Kako su servisi za transfer sredstava između različitih blokčejna postali glavne mete hakera

in #leofinance3 months ago

Prevod članka koji je prvobitno objavljen na Defiant web stranici, napisao DappRadar.

Odricanje od odgovornosti: Bilten nije i ne može finansijski savet, uradite sopstvenu analizu pre ulaganja.

Ovo je zvanični bilten Banklessadria. Da se odjavite, izmenite svoja podešavanja ovde.

Kripto industrija je evoluirala u ekosistem gde se različite blokčejn platforme L1 i rešenja za skaliranje L2 međusobno povezuju, uz jedinstvene mogućnosti i kompromise.

Platforme poput Fantom, Terra ili Avalanche imaju značajnu DeFi aktivnost, dok određene igre u okviru P2E ekonomije, kao što su Axie Infinity i DeFi Kingdoms su napravili čitave ekosisteme poput Ronin i Harmony. Svi navedeni blokčejni su porasli kao ozbiljna alternativa naknadama za transakcije i relativno dugom vremenu za potvrdu transakcija na Ethereum platformi. Potreba za jednostavnim transferom sredstava između protokola na različitim blokčejnima je postala kritičnija nego ikad.

Tu se nalaze mostovi za transfer sredstava između blokčejna.

Kao rezultat scenarija u kome postoje različite blokčejn platforme, ukupna vrednost koja je zaključana (TVL) u svim DeFi decentralizovanim aplikacijama je porasla. Krajem marta 2022. TVL u DeFi industriji je procenjen na oko 215 milijardi dolara, što je 156% više nego u martu 2021. Obim vrednosti koja je zaključana i transferisana u okviru DeFi decentralizovanih aplikacija je privukla pažnju zlonamernih hakera, i najnoviji trend pokazuje da su napadači izgleda pronašli slabu kariku u okviru transfer servisa.

Prema bazi podataka koji drži Rekt, u Q1 2022. je ukradeno 1,2 milijarde dolara u kripto imovini, što predstavlja 35,8% svih ukradenih sredstava od nastanka kripto ekosistema, prema istom izvoru. Ono što je zanimljivo, je da je najmanje 80% ukupno ukradene imovine u 2022. godini ukradeno sa transfer servisa.

Jedan od najtežih napada se dogodio pre dve nedelje kada je Ronin transfer servis hakovan u iznosu od 540 miliona dolara. Pre toga, sa Solana Wormhole i Qubit Finance transfer servisa na BNB blokčejnu je ukradeno više od 400 miliona dolara u 2022-oj. Trenutno, najveći napad u istoriji kriptovaluta se dogodio u avgustu 2021. kada je sa PolyNetwork transfer servisa ukradeno 610 miliona dolara, ali su ukradena sredstva kasnije vraćena.

Transfer servisi su jedan od najvrednijih alata u kripto industriji, ali njihova inter-operabilna priroda predstavlja važan izazov za projekte stvaraju servise.

Razumevanje transfer servisa na blokčejnu

Analogno mostovima na Menhetnu, blokčejn transfer servisi su platforme koje povezuju dve različite platforme/blokčejna, kroz omogućavanje unakrsnog prenos sredstava i informacija sa jednog blokčejna na drugi. Na ovaj način, kriptovalute i NFT-ovi nisu izolovani unutar matičnih lanaca, već se mogu prebacivati preko različitih blokčejnova, čime se povećavaju opcije za korišćenje sredstava.

Zahvaljujući transfer servisima, Bitcoin se koristi na različitim platformama koje su zasnovane na pametnim ugovorima u svrhe DeFi-ja, ili se „NFL All Day“ NFT može prebaciti sa Flow blokčejna na Ethereum da bi se prodao u delovima (frakcionisao) ili iskoristio kao kolateral, za pozajmicu.

Postoje različiti pristupi kada je u pitanju prenos sredstava. Kao što im samo ime sugeriše, transfer servisi „Lock-and-Mint“ funkcionišu kroz zaključavanje originalnih sredstava unutar pametnog ugovora sa strane koja šalje imovinu, dok platforma na koju se vrši transfer stvara repliku originalnog tokena sa njene strane. Ukoliko je ETH prebačen sa Ethereuma do Solane, ETH na Solana blokčejnu je samo „umotana“ vrednost kriptovalute, a ne token.

