2.5 миллиард доллардан астам болды ұрланған Token Terminal есебіне сәйкес 2021 жылдан 2022 жылға дейін криптокөпірді бұзу. Бірақ, әзірлеушілердің көпір қауіпсіздігін жақсартуға бірнеше әрекеттеріне қарамастан, Uniswap DAO форумдарында 2022 жылдың желтоқсанынан 2023 жылдың қаңтарына дейін пікірталас болды. ұсқынсыз блокчейн көпірлерінде әлі де бар қауіпсіздіктің әлсіз жақтары.
Бұрын Ronin және Horizon сияқты көпірлер тек көпір валидаторлары ақша алуға рұқсат бере алатынына көз жеткізу үшін мультисиг әмияндарын пайдаланды. Мысалы, Ронин қайтарып алу үшін тоғыз қолдың бесеуін талап етсе, Горизонт бес қолдың екеуін талап етті. Бірақ шабуылдаушылар бұл жүйелерді қалай айналып өтуге болатынын түсінді және миллиондаған долларлық криптованиені алып тастады, бұл көпірлердің пайдаланушыларын қолдаусыз белгілермен қалдырды.
Осы мультисиг көпірлері бұзылғаннан кейін әзірлеушілер қауіпсізрек деп мәлімдеген Celer, LayerZero және Wormhole сияқты күрделірек протоколдарға жүгіне бастады.
Бірақ 2022 жылдың желтоқсанында Uniswap DAO BNB тізбегіне Uniswap v3 қолдануды талқылауды бастады. Бұл процесте орталықтандырылмаған автономды ұйым (DAO) кросс-тізбекті Uniswap басқару үшін қандай көпір протоколы қолданылатынын шешуі керек болды. Келесі талқылауда әрбір шешімнің қауіпсіздігіне сыншылар дау тудырды, кейбір бақылаушылар Uniswap мақсаттары үшін бірде-бір көпір шешімі жеткілікті қауіпсіз емес деген қорытындыға келді.
Нәтижесінде, кейбір қатысушылар бүгінгі күні криптовалютаның кросс-тізбекті ортасында криптовалюта активтерін тек көпкөпірлік шешім ғана қорғай алады деген қорытындыға келді.
Қазіргі уақытта 10 миллиард доллардан астам крипто активтері бар құлыпталған 15 ақпандағы жағдай бойынша көпірлерде, Дефилламаның айтуынша, көпір қауіпсіздігі мәселесін өзекті мәселеге айналдырады.
Блокчейн көпірлері қалай жұмыс істейді
Блокчейн көпірлері бөлісуге екі немесе одан да көп блокчейндерді қосыңыз бір-бірімен деректер, мысалы, криптовалюта. Мысалы, көпір USD Coin (USDC) Ethereum-дан BNB Chain-ге немесе Trader Joe (JOE) Avalanche-тен Гармонияға жіберіледі.
Бірақ әрбір блокчейн желісінің басқалардан бөлек өз архитектурасы мен дерекқоры бар. Демек, тура мағынада бір желіден екіншісіне монета жіберу мүмкін емес.
Бұл мәселені шешу үшін көпірлер бір желіде монеталарды құлыптап, екіншісінде олардың көшірмелерін шығарады. Пайдаланушы өз монеталарын бастапқы желіге «жылжытқысы» келгенде, көпір көшірмелерді өртеп, түпнұсқа монеталардың құлпын ашады. Бұл монеталарды желілер арасында жылжытпаса да, криптовалюта пайдаланушыларының көпшілігінің мақсаттарына сәйкес келетіндей ұқсас.
Дегенмен, мәселе шабуылдаушы қабылдау тізбегінде қорғалмаған монеталарды соғуы немесе оның көшірмелерін күйдірмей жіберу тізбегінен монеталарды алуы мүмкін болғанда туындайды. Қалай болғанда да, бұл қабылдау тізбегінде ештеңемен қамтамасыз етілмеген қосымша монеталарға ие болады. 2022 жылғы Ronin және Horizon хакктерінде дәл осылай болды.
Ронин және Горизонт: Көпір дұрыс болмаған кезде
Ронин көпірі Axie Infinity ойыншыларына ойынды ойнау үшін Ethereum мен Ronin бүйірлік тізбегі арасында тиындарды жылжытуға мүмкіндік беретін протокол болды.
