Взломы мостов обошлись в 2 млрд долларов в 2022 году. Вот как их можно было предотвратить

В процессе эволюции к полноценному многоцепочечному будущему мосты остаются более уязвимыми для взломов, чем сами Криптовалюта сети. Только в 2022 году более Активы на сумму 2 млрд долларовбыл украден из эксплойтов token bridge. Хуже всего то, что их всех можно было бы избежать, применив несколько мер безопасности.

Изучив некоторые атаки 2022 года, мы сможем лучше понять некоторые из основных недостатков системы и отдельные меры безопасности, которые существуют или разрабатываются для защиты от них.

Социальная инженерия

Атаки социальной инженерии являются наиболее распространенной формой нарушений безопасности. Каждый человек в какой-то момент своей жизни подвергался атаке социальной инженерии — либо через фишинг, либо через медовые ловушки, где в обмен на личную информацию обещают «слишком хорошие, чтобы быть правдой предложения».

Мартин Кёппельманн — соучредитель Gnosis.

Хакеры в крупнейшем эксплойте моста 2022 года использовали похожие методы для вывода средств. Блокчейн популярной Криптo Axie Infinity был взломан с помощью фишинговой схемыкоторые включали поддельные предложения о работе в LinkedIn.

Разработчик игры Sky Mavis заявил, что его сотрудники были завалены поддельными предложениями о работе и даже приглашены на несколько раундов собеседований. Когда сотрудники клюнули на приманку, хакеры получили доступ к их системам и скрылись с $625 млн из сети Ronin Network компании Sky Mavis. Во время анализа того, что пошло не так, Sky Mavis заявила, что стала жертвой продвинутых фишинговых атак.

Скомпрометированные закрытые ключи

В сентябре 2022 года Wintermute, алгоритмический Maker, был взломан на 160 миллионов долларов, вероятно, из-за уязвимости закрытых ключей, сгенерированных приложением Profanity.

Закрытый ключ HOT кошелька был взломан и использован для вывода средств. Отчеты говорят, Ранее в адресах Profanity были обнаружены недостатки, однако компания T восприняла эти сообщения всерьез.

Похожая причина была зафиксирована при взломе Slope, в результате которого компания понесла убытки в размере 6 миллионов долларов.

Ошибки смарт-контрактов

Смарт-контракты — это программы, хранящиеся в блокчейне, настроенные на срабатывание при выполнении определенных предопределенных условий. Например, в электронной коммерции это то, что подтверждает веб-сайту, что товар должен быть доставлен после того, как вы добавили его в корзину и заплатили за него. Таким образом, ошибка в смарт-контракте может позволить хакерам незаконно инициировать перевод денег между блокчейнами без выполнения каких-либо условий.

В случае с Nomad хакерам удалось слитьпочти 200 миллионов долларовс моста, обнаружив неправильную конфигурацию в основном смарт-контракте, которая позволяла любому человеку, имеющему базовые знания кода, выводить средства.

То, что эти ошибки и уязвимости безопасности так открыто использовались хакерами, вызывает беспокойство, но еще большее беспокойство вызывает тот факт, что «доверенные» системы, о которых люди T задумывались, оказались так легко уязвимы для атак.

Решение: множественные меры безопасности

Стандарты мостов — это наборы правил, которые определяют, как различные сети блокчейнов могут взаимодействовать друг с другом, в данном случае через мост между цепями. Хотя некоторые из этих протоколов сами по себе подвержены риску эксплуатации, в совокупности они добавляют столь необходимые дополнительные уровни безопасности.

Используя несколько стандартов моста одновременно, разработчики могут компенсировать слабости, отображаемые в ONE протоколе, с помощью другого протокола. Давайте рассмотрим некоторые криптографические стандарты, которые можно использовать в сочетании для добавления дополнительных уровней безопасности.

