Nagkakahalaga ng $2B ang Bridge Exploits noong 2022, Narito Kung Paano Sila Naiwasan

Sa ebolusyon patungo sa isang buong multi-chain na hinaharap, ang mga tulay ay nananatiling mas mahina sa mga hack kaysa sa mga Cryptocurrency network mismo. Sa 2022 lang, tapos na $2 bilyon sa mga asset ay ninakaw mula sa mga pagsasamantala sa token bridge. Ang pinakamasamang bahagi ay maaari silang lahat ay naiwasan sa pamamagitan ng paggamit ng maraming mga hakbang sa seguridad.

Sa pamamagitan ng pagsusuri sa ilan sa mga pag-atake noong 2022, mas mauunawaan natin ang ilan sa mga pangunahing depekto sa system at ang mga indibidwal na hakbang sa seguridad na umiiral o ginagawa upang maprotektahan laban sa mga ito.

Social engineering

Ang mga pag-atake sa social engineering ay ang pinakakaraniwang anyo ng mga paglabag sa seguridad. Ang bawat tao'y napapailalim sa isang pag-atake ng social engineering sa ilang mga punto sa kanilang buhay - alinman sa pamamagitan ng phishing o honey traps, kung saan ipinangako ang "too-good-to-be-true na mga alok" kapalit ng personal na impormasyon.

Si Martin Köppelmann ay co-founder ng Gnosis.

Ang mga hacker sa pinakamalaking bridge exploit noong 2022 ay umasa sa mga katulad na paraan upang magsipsip ng mga pondo. Ang blockchain ng high-profile na Crypto game Axie Infinity ay na-hack gamit ang isang phishing scheme na may kinalaman sa mga pekeng alok ng trabaho sa LinkedIn.

Ang developer ng laro, si Sky Mavis, ay nagsabi na ang mga empleyado nito ay na-target ng mga pekeng alok sa trabaho at hiniling pa na humarap para sa maraming round ng mga panayam sa trabaho. Nang makuha ng mga empleyado ang pain, na-access ng mga hacker ang kanilang mga system at nakakuha ng $625 milyon mula sa Ronin Network ng Sky Mavis. Sa isang pagsusuri sa postmortem kung ano ang mali, sinabi ni Sky Mavis na biktima ito ng mga advanced na pag-atake ng spear-phishing.

Nakompromiso ang mga pribadong key

Noong Setyembre 2022, na-hack ang Wintermute, isang algorithmic market Maker, sa halagang $160 milyon, malamang dahil sa kahinaan sa mga pribadong key na nabuo ng Profanity app.

Ang pribadong susi ng HOT wallet ay pinagsamantalahan at ginamit upang maubos ang mga pondo. Sinabi ng mga ulat dati nang nakita ang mga bahid sa mga address ng Profanity, ngunit T sineseryoso ng kumpanya ang mga ulat na ito.

Ang isang katulad na dahilan ay iniulat sa likod ng hack ng Slope, na nagreresulta sa pagkawala ng $6 milyon para sa kumpanya.

Mga bug ng matalinong kontrata

Ang mga matalinong kontrata ay mga programang nakaimbak sa isang blockchain na itinakda upang mag-trigger kapag natugunan ang ilang mga paunang natukoy na kundisyon. Sa mga tuntunin ng e-commerce, halimbawa, ito ang nagpapatunay sa isang website na ang isang item ay dapat maihatid kapag naidagdag mo na ito sa iyong basket at binayaran ito. Ang isang bug sa isang matalinong kontrata ay maaaring magpapahintulot sa mga hacker na iligal na ma-trigger ang paglipat ng pera sa pagitan ng mga blockchain nang hindi natutupad ang anumang mga kundisyon.

Sa kaso ng Nomad, nagawa ng mga hacker na maubos halos $200 milyon mula sa tulay sa pamamagitan ng pagtuklas ng maling configuration sa pangunahing smart contract na nagbigay-daan sa sinumang may pangunahing kaalaman sa code na mag-withdraw ng mga pondo.

Na ang mga bug at mga bahid sa seguridad na ito ay tahasang pinagsamantalahan ng mga hacker ay isang nakababahala na pag-iisip, ngunit ang mas nakakabahala pa rin ay ang mga 'pinagkakatiwalaang' system na T naisip ng mga tao na gamitin ay napakadaling mapagsamantalahan.

Ang solusyon: maramihang mga hakbang sa seguridad

Ang mga pamantayan ng tulay ay mga hanay ng mga panuntunan na tumutukoy kung paano maaaring makipag-ugnayan ang iba't ibang mga network ng blockchain sa isa't isa, sa kasong ito, sa pamamagitan ng isang cross-chain bridge. Bagama't ang ilan sa mga protocol na ito, sa kanilang sarili, ay nasa panganib ng pagsasamantala, kapag pinagsama-sama ay nagdaragdag sila ng mga kinakailangang karagdagang layer ng seguridad.

Sa pamamagitan ng paggamit ng maramihang mga pamantayan ng tulay nang sabay-sabay, maaaring i-offset ng mga developer ang mga kahinaan na ipinapakita sa ONE protocol sa paggamit ng isa pang protocol. Tingnan natin ang ilang pamantayan sa cryptographic na maaaring gamitin sa kumbinasyon upang magdagdag ng mga karagdagang layer ng seguridad.

Multi-sig at komite

Ang Technology multi-sig ay nangangailangan ng lagda o pag-apruba ng maraming partido bago maisagawa ang isang transaksyon. Maaari nitong pigilan ang hindi awtorisadong pag-access sa mga network at matiyak na walang isang partido ang may kumpletong kontrol.