Көпірге арналған Ethereum келісім-шарттарында «withdrawERC20For» деп аталатын функция болды, ол Ronin валидаторларына Ethereum-да токендерді алып тастауға және оларды Ronin-де күйдірмей немесе жағусыз пайдаланушыға беруге мүмкіндік берді. Дегенмен, валидаторлар іске қосқан Ronin бағдарламалық құралы, егер Рониндегі сәйкес монеталар өртеніп кеткен болса, осы функцияны шақыруға ғана бағдарламаланған. Функцияны шақыру тоғыз валидатор түйінінің бесеуінен қол қоюды талап етті, бұл шабуылдаушы бір түйінді басқарса да, қаражатты алып тастауға жол бермейді.
Ақшаның ұрланбауын қамтамасыз ету үшін Axie Infinity әзірлеушісі Sky Mavis валидатор кілттерінің көпшілігін басқа мүдделі тараптарға, соның ішінде Axie DAO-ға таратты. Бұл Sky Mavis компьютерлері басып алынса, шабуылдаушы әлі де монеталарды олардың қолдауынсыз шығара алмайтынын білдірді, өйткені шабуылдауда тек төрт кілт болады.
Бірақ осы сақтық шараларына қарамастан, шабуылдаушы Sky Mavis-тің барлық төрт кілтін, сонымен қатар Axie DAO-дан бесінші қолтаңбаны ала алады. 600 миллионнан астам долларды алып тастау көпірден крипто құны.
Соңғы: SEC және Kraken: криптоға шабуылда бір реттік немесе ашылатын сальво?
Sky Mavis содан бері шабуыл құрбандарына өтемақы төледі және төледі қайта бастады әзірлеушілер үлкен немесе күдікті ақша алуды тоқтататын «сөндіргіш» жүйесі деп атайтын көпір.
Ұқсас шабуыл 24 жылдың 2022 маусымында Harmony Horizon көпірінде болды. Бұл көпір пайдаланушыларға активтерді Ethereum-дан Harmony-ге және қайтадан кері тасымалдауға мүмкіндік берді. «UlockTokens» (алып тастау) функциясын Harmony командасының бес қолтаңбасының екеуі рұқсат берген жағдайда ғана шақыруға болады. Бұл қолтаңбаларды жасай алатын жеке кілттер болды кілттерді басқару қызметі арқылы шифрланады және сақталады. Бірақ кейбір белгісіз әдіс арқылы шабуылдаушы кілттердің екеуін алып, шифрын шеше алды, бұл оларға мүмкіндік берді 100 миллион долларлық криптованиені алып тастаңыз көпірдің Ethereum жағынан.
Гармония командасы ұсынды 2022 жылдың тамызында өтемақы жоспары және қайта бастады LayerZero арқылы көпір.
Осы бұзулардан кейін кейбір көпір әзірлеушілері қарапайым мультисиг әмиянынан гөрі жақсырақ қауіпсіздік қажет деп есептеді. Бұл жерде көпірлік протоколдар пайда болды.
Көпірлік хаттамалардың өсуі
Ronin және Horizon хакерлері көпір қауіпсіздігі мәселесіне назар аударғандықтан, бірнеше компаниялар басқа әзірлеушілер өздерінің нақты қажеттіліктері үшін теңшей немесе жүзеге асыра алатын көпір протоколдарын жасауға маманданды. Бұл хаттамалар алуды өңдеу үшін мультисиг әмиянды пайдаланудан гөрі қауіпсізрек деп мәлімдейді.
Қаңтар айының соңында Uniswap DAO орталықтандырылмаған биржасының BNB Chain нұсқасын іске қосуды қарастырды. Бұл процесте қандай протоколды қолдану керектігін шешу қажет болды. Мұнда қарастырылған төрт протокол және олардың көпірлерін қалай қорғауға тырысатыны туралы қысқаша түсініктеме берілген.
Нөлдік қабат
айтуынша LayerZero құжаттарына сәйкес, хаттама монеталардың тағайындалған тізбегінде соғылуына рұқсат бермес бұрын бастапқы тізбекте құлыпталғанын тексеру үшін екі серверді пайдаланады. Бірінші сервер «oracle» деп аталады. Пайдаланушы жіберу тізбегінде монеталарды құлыптаған кезде, oracle осы транзакцияға арналған блок тақырыбын тағайындау тізбегіне жібереді.