Locking and mint mehanizam | izvor: MakerDAO

Dok je pristup lock-and-mint najpopularniji između metoda za transfer sredstava, postoje i drugi načini za prenosa sredstava između blokčejna, poput „burn-and-mint“ ili razmena koje se samostalno izvršavaju putem pametnog ugovora između dve platforme. Connext (raniji naziv xPollinate) i cBridge su transfer servisi koji se oslanjaju na atomsku razmenu pomoću pametnog ugovora.

Sa bezbednosnog stanovišta gledano, transfer servisi se mogu klasifikovati u dve grupe: pouzdani transfer servisi i transfer servisi koji ne zahtevaju poverenje. Pouzdani transfer servisi su platforme koje se oslanjaju na treću stranu da bi validirali transakcije, ali, što je još važnije, da deluje kao čuvar sredstava čiji se transfer vrši. Primer pouzdanih transfer servisa se mogu naći u skoro svim transfer servisima koji su specifični za blokčejn, poput Binance Bridge, Polygon POS Bridge, WBTC Bridge, Avalanche Bridge, Harmony Bridge, Terra Shuttle Bridge, i specifičnim decentralizovanim aplikacijama poput Multichain (ranije Anyswap) ili Just Cryptos na Tron platformi.

Nasuprot tome, platforme koje se oslanjaju isključivo na pametne ugovore i algoritme za čuvanje imovine su transfer servisi koji ne zahtevaju poverenje. Bezbednosni faktor u transfer servisima koji ne zahtevaju poverenje je vezan za osnovnu mrežu gde se sredstva prebacuju, odnosno gde sredstva ostaju zaključana. Transfer servisi koji ne zahtevaju poverenje se mogu naći u Rainbow Bridge na NEAR platformi, Solana Wormhole, Snow Bridge na Polkadot platformi, Cosmos IBC-u i platformama poput Hop, Connext i Celer.

Na prvi pogled, može izgledati da transfer servisi koji ne zahtevaju poverenje nude sigurniju opciju za transfer sredstava između blokčejna. Međutim, obe vrste transfer servisa, sa ili bez poverenja se suočavaju sa različitim izazovima.

Ograničenja kod transfera servisa sa i bez poverenja

Ronin transfer servis funkcioniše kao centralizovana pouzdana platforma, koja koristi novčanik sa više potpisa za čuvanje imovine koja se prebacuje na mrežu. Ukratko, novčanik sa više potpisa je adresa koja zahteva dva ili više kriptografskih potpisa da bi se odobrila transakcija. U slučaju Ronin platforme, bočni blokčejn ima devet validatora, i potrebno je pet različitih potpisa da bi se odobrio depozit ili povlačenje sredstava.

Druge platforme koriste isti pristup, ali praktikuju bolju diversifikaciju rizika. Na primer, Polygon se oslanja na osam validatora, pri čemu zahteva pet potpisa. Pet potpisa su kontrolisane od različitih strana. U slučaju Ronin platforme, četiri potpisa je držao Sky Mavis tim, što predstavlja slabu tačku. Nakon što je haker uspeo da pribavi četiri Sky Mavis potpisa odjednom, bio mu je potreban još samo jedan potpis da se odobri povlačenje sredstava.

Dana 23. marta, napadač je preuzeo kontrolu nad Axie DAO potpisom, što je poslednji deo potreban za kompletiranje napada. 173,600 ETH i 25,5 miliona USDC su ukradeni iz Ronin ugovora o čuvanju sredstava u dve različite transakcije, što je kreiralo drugi najveći kripto napad ikada. Bitno je napomenuti da je Sky Mavis tim saznao za hak skoro nedelju dana kasnije, što pokazuje da su mehanizmi za praćenje transakcija koje koristi Ronin, u najmanju ruku neprikladni, što otkriva još jednu manu u okviru pouzdane platforme.

I pored toga što centralizacija predstavlja fundamentalni nedostatak, transfer servisi koji ne zahtevaju poverenje su skloni krađama usled grešaka i ranjivosti u softveru i kodu.

Solana Wormhole, platforma koja omogućava unakrsne transakcije između Solane i Ethereum-a, je pretrpela krađu u februaru 2022. godine, kada je ukradeno 325 miliona dolara usled greške u ugovorima o čuvanju sredstava na Solana blokčejnu. Greška u Wormhole ugovorima je omogućila hakeru da stvori validatore na blokčejnu. Napadač je poslao 0,1 ETH sa Ethereum-a na Solana blokčejn da bi pokrenuo niz „poruka za transfer“ koje su navele program da odobri navodni depozit od 120,000 ETH.

