Gli exploit sui ponti sono costati 2 miliardi di dollari nel 2022, ecco come avrebbero potuto essere evitati

Nell'evoluzione verso un futuro multi-catena completo, i bridge rimangono più vulnerabili agli hack rispetto alle reti Criptovaluta stesse. Solo nel 2022, oltre 2 miliardi di dollari di assetè stato rubato da exploit di token bridge. La parte peggiore è che avrebbero potuto essere tutti evitati impiegando più misure di sicurezza.

Esaminando alcuni degli attacchi del 2022, possiamo comprendere meglio alcune delle principali falle del sistema e le singole misure di sicurezza esistenti o in fase di sviluppo per proteggersi da essi.

Ingegneria sociale

Gli attacchi di ingegneria sociale sono la forma più comune di violazione della sicurezza. Tutti sono stati soggetti a un attacco di ingegneria sociale a un certo punto della loro vita, sia tramite phishing che tramite honey trap, dove vengono promesse "offerte troppo belle per essere vere" in cambio di informazioni personali.

Martin Köppelmann è cofondatore di Gnosis.

Gli hacker nel più grande exploit di bridge del 2022 si sono affidati a metodi simili per sottrarre fondi. La blockchain del gioco Cripto di alto profilo Axie Infinity era hackerato con uno schema di phishingche comprendeva false offerte di lavoro su LinkedIn.

Lo sviluppatore del gioco, Sky Mavis, ha affermato che i suoi dipendenti sono stati presi di mira con false offerte di lavoro e persino invitati a presentarsi a più round di colloqui di lavoro. Quando i dipendenti hanno abboccato, gli hacker hanno avuto accesso ai loro sistemi e sono scappati con 625 milioni di dollari dalla Ronin Network di Sky Mavis. Durante un'analisi post-mortem di cosa è andato storto, Sky Mavis ha affermato di essere stata vittima di attacchi avanzati di spear-phishing.

Chiavi private compromesse

Nel settembre 2022, Wintermute, un market Maker algoritmico, è stato hackerato per 160 milioni di dollari, probabilmente a causa di una debolezza nelle chiavi private generate dall'app Profanity.

La chiave privata del portafoglio HOT è stata sfruttata e utilizzata per prosciugare i fondi. I rapporti hanno detto In precedenza erano stati rilevati dei difetti negli indirizzi di Profanity, ma l'azienda T aveva preso sul serio queste segnalazioni.

Una motivazione simile è stata segnalata dietro l'attacco informatico a Slope, che ha causato una perdita di 6 milioni di dollari all'azienda.

Bug degli smart contract

Gli smart contract sono programmi memorizzati in una blockchain impostati per attivarsi quando vengono soddisfatte determinate condizioni predeterminate. In termini di e-commerce, ad esempio, è ciò che conferma a un sito Web che un articolo dovrebbe essere consegnato una volta che lo hai aggiunto al carrello e pagato. Un bug in uno smart contract può quindi consentire agli hacker di attivare illegittimamente il trasferimento di denaro tra blockchain senza soddisfare alcuna condizione.

Nel caso di Nomad, gli hacker sono riusciti a drenarequasi 200 milioni di dollaridal ponte scoprendo un errore di configurazione nello smart contract primario che consentiva a chiunque avesse una conoscenza di base del codice di prelevare fondi.

È preoccupante che questi bug e falle di sicurezza siano stati sfruttati così sfacciatamente dagli hacker; ma ciò che è ancora più preoccupante è che i sistemi "affidabili", che le persone T pensavano di utilizzare, siano stati sfruttati così facilmente.

La soluzione: molteplici misure di sicurezza

Gli standard bridge sono insiemi di regole che definiscono come diverse reti blockchain possono comunicare tra loro, in questo caso, tramite un bridge cross-chain. Mentre alcuni di questi protocolli, da soli, sono a rischio di sfruttamento, quando messi insieme aggiungono ulteriori livelli di sicurezza molto necessari.

Utilizzando più standard bridge contemporaneamente, gli sviluppatori possono compensare le debolezze mostrate in ONE protocollo con l'uso di un altro protocollo. Diamo un'occhiata ad alcuni standard crittografici che potrebbero essere utilizzati in combinazione per aggiungere ulteriori livelli di sicurezza.