Екінші сервер «релейлік» деп аталады. Пайдаланушы монеталарды жіберу тізбегінде құлыптаған кезде, релелік екінші тізбекке құлыптау транзакциясының oracle сілтеме жасаған блокта қамтылғанының дәлелін жібереді.
Оракул мен релеер тәуелсіз және келісім жасамағанша, шабуылдаушының В тізбегіндегі тиындарды А тізбегіне бекітпей соғуы немесе В тізбегінде күйдірмей А тізбегіндегі монеталарды алуы мүмкін емес.
LayerZero әдепкі Oracle үшін Chainlink пайдаланады және оны пайдаланғысы келетін қолданбаларды әзірлеушілер үшін өзінің әдепкі релесін қамтамасыз етеді, бірақ әзірлеушілер қаласа, осы серверлердің теңшелетін нұсқаларын да жасай алады.
Celer
айтуынша Celer cBridge құжаттарына сәйкес, Celer монеталардың басқа тізбекте соғылғанға дейін бір тізбекте құлыпталғанын тексеру үшін «мемлекет қамқоршылары» деп аталатын ставканы растау (PoS) валидаторларының желісіне сүйенеді. Валидаторлардың үштен екісі транзакцияның расталуы үшін жарамды екеніне келісуі керек.
Uniswap пікірталасында Celer негізін қалаушы Мо Донг анықталған Бұл хаттама консенсустың «оптимистік жинақтау стиліндегі қауіпсіздік» деп аталатын балама механизмін ұсынады. Бұл нұсқада транзакциялар күту кезеңіне жатады, егер ол бар ақпарат көпшіліктің үштен екісіне қайшы келсе, кез келген мемлекеттік қамқоршыға транзакцияға вето қоюға мүмкіндік береді.
Мо кейбір қолданбаларды әзірлеушілер, соның ішінде Uniswap, желі бұзылған болса да, алаяқтық транзакцияларды бұғаттай алатындығына кепілдік беру үшін «оптимистік жиынтыққа ұқсас қауіпсіздік үлгісін» пайдалануы және өздерінің қолданба қорғаушысын іске қосуы керек деп сендірді.
Желінің валидаторлары кім деген сұраққа жауап ретінде Celer негізін қалаушы мәлімдеді:
«Celer-те барлығы 21 валидатор бар, олар Binance, Everstake, InfStones, Ankr, Forbole, 01Node, OKX, HashQuark, RockX және т.б. сияқты Binance Chain, Avalanche, Cosmos және т.б. сияқты тізбектерді қорғайтын беделді PoS валидаторлары. »
Ол сонымен қатар Celer жалған транзакцияларды растауға тырысатын валидаторларды кесіп тастайтынын атап өтті.
Құрт
айтуынша команданың форум жазбасына сәйкес, Wormhole алаяқтық транзакциялардың алдын алу үшін «қамқоршылар» деп аталатын 19 валидаторға сүйенеді. 13 валидатордың 19-і транзакцияны растау үшін келісуі керек.
Uniswap пікірталасында Wormhole оның желісі орталықтандырылмаған және әріптестеріне қарағанда беделді валидаторлары бар екенін дәлелдеп, «Біздің Guardian жиынтығына Staked, Figment, Chorus One, P2P және т.б. қоса алғанда жетекші PoS валидаторлары кіреді» деді.
Дебридж
DeBridge құжаттары айту бұл 12 валидаторы бар proof-of-stake желісі. Осы валидаторлардың сегізі транзакцияның расталуы үшін жарамды екеніне келісуі керек. Алаяқтық транзакциялардан өтуге әрекеттенетін валидаторлар қысқартылады.
Uniswap дебатында deBridge негізін қалаушы Алекс Смирнов мәлімдеді барлық deBridge валидаторлары «көптеген басқа хаттамалар мен блокчейндерді растайтын кәсіби инфрақұрылым жеткізушілері» және «барлық валидаторлар беделі мен қаржылық тәуекелдерін көтереді».
Пікірталастың кейінгі кезеңдерінде Смирнов Uniswap үшін жалғыз шешім ретінде deBridge пайдаланудан гөрі көпкөпірлік шешімді жақтай бастады, өйткені ол түсіндірді:
«Егер deBridge температураны тексеру және одан әрі басқару дауыс беруі үшін таңдалса, Uniswap-deBridge интеграциясы осы көпір-агностикалық құрылымның контекстінде құрылады және осылайша басқа көпірлердің қатысуына мүмкіндік береді».