Мультиподпись и комитет

Технологии Multi-sig требует подписи или одобрения нескольких сторон перед выполнением транзакции. Она может предотвратить несанкционированный доступ к сетям и гарантировать, что ни одна из сторон не имеет полного контроля.

Стандарт моста комитета использует группу доверенных лиц или комитет для управления безопасностью сетевого моста. Участники отвечают за утверждение и контроль сетевых транзакций. Комитеты полезны, когда несколько организаций совместно используют доступ к сети.

Нулевое знание

Нулевое разглашение (ZK) — это криптографический метод, который позволяет двум сторонам обмениваться информацией друг с другом без необходимости раскрывать какую-либо дополнительную информацию, помимо той, которая абсолютно необходима.

Интеграция моделей ZK устраняет необходимость в модели комитета, позволяя разработчикам использовать легкие клиенты в цепочке. Используя системы доказательства с нулевым разглашением и, в частности, свойство «краткости» ZK-SNARK, можно эффективно выполнять этот процесс проверки с использованием легких клиентов в цепочке. Также можно проверять как переходы состояний, так и консенсус в цепочке для максимальной безопасности, аналогично запуску полного узла.

Для этого ончейн легкий клиент использует системы ZKP для доказательства того, что состояние исходной цепочки является действительным. Это делается путем генерации доказательства, которое может быть проверено целевой цепочкой без необходимости знать все состояние исходной цепочки. Использование ончейн легких клиентов может помочь улучшить безопасность и масштабируемость блокчейнов. Проверяя состояние исходной цепочки в целевой цепочке, целевая цепочка может быть более уверена в том, что состояние исходной цепочки является точным. Это может помочь предотвратить мошенничество и другие вредоносные действия, продолжая при этом масштабировать сеть. В качестве практического примера, ZK можно использовать для доказательства того, что транзакция была авторизована владельцем конкретного кошелька, не раскрывая закрытый ключ.

Оптимистичный

Некоторые мосты используют «оптимистический» подход к проверке транзакций, при котором вместо немедленной проверки каждой транзакции в целевом блокчейне оптимистичные мосты предполагают, что каждая транзакция действительна, а затем стимулируют дополнительных участников указывать на мошеннические транзакции за вознаграждение. Средства очищаются только после истечения этого периода проверки. Это означает, что оптимистичные мосты являются безопасными с точки зрения теории игр, но не математически — они полагаются на то, что третьи стороны будут обращать внимание на то, что происходит. Все это часто абстрагируется от пользователя с помощью дополнительных поставщиков ликвидности, которые независимо проверяют правдивость заявлений моста и немедленно делают средства доступными в другой цепочке за плату в несколько базисных пунктов.

Оптимистичные мосты все еще могут быть достаточно безопасными, даже если они не проверяют каждую транзакцию немедленно. Это происходит потому, что они используют метод «оспаривания и оспаривания»; если пользователь считает, что транзакция была обработана неправильно, он может оспорить транзакцию, и мост проведет расследование.

Проблемы внедрения нескольких стандартов мостов

В конечном итоге, наилучшая безопасность достигается при использованиисочетание стандартовТаким образом, если в ONE реализации моста возникнет ошибка или уязвимость безопасности, другие стандарты все равно смогут защитить сеть.

Следует отметить, что, конечно, мосты все еще полагаются на механизмы консенсуса соединяющих сетей. Мост никогда не может быть более безопасным, чем сети, которые он соединяет.

Безопасный доступ к многоцепочечному миру

Мосты необходимы для обеспечения беспрепятственного доступа к нашему многоцепочечному миру, но нам нужно укреплять эти мосты изобретательными способами, чтобы сократить количество точек атаки. Технологии блокчейна специально разработана для того, чтобы позволить незнакомцам объединяться и принимать прямые, непреложные решения, и чем больше мы фокусируемся на использовании всего спектра сетей, имеющихся в нашем распоряжении, тем прочнее станут наши мосты.