišnom lancu. Prvi server se zove "oracle". Kada korisnik zaključa novčiće u lancu slanja, proročište prenosi zaglavlje bloka za tu transakciju do odredišnog lanca.
Drugi server se zove "relayer". Kada korisnik zaključa novčiće u lancu slanja, prenosilac šalje dokaz drugom lancu da je transakcija zaključavanja sadržana u bloku na koji referencira proročište.
Dokle god su proročište i prenosilac nezavisni i ne dogovaraju se, za napadača bi trebalo biti nemoguće da kuje novčiće u lancu B bez da ih zaključa na lancu A ili da povuče novčiće u lancu A bez da ih spali na lancu B.
LayerZero koristi Chainlink za zadano proročište i obezbjeđuje svoj vlastiti zadani relejer za programere aplikacija koji ga žele koristiti, ali programeri također mogu kreirati prilagođene verzije ovih servera ako to žele.
celer
prema za Celer cBridge dokumente, Celer se oslanja na mrežu validatora proof-of-stake (PoS) zvanih “državni čuvari” kako bi provjerio da li su novčići zaključani na jednom lancu prije nego što budu iskovani na drugom. Dvije trećine validatora moraju se složiti da je transakcija važeća da bi bila potvrđena.
U debati o Uniswapu, suosnivač Celera Mo Dong pojasnjeno da protokol nudi i alternativni mehanizam za konsenzus koji se naziva „optimistična sigurnost u stilu skupljanja“. U ovoj verziji, transakcije podliježu periodu čekanja, što omogućava svakom pojedinačnom državnom staratelju da stavi veto na transakciju ako su informacije koje ima u suprotnosti sa dvotrećinskom većinom.
Mo je tvrdio da bi neki programeri aplikacija, uključujući Uniswap, trebali koristiti “optimistički sigurnosni model sličan rollupu” i pokrenuti vlastiti čuvar aplikacija kako bi jamčili da mogu blokirati lažne transakcije čak i ako je mreža ugrožena.
Kao odgovor na pitanje ko su validatori za mrežu, suosnivač Celera navedeno:
“Celer ima ukupno 21 validator, koji su vrlo renomirani PoS validatori koji osiguravaju lance kao što su Binance Chain, Avalanche, Cosmos i više, kao što su Binance, Everstake, InfStones, Ankr, Forbole, 01Node, OKX, HashQuark, RockX i još mnogo toga. ”
Također je naglasio da Celer smanjuje validatore koji pokušavaju dobiti potvrdu lažnih transakcija.
Crvotočina
prema prema objavi tima na forumu, Wormhole se oslanja na 19 validatora zvanih "čuvari" kako bi spriječili lažne transakcije. 13 od 19 validatora mora se složiti da bi transakcija bila potvrđena.
U debati o Uniswapu, Wormhole je tvrdio da je njegova mreža više decentralizovana i da ima renomiranije validatore od svojih kolega, navodeći: „Naš Guardian set sadrži vodeće PoS validatore, uključujući Staked, Figment, Chorus One, P2P i još mnogo toga.
DeBridge
DeBridge dokumenti reći da je to proof-of-stake mreža sa 12 validatora. Osam od ovih validatora mora se složiti da je transakcija važeća da bi bila potvrđena. Validatori koji pokušavaju da prođu kroz lažne transakcije se smanjuju.
U debati o Uniswapu, suosnivač deBridgea Alex Smirnov navedeno da su svi deBridge validatori „profesionalni provajderi infrastrukture koji provjeravaju mnoge druge protokole i blockchaine“ i „svi validatori snose reputacijski i financijski rizik“.
U kasnijim fazama debate, Smirnov je počeo da se zalaže za rešenje sa više mostova, a ne za korišćenje deBridgea kao jedinog rešenja za Uniswap, jer je objašnjeno:
“Ako deBridge bude izabran za provjeru temperature i dalje glasanje o upravljanju, Uniswap-deBridge integracija će biti izgrađena u kontekstu ovog okvira koji se ne odnosi na most i tako će omogućiti drugim mostovima da učestvuju.”
