Decentraliserad finans (DeFi) kan ha dykt upp som en spännande kategori i blockchain-ekosystemet, men dess fortfarande begynnande tillstånd har lämnat många deltagare utsatta för de medföljande riskerna med denna mer demokratiserade iteration av finansiella tjänster.
Det senaste utnyttjandet av Wormhole, en blockchain-bro mellan Solana och Ethereum, understryker de brister som fortsätter att dyka upp och påverkar DeFi-användare. För sammanhanget var hacket på 325 miljoner dollar i praktiken resultatet av bristfällig logik i bryggans programmeringsuppsättning för en uppdatering.
Vanligtvis kräver en transaktion som flyter genom Wormhole till Solana en giltig transaktionssignatur och förmyndare (godkänd valideringsnod). Om dessa två villkor är uppfyllda godkänns transaktionsbegäranden. I händelse av en ogiltig transaktionssignatur och giltig vårdnadshavare är de nödvändiga villkoren för att initiera en transaktion inte uppfyllda, vilket leder till att Solana nekar denna begäran. Men istället för att presentera ogiltiga villkor där det fanns en ogiltig transaktionssignatur och giltig vårdnadshavare, använde hackaren en ogiltig signatur och en icke-vårdnadshavare, vilket i praktiken skapade två icke godkända villkor.
Eftersom två giltiga villkor krävs för att bilda en "matchning" för att acceptera transaktionsförfrågningarna, och två ogiltiga villkor också kan ses som en "matchning" inom systemets befintliga logik, gjorde det möjligt för hackaren att prägla insvept Ethereum (wETH) på Solana . Utan att behöva sätta in 120,000 120,000 ETH på det som fungerar som ett depositionskonto, satte hackern XNUMX XNUMX wETH, som sedan byttes ut, vilket lurade Wormhole att låsa upp vanligt Ethereum som ställde säkerhet för annan WETH på Solana.
Även om Wormhole-teamet sedan dess har åtgärdat felet, är det oklart hur de avser att rekapitalisera de medel som stulits från bron trots att de tillkännagav försök i detta syfte. Medan de har gjort prispengar till hackern, har bortfallet varit öronbedövande. Ändå belyser detta hack de betydande sårbarheterna inom de kritiska interoperabilitetsinfrastrukturerna som ansluter DeFi, och ännu viktigare, de som tillåter blockkedjor att kommunicera.
Kan flerpartsberäkning innebära säkrare interoperabilitet?
Interoperabilitet, eller i detta sammanhang, förmågan att koppla ihop bortkopplade blockkedjor och ekosystem, är limmet som håller ihop decentraliserad ekonomi via en spridning av broar, orakel med mera. Men interoperabilitet kan också innebära sårbarhet, som var fallet med Wormhole, särskilt när interoperabilitet är ansvarig för att övervaka det säkra utbytet av värde mellan två system.
Idén med att kräva flera parter eller bevis (som signaturer) för att godkänna vissa transaktioner är inte främmande för blockchain-teknik utan ett ganska vanligt inslag i vissa e-plånböcker. Idén att distribuera signaturkraft till flera parter minskar risken för en enda punkt av fel.
För mutlisig-plånböcker innebär det att man bestämmer vilka medundertecknarna ska vara och hur många medundertecknare som måste underteckna en transaktion. Problemet med denna modell är att ändra medundertecknare och behörigheter, för att inte tala om att flera signaturer måste presenteras samtidigt, vilket resulterar i tillgänglighetskrav från medundertecknare för varje transaktion.
Multi-party computation (MPC) kan hjälpa till att undvika dessa komplikationer, men dess tillämpning sträcker sig långt bortom plånböcker och nyckelverifiering. MPC använder helt modifierbara slutpunkter som innehåller en del av de hemliga nycklarna men inte deras helhet. Tillsammans används dessa ändpunkter för att bilda en konsensus, och ett minsta antal ändpunkter ställs in för att nå denna konsensus om en transaktion.
Kurt Nielsen, VD och medgrundare av Partisia blockchain, tror att MPC har nyckeln till att låsa upp den verkliga potentialen för interoperabilitet i ett säkrare, pålitligt ramverk. Nielsen konstaterar, "Interoperabilitet via token-broar uppvisar en enorm potential att bli en viktig värdeskapare i blockchain-ekosystemet. Men som vi såg i Wormhole-exploatet innebär att flytta tokens utanför deras etablerade säkerhetsmodell betydande utmaningar och sårbarheter. Vårt svar är mer sofistikerade, beprövade revisionsprinciper och storskaliga MPC-säkerhetsåtgärder."
Han förklarar vidare, "För det första representerar ett Oracle som löper ut regelbundet på ett effektivt och transparent sätt värdena över de olika blockkedjorna, som dubbla bokföring som har bevisat sitt värde sedan Medici Bank på 14-talet. För det andra undviker storskaliga MPC-säkerhetsåtgärder ackumulering av finansiella risker över Oracles eller epoker. För det tredje ger noderna som driver Oracle under en given epok säkerhet för att backa upp de överförda värdena, och slutligen kompenseras objektiva obalanser genom en decentraliserad tvistprocess.”
Partisia har varit involverat i MPC-lösningar av kommersiell kvalitet sedan 2008 och tillämpar nu sin skarpsinne på blockkedjebaserade applikationer. Partisia Blockchain fungerar effektivt som ett interoperabilitetslager med hjälp av Zero-Knowledge proof beräkningar. Med noder som betygsätts och rankas enligt deras förtroendepoäng, kan DeFi-användare få större förtroende för hur och vem som flyttar deras värde mellan ekosystem.
Även om den hittills största incidenten 2022 är, kommer Wormhole sannolikt att vara långt ifrån det enda DeFi-protokollet, bryggan eller blockkedjan som hackare riktar sig till när året fortskrider. Ändå, som Partisia visar, framstår MPC som en strategi för att främja kommunikation mellan nätverk som övervakar data eller värdeöverföring utan att veta exakt vad som överförs av vem och var.
Källa: https://zycrypto.com/wormhole-exploit-underlines-case-for-greater-mpc-use-across-blockchain-oracles-bridges/