Ligtas ba ang Blockchain Bridges? Bakit Target ng Mga Hack ang Bridges

Noong Marso 2022, tapos na $625 milyon Ang halaga ng mga cryptocurrencies ay ninakaw mula sa protocol ng Ronin Bridge bilang resulta ng isang malisyosong pag-atake mula sa mga hacker, na minarkahan ang kaganapan bilang ONE sa pinakamalaking pagnanakaw ng Cryptocurrency kailanman. Noong Hunyo, natalo ang Horizon Bridge ng Harmony One $100 milyon sa isang pag-atake. Noong Agosto, isa pa $200 milyon ay nawala mula sa Nomad Bridge bilang resulta ng pagsasamantala ng isang kahinaan sa pinagbabatayan nitong Technology — matalinong mga kontrata.

Sa kabuuan, tinatantya ng Chainalysis na tapos na $2 bilyon Ang halaga ng mga digital asset ay ninakaw mula sa mga blockchain bridge noong 2022 lamang. Ang figure na ito ay nagkakahalaga ng humigit-kumulang 69% sa lahat ng ninakaw na pondo ng Crypto sa taon.

Ang dalas ng mga bridge hack na ito ay naging isang senyales ng babala para sa mga gumagamit at isang malaking banta sa pagbuo ng tiwala sa Technology ng blockchain. Habang bumibilis ang paggamit ng Cryptocurrency , ang industriya ay nahaharap sa lumalaking presyon upang ayusin ang mga bahid na nagbigay-daan sa mga pagsasamantalang ito.

Sa artikulong ito, titingnan natin kung bakit ang mga blockchain bridge ay naging mahalagang bahagi ng Crypto ecosystem, ang pagkakaiba sa pagitan ng trust-based at trustless bridges, at ang mga potensyal na kahinaan sa bawat modelo na nagbigay-daan sa mga hacker na makatipid ng mga pondo sa bawat ONE.

Ano ang mga tulay ng blockchain?

Mga tulay na Blockchain, na kilala rin bilang mga network bridge o cross-chain bridges, ay isang tool na idinisenyo upang malutas ang hamon ng interoperability sa pagitan ng mga blockchain. Ang mga tulay ay naging isang kinakailangang bahagi ng industriya ng blockchain dahil, tulad ng nakatayo, ang mga blockchain ay nagpapatakbo sa mga silo at hindi maaaring makipag-usap sa ONE isa.

Halimbawa, ang mga gumagamit ay hindi maaaring gumamit ng Bitcoin (BTC) sa Ethereum blockchain o ether (ETH) sa Bitcoin blockchain. Kaya kung ang ONE user (tawagin natin siyang Billy) na may hawak ng lahat ng kanyang pondo sa BTC ay gustong magbayad ng isa pang user (tawagin natin siyang Ethel) para sa isang item ngunit tinatanggap lang ni Ethel ang ETH, tumama si Billy sa isang pader. T niya maipadala ang BTC nang direkta kay Ethel. Maaari siyang gumawa ng mga karagdagang hakbang upang bumili ng ETH o i-trade ang isang bahagi ng kanyang BTC para sa ETH, ngunit hindi direktang ipadala ang BTC sa Ethel. Ito ay makikita bilang isang malaking kawalan kumpara sa fiat currency at credit card, na maaaring gamitin sa ilang provider.

Layunin ng mga Blockchain bridge na alisin ang isyung ito.

Habang ang bawat blockchain bridge ay idinisenyo nang iba, ang mga tulay na ito ay karaniwang nagpapahintulot sa mga user na mag-lock sa isang tiyak na halaga ng mga digital asset sa ONE blockchain. Bilang kapalit, ang protocol ay magpapautang o mag-mint ng parehong halaga ng mga asset sa isa pang blockchain, katumbas ng mga pondong naka-lock.

Ang mga bagong asset na ito ay kilala bilang "nakabalot” na bersyon ng isang token. Halimbawa, ang isang user na nagla-lock sa kanilang ether (ETH) sa ONE blockchain ay makakatanggap ng isang “wrapped” ether (wETH) sa isa pang blockchain. Nagbibigay-daan ito kay Billy na gumamit ng tulay para magpadala Wrapped Bitcoin (WBTC), na gumagana sa Ethereum blockchain, sa Ethel sa mas tuluy-tuloy na paraan.

Tingnan din ang: Ano ang mga Nakabalot na Token?

