Solana se od svého prvního oficiálního spuštění v březnu 2020 stala jednou z nejrychleji rostoucích inteligentních kontraktačních blockchainových sítí.
Celková hodnota uzamčená (TVL) na protokolech decentralizovaného financování (DeFi) v síti vzrostla z téměř 152 milionů $ v březnu 2021 na 8,08 miliardy $ v době psaní tohoto článku, podle údajů z DefiLlama.
Naši nejlepší obchodní roboti
![Hack Wormhole ilustruje nebezpečí křížových řetězových mostů DeFi](https://cryptoboom.com/images/32-1645038198388.png)
Současně byla síť také vystavena několika síťovým problémům a výpadkům. Naposledy byl tokenový most Wormhole zasažen bezpečnostním exploitem 3. února, který vyvrcholil ztrátou 120 000 zabalených tokenů Ether (wETH) v hodnotě více než 375 milionů $ při současné ceně Ether (ETH).
Tento exploit byl dosud největší v roce 2022 a druhý největší DeFi hack vůbec, po hacku Poly Network, kde bylo ukradeno přes 600 milionů dolarů ze tří různých blockchainových sítí, když byl kompromitován Ethereum bridge.
Wormhole je protokol token bridge, který propojuje více blockchainových sítí jako Ethereum, Solana, Terra, BNB Smart Chain, Polygon, Avalanche a Oasis. Umožňuje uživatelům odesílat a přijímat tokeny mezi těmito sítěmi bez nutnosti centralizované výměny nebo zdlouhavých konverzních procesů. Zatímco zabalený Ether byl jediným aktivem ovlivněným tímto exploitem, Certik, společnost zabývající se auditem chytrých smluv, zmínila, že Wormholeův most k blockchainové síti Terra by mohl být ovlivněn stejnou zranitelností jako most Solana.
Protokol přemostění tokenů vydal podrobnou zprávu o incidentu, která sleduje chronologii hacku a všechny související aspekty, včetně bezpečnostních auditů, odměn za chyby a plánu zabezpečení. Cointelegraph diskutoval o tomto hacku s Maxem Galkou, generálním ředitelem blockchainové společnosti pro analýzu dat Elementus. Řekl:
„Asi tři hodiny předtím, než byl Ether odebrán z Červí díry, byla v peněžence, která aktuálně drží ukradené prostředky, uložena menší transakce z Tornado Cash – směšovač, který anonymizuje transakce. Došlo k převodu z mixéru na Ethereu do této peněženky, která nyní drží ukradené prostředky.“
Galka dále zmínil, že i když je zřejmé, proč by hacker experimentoval s Tornado Cash na prvním místě, je méně jasné, proč by použil mixér k vkládání finančních prostředků přesně do stejné peněženky před provedením velkého exploitu.
Brzy poté, Wormhole spustil bug bounty program s Immunefi dne 12. února s odměnou 10 milionů dolarů, která pokrývá chytré smlouvy, webové uživatelské rozhraní (UI), uzly strážců a integrace Wormhole. Díky tomu se jedná o největší bug bounty program v kryptoverse, na stejné úrovni jako bug bounty program Maker DAO.
Jump Crypto, kryptoinvestiční odnož obchodní firmy Jump Trading a jeden z hlavních investorů podporujících Wormhole, vstoupila do hry, aby „učinila členy komunity celistvými“. Společnost rizikového kapitálu nahradila 120 000 ETH a prostřednictvím příspěvku na Twitteru ve stejný den hacknutí uvedla, že firma věří ve víceřetězcovou budoucnost a že Wormhole je nezbytnou infrastrukturou pro tuto budoucnost.
Problémy s bezpečností při aktivitě napříč řetězci
Vitalik Buterin, spoluzakladatel Etherea, napsal na relaci Reddit AMA spolu s výzkumným týmem Ethereum Foundation, kde řekl, že budoucnost blockchainové technologie je multichain a ne cross-chain. Buterin to zdůvodnil obavami o bezpečnost mostů a nenativních tokenových aktiv se zaměřením na pravděpodobnost 51% útoků. Řekl: „Vždy je bezpečnější držet aktiva nativní Ethereum na Ethereu nebo aktiva nativní Solana na Solaně, než držet aktiva nativní Ethereum na Solana nebo aktiva nativní Solana na Ethereu.“
Jagdeep Sidhu, technologický ředitel společnosti Syscoin, blockchainové sítě proof-of-work (PoW), která je „sloučena-těžena“ s bitcoiny, promluvil pro Cointelegraph dále o tomto příběhu. Řekl: „Jednoduše tím myslí, že tam, kde existuje blockchain, existuje v tomto řetězci zóna suverenity, která má svobodnou vůli ohledně bezpečnosti tohoto blockchainu. Jakékoli časové bloky se vrátí zpět, například všechny systémy v závislosti na zabezpečení tohoto řetězce se také vrátí zpět. Z tohoto důvodu musíte při vytváření křížových můstků buď předpokládat nový konsensuální systém, který bude sledovat a reagovat na vrácení zpět, nebo obezřetně čekat na možnosti vrácení zpět, v závislosti na hodnotě transakce.“
Sidhu dále řekl, že hack Wormhole odhalil složitost vytváření cross-chain výměny a přemostění, protože útok byl umožněn pouze díky externalitě týmu Solana, což způsobilo určitou operaci v dědictví konsensuálního kódu. Tato operace otevřela mezeru v logice Wormhole, které hacker využil.