Multi-firma e comitato

La Tecnologie multi-sig richiede la firma o l'approvazione di più parti prima che una transazione possa essere eseguita. Può impedire l'accesso non autorizzato alle reti e garantire che nessuna singola parte abbia il controllo completo.

Uno standard di bridge di comitato utilizza un gruppo di entità fidate, o un comitato, per gestire la sicurezza di un bridge di rete. I membri sono responsabili dell'approvazione e della supervisione delle transazioni di rete. I comitati sono utili quando più organizzazioni condividono l'accesso a una rete.

Conoscenza zero

Zero Knowledge (ZK) è una tecnica crittografica che consente a due parti di scambiarsi informazioni senza dover rivelare informazioni aggiuntive oltre a quelle assolutamente necessarie.

L'integrazione dei modelli ZK elimina la necessità del modello di comitato consentendo agli sviluppatori di utilizzare client leggeri on-chain. Utilizzando sistemi Zero Knowledge Proof e in particolare la proprietà "Succinctness" di uno ZK-SNARK, è possibile eseguire in modo efficiente questo processo di verifica utilizzando client leggeri on-chain. È anche possibile verificare sia le transizioni di stato che il consenso on-chain per la massima sicurezza, in modo simile all'esecuzione di un nodo completo.

Per fare ciò, il client on-chain light utilizza sistemi ZKP per dimostrare che lo stato della catena sorgente è valido. Ciò avviene generando una prova che può essere verificata dalla catena di destinazione senza dover conoscere l'intero stato della catena sorgente. L'uso di client on-chain light può aiutare a migliorare la sicurezza e la scalabilità delle blockchain. Verificando lo stato della catena sorgente sulla catena di destinazione, la catena di destinazione può essere più sicura che lo stato della catena sorgente sia accurato. Ciò può aiutare a prevenire frodi e altre attività dannose continuando a lavorare per scalare la rete. Come esempio pratico, ZK può essere utilizzato per dimostrare che una transazione è stata autorizzata dal proprietario di un particolare portafoglio senza rivelare la chiave privata.

Ottimista

Alcuni bridge utilizzano un approccio "ottimistico" alla verifica delle transazioni in cui, anziché verificare immediatamente ogni transazione sulla blockchain di destinazione, i bridge ottimistici presumono che ogni transazione sia valida e quindi incentivano altri partecipanti a segnalare le transazioni fraudolente per una ricompensa. I fondi vengono liquidati solo dopo che questo periodo di contestazione è scaduto. Ciò significa che i bridge ottimistici sono sicuri dal punto di vista della teoria dei giochi, ma non matematicamente sicuri: si affidano a terze parti per prestare attenzione a ciò che sta accadendo. Tutto ciò è spesso astratto dall'utente tramite ulteriori fornitori di liquidità che verificano in modo indipendente la veridicità delle affermazioni del bridge e rendono i fondi immediatamente disponibili sull'altra catena contro una commissione di alcuni punti base.

I bridge ottimistici possono comunque essere piuttosto sicuri anche se non verificano immediatamente ogni transazione. Questo perché utilizzano il metodo "challenge and dispute"; se un utente ritiene che una transazione sia stata elaborata in modo non corretto, può contestare la transazione e il bridge effettuerà le dovute indagini.

Sfide nell'implementazione di più standard di ponti

Quando tutto è detto e fatto, la migliore sicurezza si ottiene utilizzando uncombinazione di standardIn questo modo, se ONE di bridge riscontra un bug o una debolezza di sicurezza, gli altri standard possono comunque proteggere la rete.

Va notato che ovviamente i bridge si basano ancora sui meccanismi di consenso delle reti di collegamento. Un bridge non può mai essere più sicuro delle reti che collega.

Accesso sicuro a un mondo multi-catena

I ponti sono necessari per fornire un accesso senza restrizioni al nostro mondo multi-catena, ma dobbiamo fortificare questi ponti in modi creativi per ridurre i punti di attacco. La Tecnologie blockchain è costruita su misura per consentire a estranei di riunirsi e prendere decisioni dirette e immutabili e più ci concentriamo sull'utilizzo dell'intera portata delle reti a nostra disposizione, più forti diventeranno i nostri ponti.