Trust-based vs. trustless blockchain bridges

Mula sa pananaw ng seguridad, ang mga tulay ay maaaring uriin sa dalawang pangunahing grupo: pinagkakatiwalaan (kilala rin bilang custodial) at walang tiwala (noncustodial). Ang mga pinagkakatiwalaang platform ay mga platform na umaasa sa mga third party upang patunayan ang mga transaksyon habang kumikilos bilang mga tagapag-alaga ng mga naka-bridge na asset. Halimbawa, lahat ng Wrapped Bitcoin ay hawak ng BitGo. Ang pagkakaroon ng ONE kumpanya na kontrolin ang lahat ng isang asset ay nangangahulugan na ito ay isang punto ng kabiguan. Kung ang kumpanya ay corrupt, nabangkarote o may iba pang pangunahing problema, ang Crypto na nasa kustodiya nito ay nasa panganib.

Upang ilarawan, ang protocol ng Ronin Bridge ay umasa sa siyam na validator - apat sa mga ito ay hawak ng Sky Mavis team. Upang mapanatili ang seguridad nito, ang Ronin Bridge ay nangangailangan ng karamihan sa mga validator node na ito (lima o higit pang mga node) upang simulan ang anumang withdrawal o deposito. Gayunpaman, dahil nagawang ikompromiso ng mga umaatake ang lahat ng apat na node na kinokontrol ng koponan ng Sky Mavis, kailangan lang nila ng isang karagdagang node upang makontrol. Ginawa nila ito at pinahintulutan silang maubos ang protocol na $625 milyon sa ilalim ng takip ng "na-verify" na pag-withdraw.

Kasama sa iba pang mga halimbawa ng mga tulay na batay sa tiwala Binance Bridge, Polygon POS Bridge, Avalanche Bridge, Harmony Bridge at Terra Shuttle Bridge.

Sa kabilang banda, ang mga platform na umaasa lamang sa mga matalinong kontrata at mga algorithm para mag-imbak ng mga asset ng pag-iingat ay tinutukoy bilang mga walang tiwala na tulay. Ang mga limitasyon nito ay nakasalalay sa integridad ng pinagbabatayan nitong code.

Halimbawa, Wormhole ay isang platform na nagpapadali sa mga cross-bridge na transaksyon sa pagitan ng Solana at Ethereum. Ang Wormhole ay isang blockchain bridge protocol na dumanas ng pagsasamantala noong Pebrero 2022 dahil sa isang bug sa smart contract. Pinahintulutan nito ang mga umaatake na i-bypass ang mga proseso ng pag-verify nito at nagresulta sa isang pag-hack na nagkakahalaga $326 milyon.

Ang iba pang mga halimbawa ng walang tiwala na tulay ay Rainbow Bridge, Polkadot's Snowbridge at Cosmos IBC.

Ligtas ba ang mga tulay ng blockchain?

Ang parehong pinagkakatiwalaan at walang tiwala na mga diskarte ay maaaring magkaroon ng mga pangunahing o teknikal na kahinaan. Upang maging mas tumpak, ang aspeto ng sentralisasyon ng isang pinagkakatiwalaang tulay ay nagpapakita ng isang pangunahing depekto, at ang mga walang pinagkakatiwalaang tulay ay madaling kapitan ng mga pagsasamantala na nagmumula sa software at ang pinagbabatayan na code. Simple lang, kung may depekto sa matalinong kontrata, halos tiyak na ang mga partidong may malisyosong intensyon ay susubukang pagsamantalahan ito.

Sa kasamaang palad, T pang perpektong solusyon sa palaisipang kinakaharap ng industriya. Parehong pinagkakatiwalaan at walang pinagkakatiwalaan na mga platform ay may implicit na mga bahid sa kanilang disenyo at nakompromiso ang seguridad ng blockchain bridge sa kani-kanilang paraan.

Bilang karagdagan, habang ang halaga at mga gumagamit ng industriya ng Cryptocurrency KEEP na tumataas, ang mga hacker ay nagiging mas sopistikado. Ang mga tradisyunal na cyberattack tulad ng social engineering at mga pag-atake sa phishing ay inangkop din sa salaysay ng Web3 upang i-target ang parehong sentralisado at desentralisadong mga protocol.

Bagama't hindi palya, isang mahalagang unang hakbang patungo sa pagtugon sa mga isyu sa seguridad sa mga blockchain bridge ay maaaring maging isang napakahigpit na source code audit bago i-deploy ang tulay sa blockchain. Ito ay dapat na isang ground-up na pagsusuri upang mabawasan ang anumang mga pagkukulang, dahil ang kailangan lang ay ONE slip up sa isang masamang linya ng code at ang mga hacker ay may paraan upang makapasok.

Dahil doon, mahalaga para sa mga user na gawin ang kanilang angkop na pagsisikap bago makipag-ugnayan sa anumang bridging ecosystem, na kinabibilangan ng pagsuri sa dokumentasyon, code at maturity ng system. Ito ay isang paraan ng pagprotekta sa kanilang Crypto habang ang mga developer ay nakahanap ng solusyon upang malampasan ang mga limitasyon ng kasalukuyang blockchain bridging protocols.

Read More: Paano Manatiling Ligtas sa DeFi