Uniswap көпірі туралы пікірталас барысында осы хаттамалардың әрқайсысы қауіпсіздік және орталықсыздандыру тұрғысынан сынға ұшырады.
LayerZero қолданба әзірлеушілеріне қуат береді деген болжам бар
LayerZero жасырын 2/2 мультисиг болып табылады және барлық қуатты қолданба әзірлеушісінің қолына берді деп сынға ұшырады. 2 қаңтарда L2Beat авторы Кшиштоф Урбански болжамды Егер шабуылдаушы қолданба әзірлеушісінің компьютерлік жүйелерін бақылауға алса, LayerZero жүйесіндегі oracle және relayer жүйесін айналып өтуге болатынын.
Мұны дәлелдеу үшін Урбански LayerZero арқылы жаңа көпір мен таңбалауышты орналастырды, содан кейін Ethereum-дан оптимизмге дейін кейбір белгілерді біріктірді. Содан кейін ол oracle мен релейлерді әдепкі серверлерден оның бақылауындағы серверлерге өзгерту үшін әкімші функциясын шақырды. Содан кейін ол Ethereum-дағы барлық таңбалауыштарды алып тастап, оптимизмдегі токендерді қолдаусыз қалдырды.
Urbański мақаласын пікірталасқа көптеген қатысушылар, соның ішінде GFX Labs және LIFI Филлип Центнер LayerZero-ны Uniswap үшін жалғыз көпір протоколы ретінде пайдаланбаудың себептері ретінде келтірді.
Cointelegraph-қа сөйлеген сөзінде LayerZero бас директоры Брайан Пеллегрино бұл сынға жауап беріп, LayerZero-ны қолданатын көпір әзірлеушісі «кез келген параметрлерді өзгерту [оның] қабілетін жоя алады және ол 100% өзгермейтін болады» деп мәлімдеді. Дегенмен, әзірлеушілердің көпшілігі мұны жасамауды таңдайды, өйткені олар кодқа өзгермейтін қателерді енгізуден қорқады. Ол сондай-ақ жаңартуларды «орта тізбекті аутентификация» немесе үшінші тарап желісінің қолына беру қолданба әзірлеушісінің оны басқаруына қарағанда қауіптірек болуы мүмкін екенін айтты.
Кейбір қатысушылар LayerZero-ны тексерілмеген немесе жабық бастапқы әдепкі релеері бар деп сынға алды. Бұл Uniswap-қа өзінің жеке релелерін тез әзірлеуді қиындатады.
Celer қауіпсіздік моделіне қатысты алаңдаушылық тудырады
А.Н. жылы міндетті емес бастапқы дауыс беру 24 қаңтарда Uniswap DAO басқару үшін ресми Uniswap көпірі ретінде Celer бар BNB Chain-ге орналастыруды таңдады. Алайда, GFX Labs көпірді сынай бастағанда, олар орналастырды Celerin қауіпсіздік үлгісі туралы алаңдаушылықтар мен сұрақтар.
GFXLabs мәліметтері бойынша, Celer бес мультисигтердің үшеуінің бақылауында жаңартылатын MessageBus келісімшартына ие. Бұл зиянды адам бүкіл протоколды бақылауға алатын шабуыл векторы болуы мүмкін.
Бұл сынға жауап ретінде Celer негізін қалаушы Мо келісім-шартты төрт беделді мекеме бақылайтынын айтты: InfStones, Binance Staking, OKX және Celer Network. Донг MessageBus келісімшарты болашақта табылуы мүмкін қателерді түзету үшін жаңартылуы керек деп сендірді, өйткені ол түсіндірді:
«Біз кез келген ықтимал қауіпсіздік мәселелерін шешуді жеңілдету және міндетті мүмкіндіктерді қосу мақсатында MessageBus-ты жаңартуға мүмкіндік бердік. Дегенмен, біз бұл процеске мұқият қараймыз және басқару үдерісімізді үнемі бағалаймыз және жетілдіреміз. Біз GFXLabs сияқты қосымша белсенді қатысушыларды көбірек қатысуға шақырамыз».
Дебаттың кейінгі кезеңдерінде Селер бастады қолдау көрсету өз хаттамасының жалғыз көпір екендігін дәлелдеудің орнына көпкөпірлік шешім.
Құрт тесігі кесілмейді
Wormhole дұрыс әрекет етпейтін валидаторларды жазалау үшін кесу әдісін қолданбағаны және транзакциялардың ол мойындағаннан азырақ көлемін жасағаны үшін сынға алынды.