I když tento konkrétní hack ovlivnil cross-chain bridge, je pozoruhodné, že technicky šlo o využití chytré smlouvy, která existuje tak dlouho, dokud koncept chytrých smluv existuje. Galka uvedl:
„Historie chytrých kontraktů zahrnovala docela konzistentní proud zranitelností a hacků, které se datovaly do velmi raných dnů Etherea, kdy bylo v roce 2016 napadeno DAO. Obecně platí, že kontrakty typu cross-chain bridge mají velké zůstatky, což z nich dělá hlavní cíle. Historicky vždy existovaly hacky na inteligentní smlouvy. Očekával bych, že to bude pokračovat."
Cointelegraph také diskutoval o tomto aspektu hacku s Antonem Bukovem, spoluzakladatelem 1inch Network, agregátorem DEX, který zmínil, že příčinou, která vedla k tomuto hacku, byla chyba na nízké úrovni inteligentní smlouvy. Souviselo to s mechanismem, který Solana používal pro předkompilované hovory s chytrými smlouvami. Poznamenal, že oprava chyby byla veřejně dostupná v úložišti GitHub protokolu interoperability déle než dva týdny před hackem.
Oprava, která je veřejně dostupná, mohla být vodítkem pro vykořisťovatele, aby identifikoval hack. Bukov také souhlasil s Buterinovými obavami ohledně cross-chain operací a prohlásil, že „cross-chain operace jsou mnohem nebezpečnější a zranitelnější než jakékoli jiné blockchainové operace.“
Souhrny s nulovými znalostmi
Navzdory rychlému růstu společnosti Solana v krátké době od jejího spuštění se síť stává stále náchylnější k problémům, protože na palubu začíná přicházet více uživatelů. Síť měla špatný začátek roku, když v lednu čelila šesti výpadkům sítě, které její komunitě způsobily spoustu frustrace.
Příbuzný:Škálovatelnost nebo stabilita? Výpadky sítě Solana ukazují, že práce je stále potřeba
Sidhu poukázal na to, že Solana, stejně jako všechny ostatní alternativní sítě inteligentních kontraktů, používá monolitickou architekturu, která neposkytuje úspory z rozsahu. Vzhledem k tomu, jak bude do sítě přicházet více uživatelů, budou se zvyšovat poplatky a zdroje pro udržení stabilní, bezpečné a decentralizované sítě.
Navrhl alternativu k tomuto problému a řekl: „Nejlepší způsob, jak škálovat, je prostřednictvím modulární architektury. To je to, k čemu Ethereum a některé další blockchainy, jako je Syscoin, přecházejí díky vytváření skvělých škálovacích řešení, jako jsou optimistické a nulové znalosti založené na souhrnech.“
Sidhu, který prokázal podrobné řešení tohoto problému, zmínil, že nejlepším řešením pro křížová aktiva je použití důkazů s nulovými znalostmi (ZK) jako lepší alternativy k tomu, aby fond peněz seděl na externím konsensu, jako je mnohostranný protokol, který vyžaduje čestný většinový předpoklad externích validátorů. Toto použití ZK-důkazů by nahradilo externí konsensus matematickými důkazy platnosti.
Nicméně také dodal, že žádné z řešení není tak bezpečné jako použití spolehlivé vrstvy 1. Dodal: „Můstek ZK je slibným vylepšením křížového přemostění, ale nemyslím si, že by měl být používán jako obecný kříž. -chain DeFi ekosystém, protože ze své definice nemůže poskytnout tolik zabezpečení jako pouhé použití zabezpečené vrstvy 1.“
Bukov si všiml možnosti replikace tohoto hacku pomocí mostů i na jiných blockchainových sítích:
„Historicky vzato se vyskytly případy, kdy jedna strana zneužila kód a poté se tohoto počátečního exploitu zmocnili napodobitelé. V roce 2017 byl hacknut základní kód řady peněženek Ethereum s více podpisy. V tomto případě došlo k několika následným hackům jinými aktéry, kteří se chopili stejné zranitelnosti.“
Tento hack by mohl být znamením pro hlavní vývojáře interoperabilních přemosťovacích protokolů a dalších inteligentních kontraktových blockchainových sítí, aby postupovali opatrně u meziřetězcových chytrých kontraktů a aktiv a pracovali na pravidelných aktualizacích, auditech, odměnách za chyby atd., aby vyplnili nákladné mezery, jako je např. tyto ve svých provozech.
Pokračujte ve čtení pomocí Cointelegraph