Do hakovanja u Wormhole je došlo nakon što je kroz Poly Network ukradeno 610 miliona dolara u avgustu 2021. usled nedostatka u taksonomiji i strukturi ugovora. Transakcije na unakrsnom blokčejnu u okviru decentralizovane aplikacije odobrava centralizovana grupa tačaka koje se nazivaju „čuvari“ i potvrđuju ih na prijemnoj mreži ugovorom o mrežnom prenosu sredstava. U napadu, haker je uspeo da ostvari privilegije kao čuvar i prevari mrežni prolaz, odnosno postavi sopstvene parametre. Napadač je ponovio proces u Ethereum-u, Binance-u, Neo-u i drugim blokčejnima, da bi povećao iznos ukradenih sredstava.

Svi transfer servisi vode do Ethereuma

Ethereum je ostao dominantan DeFi ekosistem u industriji, i čini skoro 60% TVL-a u industriji. U isto vreme, porast L1 platformi koje su alternativa Ethereum DeFi decentralizovanim aplikacijama podstakao je aktivnost u okviru transfer servisa.

Servis sa najviše prebačenih sredstava u industriji je WBTC, koji čuvaju BitGo, Kyber i Republic Protocol, tim koji stoji iza RenVM. S obzirom da Bitcoin tokeni nisu tehnički kompatibilni sa blokčejnima koji su zasnovani na pametnim ugovorima, WBTC transfer servis izvodi „umotavanje“ izvornog Bitcoin-a, zaključava ga u ugovoru o čuvanju u okviru servisa i stvara ERC-20 verziju tokena na Ethereum platformi. Servis je postao izuzetno popularan u toku DeFi leta i sada sadrži oko 12,5 milijardi dolara u Bitcoin-u. WBTC omogućava da se BTC koristi kao kolateral u decentralizovanim aplikacijama poput Aave, Compound i Maker, ili prinos na različitim DeFi protokolima.

Multichain, koji je ranije bio poznat kao Anyswap, je aplikacija koja nudi unakrsne transakcije za više od 40 različitih blokčejna sa ugrađenim transfer servisom. Multichain trenutno drži 6,5 milijardi dolara na svim povezanim mrežama. Međutim, transfer servis između Fantom-a i Ethereum-a je ubedljivo najveći sa zaključanih 3,5 milijardi dolara. U toku druge polovine 2021, Proof-of-Stake platforma se postavio kao popularna DeFi destinacija sa atraktivnim prinosom koji uključuje FTM, razne stabilne tokene ili wETH, poput prinosa koji se mogu naći na SpookySwap-u.

Za razliku od Fantom platforme, većina L1 platformi koristi nezavisni direktni transfer servis za povezivanje mreža. Avalanche transfer servis je uglavnom pod nadzorom Avalanche fondacije i najveći je transfer servis na L1<>L1 nivou. Avalanche se može pohvaliti sa veoma robusnim DeFi pejzažom, i decentralizovanim aplikacijama poput Trader Joe, Aave, Curve i Platypus Finance.

Binance transfer servis ima zaključanu imovinu od 4,5 milijardi dolara, i iza njega ide Solana Wormhole sa 3,8 milijardi dolara. Terra Shuttle Bridge u ovom trenutku obezbeđuje samo 1,4 milijarde dolara uprkos tome što je u pitanju drugi po veličini blokčejn u u smislu TVL-a na platformi.

Slično tome, rešenja za skaliranje poput Polygon, Arbitrum i Optimism su među najznačajnijim mostovima, kad su pitanju zaključana sredstva. Polygon POS Bridge, glavna transfer servis između Ethereuma i bočnog Polygon blokčejna, je treći po veličini sa skoro 6 milijardi dolara pod nadzorom. U međuvremenu, likvidnost u transfer servisima na popularnim L2 platformama kao što su Arbitrum i Optimism je u porastu.

Još jedan servis koji možemo pomenuti je Near Rainbow Bridge, koji ima za cilj da reši poznatu trilemu interoperabilnosti. Platforma povezuje Near i Aurora platforme sa Ethereum-om i može predstavljati dragocenu priliku da ostvari sigurnost u okviru transfer servisa koje ne zahtevaju poverenje.

Thanks for reading BanklessDAO bilten za adria region (SRB CRO BIH MNE)! Subscribe for free to receive new posts and support my work.

Poboljšanje bezbednosti transfer servisa između različitih blokčejna

Oba tipa transfer servisa, servisi sa poverenjem i oni koji ne zahtevaju poverenje, imaju potrebu za čuvanjem prebačenih sredstava, i skloni su fundamentalnim i tehničkim slabostima. Ipak, postoje načini da se spreči i/ili umanji uticaj koji izazivaju zlonamerni hakeri, koji ciljaju transfer servise.