Мо қиғаштары бар PoS желісі әдетте жоқ желіден жақсырақ екенін айтты. көрсете отырып,, «Wormhole-де хаттамада орнатылған экономикалық қауіпсіздік немесе кесу жоқ. Егер басқа орталықтандырылған/тізбектен тыс келісім болса, біз құрт тесігі оларды қоғамдастыққа мәлім ете алады деп үміттенеміз. Осы салыстыруға қарап, хаттамадағы экономикалық қауіпсіздіктің ақылға қонымды деңгейі >> 0 хаттамадағы экономикалық қауіпсіздік».
Мо сонымен қатар Wormhole транзакцияларының көлемі компания мойындағаннан төмен болуы мүмкін деп мәлімдеді. айтуынша оның айтуынша, Wormhole транзакцияларының 99% -дан астамы Pythnet-тен келеді және егер бұл санды алып тастаса, «Wormhole-да соңғы 719 күнде күніне 7 хабарлама бар».
DeBridge оған қарсы бағытталған сындар өте аз болды, өйткені қатысушылардың көпшілігі Celer, LayerZero және Wormhole басым таңдаулар деп ойлаған сияқты.
Пікірталастың кейінгі кезеңдерінде деБридж командасы көпкөпірлік шешімді жақтай бастады.
Көпірлі шешімге қарай ма?
Uniswap пікірталастары жалғасуда, бірнеше қатысушылар басқару үшін бірде-бір көпір протоколын пайдаланбау керектігін айтты. Оның орнына олар бірнеше көпірді пайдалану керек және басқару шешімін растау үшін барлық көпірлердің көпшілігінің немесе тіпті бірауыздан қабылданған шешім талап етілуі керек деп мәлімдеді.
Селер мен Дебридж пікірталас жүріп жатқанда және LIFI бас директоры осы көзқарасқа келді Филлип Зетнер бұл туралы дәлелдеді Uniswap-тың BNB-ге көшуін көп көпірлік шешім жүзеге асырылғанша кейінге қалдыру керек.
Сайып келгенде, Uniswap DAO дауыс берді Wormhole бар BNB тізбегіне орналастырыңыз ресми көпір ретінде. Дегенмен, Uniswap атқарушы директоры Девин Уолш түсіндірді бір көпірмен орналастыру кейінірек қосымша көпірлерді қосуды болдырмайды. Сондықтан көпкөпірлік шешімді жақтаушылар өз күш-жігерін жалғастыра береді.
Блокчейн көпірлері қауіпсіз бола ала ма?
Unsiwap-тің кросс-тізбекті басқару процесінде не болғанына қарамастан, пікірталас тізбекті көпірлерді қамтамасыз ету қаншалықты қиын екенін көрсетті.
Қаражатты алуды мультисиг әмияндарының қолына тапсыру нашар актерлердің пайдаланушылардың келісімінсіз бірнеше қолтаңбаларды бақылауға алуы және белгілерді қайтарып алу қаупін тудырады. Ол блокчейн әлемін орталықтандырады және пайдаланушыларды орталықтандырылмаған хаттамалардың орнына сенімді органдарға сенуге мәжбүр етеді.
Соңғы: DeFi қауіпсіздігі: сенімсіз көпірлер пайдаланушыларды қорғауға қалай көмектеседі
Екінші жағынан, proof-of-stake стиліндегі көпір желілері күрделі бағдарламалар болып табылады, оларда қателер болуы мүмкін және олардың келісім-шарттары жаңартылмаса, бұл қателерді негізгі желілердің бірінің қатты шанышқысысыз түзету мүмкін емес. . Әзірлеушілер протоколдарды шынымен орталықсыздандырылған және, демек, жаңартуға болмайтын етумен салыстырғанда, жаңартуларды бұзуға ұшырауы мүмкін сенімді органдардың қолына беру арасындағы келіссөзге тап болады.
Миллиардтаған долларлық криптовалюта көпірлерде сақталады және криптографиялық экожүйе өскен сайын, уақыт өте келе бұл желілерде сақталатын активтер одан да көп болуы мүмкін. Сондықтан блокчейн көпірін қамтамасыз ету және осы активтерді қорғау мәселесі өзекті болып қала береді.
Дереккөз: https://cointelegraph.com/news/uniswap-dao-debate-shows-devs-still-struggle-to-secure-cross-chain-bridges