Tokom debate o Uniswap mostu, svaki od ovih protokola je bio izložen kritici u smislu njegove sigurnosti i decentralizacije.
LayerZero navodno daje moć programerima aplikacija
LayerZero je kritiziran jer je navodno bio prikriveni 2/2 multisign i što je svu moć stavio u ruke programera aplikacije. 2. januara, L2Beat autor Krzysztof Urbański navodno da se orakul i sistem prenosa na LayerZero mogu zaobići ako napadač preuzme kontrolu nad kompjuterskim sistemima programera aplikacije.
Da bi to dokazao, Urbański je postavio novi most i token koristeći LayerZero, a zatim je premostio neke tokene od Ethereuma do Optimizma. Nakon toga, pozvao je administratorsku funkciju da promijeni proročište i relayer sa zadanih servera na one pod njegovom kontrolom. Zatim je nastavio povlačiti sve tokene na Ethereumu, ostavljajući tokene na Optimismu bez potpore.
Članak Urbańskog citiralo je više učesnika u debati, uključujući GFX Labs i Phillipa Zentnera iz LIFI-ja, kao razloge zašto se LayerZero ne bi trebao koristiti kao jedini protokol za premošćivanje za Uniswap.
U razgovoru za Cointelegraph, izvršni direktor LayerZero-a Bryan Pellegrino odgovorio je na ovu kritiku, navodeći da programer mosta koji koristi LayerZero “može spaliti [svoju] sposobnost da promijeni bilo koje postavke i da bude 100% nepromjenjiv.” Međutim, većina programera odlučuje da to ne učini jer se plaše nametanja nepromjenjivih grešaka u kodu. Također je tvrdio da stavljanje nadogradnje u ruke „middlechain auth“ ili mreže treće strane može biti rizičnije od kontrole nad programerom aplikacije.
Neki učesnici su takođe kritikovali LayerZero zbog toga što ima neproveren ili podrazumevani prenosnik zatvorenog koda. Ovo bi navodno otežalo Uniswap-u da brzo razvije sopstveni relej.
Celer izražava zabrinutost u vezi sa sigurnosnim modelom
u početno neobavezujuće glasanje 24. januara, Uniswap DAO je odlučio da se rasporedi u BNB Chain sa Celerom kao zvaničnim Uniswap mostom za upravljanje. Međutim, kada je GFX Labs počeo testirati most, oni objavljeno zabrinutosti i pitanja o Celerovom sigurnosnom modelu.
Prema GFXLabs-u, Celer ima nadogradivi MessageBus ugovor pod kontrolom tri od pet višestrukih potpisa. Ovo bi mogao biti vektor napada pomoću kojeg zlonamjerna osoba može dobiti kontrolu nad cijelim protokolom.
Kao odgovor na ove kritike, suosnivač Celera Mo je naveo da ugovor kontrolišu četiri visoko cenjene institucije: InfStones, Binance Staking, OKX i Celer Network. Dong je tvrdio da MessageBus ugovor mora biti nadogradiv kako bi se ispravile greške koje bi se mogle naći u budućnosti, jer objašnjeno:
“Napravili smo MessageBus nadogradivu s ciljem da olakšamo rješavanje potencijalnih sigurnosnih problema za svaki slučaj i dodamo funkcije koje morate imati. Međutim, ovom procesu pristupamo s pažnjom i kontinuirano procjenjujemo i poboljšavamo naš proces upravljanja. Pozdravljamo dodatne aktivne saradnike kao što je GFXLabs da budu više uključeni.”
U kasnijim fazama debate, Celer je počeo koji podržava rješenje sa više mostova umjesto da se zalaže za to da je njegov vlastiti protokol jedini most.
crvotočina ne seče
Wormhole je kritiziran zbog toga što nije koristio sečenje za kažnjavanje validatora koji se loše ponašaju i zbog navodnog obavljanja manjeg obima transakcija nego što to priznaje.