U slučaju pouzdanih transfer servisa, potrebno je povećati odnos potrebnih potpisnika, uz istovremeno distribuiranje različitih potpisa u različite novčanike. I iako transfer servisi bez poverenja smanjuju rizik koji je povezana sa centralizacijom, greške i druga tehnička ograničenja predstavljaju rizične situacije, što pokazuju krađe sa Solana Wormhole ili Qubit Finance. Stoga je neophodno sprovesti akcije izvan blokčejna, kako bi se zaštitile platforme za transfer sredstava.

Potrebna je saradnja između različitih protokola. S obzirom da web3 prostor karakteriše povezana zajednica, savršen scenario bi predstavljao zajednički rad najkvalitetnijih programera u industriji, kako bi prostor postao sigurnije mesto. Animoca Brands, Binance i drugi web3 brendovi su se udružili i uložili 150 miliona dolara da bi pomogli Sky Mavis-u da smanji finansijski uticaj hakovanja Ronin transfer servisa. Interoperabilnost se može podići na viši nivo samo kroz zajednički rad u različitim blokčejn platformama.

Isto tako, koordinacija sa platformama za analizu blokčejn transakcija i centralizovanim menjačnicama (CEX) treba da pomogne u praćenju i označavanju ukradenih tokena. Transparentnost u praćenju ukradenih tokena može destimulisati kriminalce u srednjoročnom periodu, s obzirom da zamena kriptovaluta za fiat može biti kontrolisana KYC procedurama u uspostavljenim CEX menjačnicama. Prošlog meseca, par 20-godišnjaka je zakonski sankcionisano nakon izvršenih prevara u NFT prostoru. Bilo bi pošteno očekivati isti tretman za identifikovane hakere.

Revizije i nagrade za pronalaženje grešaka u softveru su način za poboljšanje kvaliteta web3 platformi, uključujući transfer servise. Sertifikovane organizacije poput Certik, Chainsafe, Blocksec i drugih pomažu da interakcije u web3 prostoru postanu bezbednije. Svi aktivni transfer servisi treba da budu revidirani od strane najmanje jedne sertifikovane organizacije.

U međuvremenu, programi za nagrađivanje pronalaženja grešaka stvaraju sinergiju između projekta i zajednice. Beli hakeri igraju vitalnu ulogu u identifikaciji ranjivosti pre nego što ih pronađu zlonamerni napadači. Na primer, Sky Mavis je nedavno pokrenuo program za nagrađivanje pronalaženja grešaka u vrednosti od milion dolara kako bi ojačao ekosistem.

Zaključak

Rast L1 i L2 rešenja kao holističkih blokčejn ekosistema koji su rivali decentralizovanim aplikacijama na Ethereum platformi je stvorio potrebu za unakrsnim platformama koje vrše transfer sredstava između različitih mreža. U pitanju je suština interoperabilnosti, jednog od stubova web3 ekosistema.

Bez obzira na to, trenutni interoperabilni scenario se oslanja na unakrsne protokole, a ne na pristup sa više različitih blokčejna, scenario za koji je Vitalik podelio upozorenje na početku godine. Potreba za interoperabilnosti u prostoru je više nego očigledna. Bez obzira na to, potrebne su snažne mere bezbednosti, kad su u pitanju transfer servisi.

Nažalost, u pitanju je izazov koji nije lako prevazići. I pouzdani i transfer servisi koji ne zahtevaju poverenje imaju nedostataka u dizajnu, i inherentne mane u unakrsnim platformama su postale primetne. Preko 80% od 1,2 milijarde dolara izgubljenih usled hakerskih napada u 2022. je posledica eksploatacije transfer servisa.

Pored toga, kako vrednost imovine u industriji raste, tako i hakeri postaju sofisticiraniji. Napadi koji su karakteristični za sajber prostoru, poput društvenog inženjeringa i phishing napada, su se prilagodili web3 narativu.

Pristup sa više različitih blokčejn platformi, gde su sve verzije tokena izvorne u svakom blokčejnu je i sada daleko. Usled toga platforme za transfer sredstava moraju naučiti nešto iz prethodnih događaja i pojačati procese da bi smanjile broj uspešnih napada, što je više moguće.

Linkovi

Twitter GM

Prvobitno objavljeno na našoj substack stranici u sredu 27.04.2022 - https://banklessadriadao.substack.com/

Sort:  


The rewards earned on this comment will go directly to the person sharing the post on Twitter as long as they are registered with @poshtoken. Sign up at https://hiveposh.com.