Web3 kommer inte att bli mainstream förrän det finns en sömlös blockkedjeintegration: med fler och fler broattacker, vad betyder detta?

Tillbaka i mars 2022, kryptovalutanätverket Ronin avslöjade att det hade fallit offer för ett av de största hackarna genom tiderna, och drabbats av ett intrång som gjorde det möjligt för angripare att stjäla mer än 540 miljoner dollar värde av Ethereum och USD-mynt. Incidenten såg hackare utnyttja en sårbarhet i en tjänst som kallas Ronin Bridge. Det är en av ett antal framgångsrika attacker på "blockchain-broar" nyligen som har uppmärksammat deras inneboende säkerhetsineffektivitet.

Blockkedjebryggor, ibland kallade nätverksbryggor, är tjänster som gör det möjligt för kryptoinnehavare att flytta sina digitala tillgångar från en blockkedja till en annan. De ger en viktig roll, eftersom kryptovalutor ofta är silade och saknar interoperabilitet, vilket innebär att du till exempel kan skicka Bitcoin till en Ethereum-plånboksadress. På grund av denna silade natur har broar dykt upp som en nyckelmekanism inom kryptoekonomin.

Bridgetjänster överför faktiskt inte en typ av digital tillgång till en annan kedja. Snarare, vad de gör är att "linda" kryptovaluta-tokens för att konvertera dem till en ny tillgång i den andra kedjan. Så om en användare vill överbrygga Bitcoin till Solana, kommer bryggan i princip att frysa den ursprungliga BTC genom att låsa den i en plånboksadress, innan den spottar ut vad som är känt som inpackad BTC (WBTC) som kan användas på den andra kedjan. Det kan ses som ett slags presentkort som ger exakt samma penningvärde, som bara kan användas i en specifik butik.

På grund av hur de fungerar har broar därför betydande reserver av kryptovaluta-tokens som är låsta i smarta kontrakt, och dessa reserver gör dem särskilt attraktiva för hackare.

Som kryptotrogna bara alltför väl vet, är alla värden som hålls i kedjan föremål för attack när som helst på dygnet. Internet går aldrig offline, vilket innebär att tokens som innehas av en bro alltid kan nås.

Ronin Hack visar faran med centralisering

 Attacken på Ronin-nätverket var ett av de största DeFi-rån någonsin sett till dollarvärde. Ronin är en Ethereum-sidokedja som möjliggör billigare transaktioner med mycket snabbare hastigheter än huvudnätverket. Det var valet för det populära "play-to-earn" kryptovalutaspelet Axie Infinity, vilket betyder att det hela tiden behandlade miljontals dollar i krypto- och stablecoins.

Sidokedjor är en blockchain-skalningslösning som kräver en brygga för att ansluta till andra kedjor. Med Ronin kan användare låsa sin ETH och mintlindade ETH på alternativa nätverk. Transaktioner behandlas och godkänns via en konsensusalgoritm för bevis på auktoritet. Med denna modell måste 5 av 9 validerare komma överens om en transaktion för att konsensus ska uppnås. Fyra av Ronins validerare drevs dock av ett företag – Sky Mavis, utvecklaren av Ronin.

Det var en kraftigt centraliserad installation som var resultatet av Axie Daos beslut att sätta upp en gasfri RPC-nod i november 2021 för att försöka fixa överbelastning i nätverket. DAO-godkända Sky Mavis-nycklarna för att underteckna transaktioner å dess vägnar. Det var bara tänkt att vara ett tillfälligt arrangemang, men tillåtelselistan återkallades aldrig. Detta skapade en öppning för angriparna – som sägs vara den Nordkorea-sponsrade Lazarus Group – som använde social ingenjörsteknik för att äventyra Sky Mavis fyra nycklar. Hackarna upptäckte sedan en sårbarhet i RPC:s kod, vilket gav den kontroll över en femte validator och lät den göra ett olagligt uttag.

Huvudfrågan var att Ronins multisignatursystem för att signera transaktioner äventyrades på grund av bristande decentralisering. Det illustrerar svagheten i säkerhetsmekanismer där majoriteten av styrningen är koncentrerad i händerna på en enda enhet.

Sårbarheter i smarta kontrakt kvarstår

 Ronin-hacket var inte en engångsföreteelse, utan snarare det senaste i en rad högprofilerade attacker på blockchain-broar som har resulterat i att värden för miljontals dollar har gått förlorade. En månad tidigare kom angriparna framgångsrikt iväg med Ethereum till ett värde av cirka 80 miljoner dollar efter en attack på Qubit Bridge.

Det är en tjänst som drivs av Qubit Finance-plattformen, som gör det möjligt för användare att låna ut och låna digitala tillgångar över Ethereum- och Binance Smart Chain-nätverken. Det gör det till exempel möjligt att sätta in en ERC-20-token och få ett BEP-20-mynt i utbyte, som sedan kan användas på Binance-kedjan.

Qubit Bridge hackades på grund av vad som sades vara ett "logiskt fel" i dess smarta kontrakts kod. Sårbarheten gjorde det möjligt för hackaren att manipulera bryggan med skadlig data, så att han eller hon kunde ta ut BSC-tokens utan att göra någon insättning på Ethereum. En obduktion av attacken fann att QBridge smarta kontrakt inte korrekt verifierade att den erforderliga mängden ETH var låst. Istället kunde hackaren visa falska bevis på en obefintlig insättning.