Mo je tvrdio da je PoS mreža sa rezom obično bolja od one bez, navodeći, “Wormhole nema nikakvu ekonomsku sigurnost ili rezu ugrađenu u protokol. Ako postoji bilo koji drugi centralizirani/off-chain sporazum, nadamo se da ih crvotočina može učiniti poznatim zajednici. Samo gledajući ovo poređenje, razuman nivo ekonomske sigurnosti u protokolu >> 0 ekonomske sigurnosti u protokolu.”
Mo je takođe tvrdio da bi obim transakcija Wormholea mogao biti manji nego što kompanija priznaje. prema za njega, preko 99% Wormhole transakcija dolazi iz Pythneta, a ako se ovaj broj izuzme, "postoji 719 poruka dnevno u posljednjih 7 dana na Wormholeu."
DeBridge je imao vrlo malo kritika usmjerenih protiv toga, jer se činilo da većina učesnika misli da su Celer, LayerZero i Wormhole dominantni izbori.
U kasnijim fazama debate, deBridge tim je počeo da se zalaže za rešenje sa više mostova.
Ka rješenju sa više mostova?
Kako se debata o Uniswapu nastavila, nekoliko učesnika je tvrdilo da se za upravljanje ne treba koristiti nijedan protokol za premošćivanje. Umjesto toga, oni su tvrdili da treba koristiti više mostova i da treba zahtijevati većinu ili čak jednoglasnu odluku svih mostova da bi se potvrdila odluka uprave.
Celer i deBridge su došli do ove tačke gledišta kako je debata napredovala, a LIFI CEO Phillip Zentner je to tvrdio Prelazak Uniswapa na BNB trebalo bi odgoditi dok se ne implementira multibridge rješenje.
Na kraju, Uniswap DAO je glasao za rasporediti u BNB lanac s crvotočinom kao službeni most. Međutim, izvršni direktor Uniswapa Devin Walsh objašnjeno da raspoređivanje sa jednim mostom ne isključuje naknadno dodavanje dodatnih mostova. Tako da će zagovornici rješenja sa više mostova vjerovatno nastaviti sa svojim naporima.
Mogu li blockchain mostovi biti sigurni?
Bez obzira na to što se na kraju dogodi sa Unsiwapovim procesom upravljanja unakrsnim lancima, debata je ilustrovala koliko je teško osigurati međulančane mostove.
Stavljanje povlačenja u ruke novčanika s više potpisa stvara rizik da loši akteri mogu dobiti kontrolu nad višestrukim potpisima i povući tokene bez pristanka korisnika. Centralizira svijet blockchain-a i tjera korisnike da se oslanjaju na pouzdana tijela umjesto na decentralizirane protokole.
Nedavno: DeFi sigurnost: Kako mostovi bez povjerenja mogu pomoći u zaštiti korisnika
S druge strane, mreže za premošćivanje u stilu proof-of-stake su složeni programi za koje se može otkriti da imaju greške, a ako se njihovi ugovori ne mogu nadograditi, ove greške se ne mogu popraviti bez hard fork-a jedne od osnovnih mreža. . Programeri se i dalje suočavaju sa kompromisom između davanja nadogradnje u ruke pouzdanih autoriteta, koji mogu biti hakovani, u odnosu na to da protokoli budu zaista decentralizovani i, stoga, nenadogradivi.
Milijarde dolara kripto imovine pohranjene su na mostovima, a kako kripto ekosustav raste, vremenom će na tim mrežama biti pohranjeno još više sredstava. Dakle, problem osiguravanja blockchain mosta i zaštite ove imovine i dalje je kritičan.
Izvor: https://cointelegraph.com/news/uniswap-dao-debate-shows-devs-still-struggle-to-secure-cross-chain-bridges