Ang pamantayan ng tulay ng komite ay gumagamit ng isang pangkat ng mga pinagkakatiwalaang entity, o isang komite, upang pamahalaan ang seguridad ng isang tulay ng network. Ang mga miyembro ay responsable para sa pag-apruba at pangangasiwa sa mga transaksyon sa network. Ang mga komite ay kapaki-pakinabang kapag maraming organisasyon ang nagbabahagi ng access sa isang network.

Zero Knowledge

Ang Zero Knowledge (ZK) ay isang cryptographic technique na nagbibigay-daan sa dalawang partido na makipagpalitan ng impormasyon sa isa't isa nang hindi kinakailangang magbunyag ng anumang karagdagang impormasyon na higit sa kung ano ang talagang kinakailangan.

Ang pagsasama-sama ng mga modelo ng ZK ay nag-aalis ng pangangailangan para sa modelo ng komite sa pamamagitan ng pagpapahintulot sa mga developer na gumamit ng mga magaan na kliyente na on-chain. Sa pamamagitan ng paggamit ng mga Zero Knowledge Proof system at partikular ang "Succinctness" na pag-aari ng isang ZK-SNARK, posibleng mahusay na maisagawa ang proseso ng pag-verify na ito gamit ang mga on-chain na light client. Posible ring i-verify ang parehong state transition at consensus on-chain para sa maximum na seguridad, katulad ng pagpapatakbo ng isang buong node.

Upang gawin ito, ang on-chain light client ay gumagamit ng mga ZKP system upang patunayan na ang estado ng source chain ay wasto. Ginagawa ito sa pamamagitan ng pagbuo ng isang patunay na maaaring ma-verify ng target na chain nang hindi kailangang malaman ang buong estado ng source chain. Ang paggamit ng mga on-chain light client ay maaaring makatulong upang mapabuti ang seguridad at scalability ng mga blockchain. Sa pamamagitan ng pag-verify sa estado ng source chain sa target na chain, mas magiging kumpiyansa ang target chain na tumpak ang estado ng source chain. Makakatulong ito upang maiwasan ang panloloko at iba pang mga nakakahamak na aktibidad habang nagtatrabaho pa rin upang palakihin ang network. Bilang isang praktikal na halimbawa, maaaring gamitin ang ZK upang patunayan na ang isang transaksyon ay pinahintulutan ng may-ari ng isang partikular na wallet nang hindi inilalantad ang pribadong key.

Optimistiko

Ang ilang mga tulay ay gumagamit ng isang 'optimistic' na diskarte sa pag-verify ng transaksyon kung saan sa halip na agad na i-verify ang bawat transaksyon sa target na blockchain, ang mga optimistikong tulay ay ipinapalagay na ang bawat transaksyon ay wasto at pagkatapos ay nagbibigay ng insentibo sa mga karagdagang kalahok na ituro ang mga mapanlinlang na transaksyon para sa isang gantimpala. Ang mga pondo ay na-clear lamang pagkatapos na ang challenge period na ito ay lumipas. Nangangahulugan ito na ang mga optimistikong tulay ay game-theoretically secure, ngunit hindi mathematically secure -- umaasa sila sa mga third party para bigyang pansin ang nangyayari. Ang lahat ng ito ay kadalasang inaalis mula sa user sa pamamagitan ng mga karagdagang tagapagbigay ng liquidity na independiyenteng sinusuri ang katotohanan ng mga claim sa tulay at ginagawang agad na magagamit ang mga pondo sa kabilang chain laban sa bayad na ilang batayan.

Ang mga optimistikong tulay ay maaari pa ring maging ligtas kahit na hindi nila agad nabe-verify ang bawat transaksyon. Ito ay dahil ginagamit nila ang pamamaraang "hamon at pagtatalo"; kung ang isang user ay naniniwala na ang isang transaksyon ay naproseso nang hindi tama, maaari nilang hamunin ang transaksyon at ang tulay ay mag-iimbestiga.

Mga hamon ng pagpapatupad ng maramihang mga pamantayan ng tulay

Kapag ang lahat ay sinabi at tapos na, ang pinakamahusay na seguridad ay makakamit sa pamamagitan ng paggamit ng a kumbinasyon ng mga pamantayan. Sa ganitong paraan, kung ang ONE pagpapatupad ng tulay ay nakakaranas ng bug o kahinaan sa seguridad, mapoprotektahan pa rin ng ibang mga pamantayan ang network.

Dapat pansinin na siyempre ang mga tulay ay umaasa pa rin sa mga mekanismo ng pinagkasunduan ng mga network ng pagkonekta. Ang tulay ay hindi kailanman magiging mas ligtas kaysa sa mga network na ikinokonekta nito.

Ligtas na ma-access ang isang multi-chain na mundo

Ang mga tulay ay kinakailangan upang magbigay ng walang harang na pag-access sa ating multi-chain na mundo, ngunit kailangan nating patibayin ang mga tulay na ito sa mga mapag-imbentong paraan upang mabawasan ang mga punto ng pag-atake. Ang Technology ng Blockchain ay custom-built para bigyang-daan ang mga estranghero na magsama-sama at gumawa ng direkta, hindi nababagong mga desisyon at kapag mas nakatuon tayo sa paggamit ng buong saklaw ng mga network na ating magagamit, mas magiging matatag ang ating mga tulay.