Incidenten tjänade till att belysa hur sårbarheter i smarta kontrakt förblir ett ihållande problem i DeFi, och särskilt för blockchain-broar. De allra flesta bryggattacker riktar sig mot buggar i smarta kontrakt, som är automatiserade kontrakt som exekveras själv när vissa villkor är uppfyllda.

Broar är nyckeln till att utöka kryptons räckvidd

 Kryptoplattformar har varit föremål för en oändlig ström av attacker ända sedan den begynnande industrin började bli populär. Anhängare av DeFi säger att det kan ge ett mer tillgängligt och rättvist alternativ till traditionella finansiella tjänster, men allt eftersom utrymmet har utvecklats har det utsatts för vad som i huvudsak är en eldprövning. Attacker på broar har blivit lika vanligt förekommande som kryptovalutautbyte och DeFi-protokollstöld. Problemet är att broar, som utbyten och protokoll, är höginsatsplattformar som har enorma mängder värde och vilken som helst av dem kan vara sårbar för buggar i sin underliggande kod.

Det finns en utbredd uppfattning att krypto och DeFi aldrig kommer att uppnå en utbredd användning utan en korrekt lösning på risken för attacker. Den stora majoriteten av världens värde innehas av institutionella investerare, såsom investeringsbanker och stora hedgefonder. Sådana organisationer prioriterar efterlevnad och säkerheten för sina medel över eventuella potentiella vinster. Så DeFi och krypto kommer sannolikt inte att bli mycket mer än en nischinvesteringsindustri förrän dess säkerhetsproblem kan lösas.

Brosäkerhet är av särskild vikt. Blockkedjornas silade karaktär är ett allvarligt handikapp som begränsar den potentiella räckvidden för alla decentraliserade applikationer. En dApp byggd på Ethereum kan inte prata med andra baserat på olika blockkedjor. Det kan inte handla med Bitcoin, världens mest värdefulla och mest använda kryptovaluta, vilket innebär att BTC-innehavare inte har något sätt att interagera med DeFi-ekosystemet. Om krypto någonsin kommer att bli allestädes närvarande måste användarna ha ett säkert sätt att kommunicera med olika kedjor.

Bygga bättre broar

 Den goda nyheten är att det finns de i branschen som inser vikten av säker blockchain-anslutning. Ett spännande perspektiv är AllianceBlocks mycket lovande AllianceBridge, som stöder stora nätverk inklusive Ethereum, Binance Smart Chain, Avalanche, Polygon, Arbirtrum, Optimism och Energy Web med en unik infrastruktur som är mer decentraliserad och ger snabbare och säkrare prestanda.

Till skillnad från centraliserade bryggor, som förlitar sig på en enda eller bara ett fåtal enheter för att verifiera att transaktioner är legitima, är decentraliserade bryggor baserade på samma principer som själva blockchain. Det finns flera operatörer som använder välstrukturerade konsensusmekanismer för att fastställa transaktionernas giltighet. AllianceBridge är en decentraliserad bro som har utvecklat en unik metod för att säkerställa konsensus.

Som med andra låser AllianceBridge de tokens som den tar emot i ett smart kontrakt och utfärdar sedan inslagna tokens på målblockkedjan. Dessa inslagna token kommer att finnas i den andra kedjan tills användaren bestämmer sig för att lösa in dem på det ursprungliga nätverket. Vid den tidpunkten bränns de inslagna polletterna, vilket betyder att de upphör att existera, medan de ursprungliga polletterna på den ursprungliga kedjan är upplåsta.

Där AllianceBridge skiljer sig är att den använder ett EVM-kompatibelt nätverk av brooperatörer. Dessutom utnyttjar den den robusta, tredje parten Hedera Hashgraph Consensus Service som drivs av en innovativ "skvaller-om-skvaller” konsensusalgoritm.

Med hjälp av HCS-tjänsten kan blockchain-applikationer och nätverk skicka meddelanden till Hedera publika reskontra, där de tidsstämplas och beställs med full transparens. Detta gör det möjligt för AllianceBridge att nå konsensus utan att upprätthålla synkronisering mellan sina brooperatörer. Detta innebär snabbare prestanda med en hög grad av decentralisering, samtidigt som HCS ger ett extra lager av förtroende som gör bryggan säkrare.

AllianceBridges smarta kontrakt, som används för att låsa de ursprungliga tillgångarna och prägla och bränna inslagna polletter, ger ännu mer trygghet. Hela kodbasen för smart kontrakt skrevs för att överensstämma med EIP-2535-standarden och har varit det fullständigt granskad av Omniscia. Under granskningen påpekade Omniscia ett antal potentiella problem som omgående fixades av AllianceBlock innan koden gick live.

Säkerheten och tillförlitligheten hos AllianceBridge har spelat en nyckelroll för att utöka användbarheten av AllianceBlocks svit av DeFi-erbjudanden, inklusive DeFi-terminal, vilket ger ett enkelt sätt för projekt att lansera likviditetsutvinnings- och insatskampanjer över flera stödda nätverk och dApps. Med sitt säkra blockchain-interoperabilitetsprotokoll bygger AllianceBlock den robusta grunden som ett rikt, sammankopplat Web3-ekosystem behöver för att växa och utvecklas.

- Annons -