Solana hat sich seit seiner ersten offiziellen Einführung im März 2020 zu einem der am schnellsten wachsenden Smart-Contract-Blockchain-Netzwerke entwickelt.
Der gesperrte Gesamtwert (TVL) für dezentrale Finanzprotokolle (DeFi) im Netzwerk stieg laut Daten von DefiLlama von fast 152 Millionen US-Dollar im März 2021 auf 8,08 Milliarden US-Dollar zum Zeitpunkt des Verfassens dieses Artikels.
Unsere Top Trading Bots
Gleichzeitig war das Netzwerk auch mehreren Netzwerkproblemen und -ausfällen ausgesetzt. Zuletzt wurde die Wurmloch-Token-Brücke am 3. Februar von einem Sicherheits-Exploit heimgesucht, der zum Verlust von 120.000 verpackten Ether (wETH)-Token im Wert von über 375 Millionen US-Dollar zum aktuellen Preis von Ether (ETH) führte.
Dieser Exploit war der bisher größte im Jahr 2022 und der zweitgrößte DeFi-Hack aller Zeiten, nach dem Poly Network-Hack, bei dem über 600 Millionen US-Dollar aus drei verschiedenen Blockchain-Netzwerken gestohlen wurden, als eine Ethereum-Brücke kompromittiert wurde.
Wormhole ist ein Token-Bridge-Protokoll, das mehrere Blockchain-Netzwerke wie Ethereum, Solana, Terra, BNB Smart Chain, Polygon, Avalanche und Oasis verbindet. Es ermöglicht Benutzern, Token zwischen diesen Netzwerken zu senden und zu empfangen, ohne dass ein zentralisierter Austausch oder langwierige Konvertierungsprozesse erforderlich sind. Während Wrapped Ether das einzige Asset war, das von diesem Exploit betroffen war, erwähnte Certik, eine intelligente Vertragsprüfungsfirma, dass die Brücke von Wormhole zum Terra-Blockchain-Netzwerk von der gleichen Schwachstelle betroffen sein könnte wie die Solana-Brücke.
Das Token-Bridging-Protokoll hat einen detaillierten Vorfallbericht veröffentlicht, der die Chronologie des Hacks und alle damit verbundenen Aspekte nachverfolgt, einschließlich Sicherheitsaudits, Bug-Bounties und der Sicherheits-Roadmap. Cointelegraph diskutierte diesen Hack mit Max Galka, dem CEO des Blockchain-Datenanalyseunternehmens Elementus. Er sagte:
„Ungefähr drei Stunden bevor der Ether aus Wormhole genommen wurde, hatte die Wallet, die derzeit die gestohlenen Gelder enthält, eine kleinere Transaktion von Tornado Cash hinterlegt – einem Mixer, der Transaktionen anonymisiert. Es gab eine Überweisung von einem Mixer auf Ethereum zu dieser Brieftasche, in der sich jetzt die gestohlenen Gelder befinden.“
Galka erwähnte weiter, dass es zwar offensichtlich ist, warum der Hacker überhaupt mit Tornado Cash experimentiert hat, aber weniger klar ist, warum sie den Mixer verwenden würden, um Gelder genau in dieselbe Brieftasche einzuzahlen, bevor sie einen großen Exploit ausführen.
Kurz darauf startete Wormhole am 12. Februar ein Bug-Bounty-Programm mit Immunefi mit einer Belohnung von 10 Millionen US-Dollar, das Smart Contracts, Web-Benutzeroberflächen (UI), Wächterknoten und Wormhole-Integrationen abdeckt. Damit ist es das größte Bug-Bounty-Programm im Kryptoversum, auf Augenhöhe mit dem Bug-Bounty-Programm von Maker DAO.
Jump Crypto, der Krypto-Investmentarm des Handelsunternehmens Jump Trading und einer der Hauptinvestoren, die Wormhole unterstützen, ist eingesprungen, um „die Community-Mitglieder zu vervollständigen“. Die Risikokapitalfirma hat die 120.000 ETH ersetzt und über einen Twitter-Post am selben Tag des Hacks erklärt, dass die Firma an eine Multichain-Zukunft glaubt und dass Wormhole eine wesentliche Infrastruktur für diese Zukunft ist.
Sicherheitsbedenken bei Cross-Chain-Aktivitäten
Vitalik Buterin, ein Mitbegründer von Ethereum, schrieb auf einer Reddit AMA-Sitzung zusammen mit dem Forschungsteam der Ethereum Foundation, wo er sagte, dass die Zukunft der Blockchain-Technologie Multichain und nicht Cross-Chain sei. Buterin hat dies mit Sicherheitsbedenken von Bridges und nicht nativen Token-Assets begründet, wobei der Schwerpunkt auf der Wahrscheinlichkeit von 51 % Angriffen lag. Er sagte: „Es ist immer sicherer, Ethereum-native Vermögenswerte auf Ethereum oder Solana-native Vermögenswerte auf Solana zu halten, als Ethereum-native Vermögenswerte auf Solana oder Solana-native Vermögenswerte auf Ethereum zu halten.“
Jagdeep Sidhu, der Chief Technology Officer von Syscoin, einem Proof-of-Work (PoW)-Blockchain-Netzwerk, das mit Bitcoin „merged-mined“ ist, sprach mit Cointelegraph weiter über diese Erzählung. Er sagte: „Er meint einfach, dass es dort, wo es eine Blockchain gibt, eine Zone der Souveränität innerhalb dieser Kette gibt, die einen freien Willen zur Sicherheit dieser Blockchain hat. Jedes Mal, wenn Blöcke zurückgesetzt werden, werden beispielsweise alle Systeme, die von der Sicherheit dieser Kette abhängen, ebenfalls zurückgesetzt. Aus diesem Grund müssen Sie beim Erstellen von Cross-Chain-Bridges entweder von einem neuen Konsenssystem ausgehen, das Rollbacks überwacht und darauf reagiert, oder je nach Wert der Transaktion vorsichtig die Möglichkeiten eines Rollbacks abwarten.“
Sidhu sagte weiter, dass der Wurmloch-Hack die Komplexität der Erstellung von Cross-Chain-Austausch und -Überbrückung offenbarte, da der Angriff nur aufgrund einer Externalität des Solana-Teams ermöglicht wurde, die eine bestimmte Operation im Vermächtnis des Konsenscodes bewirkte. Diese Operation öffnete ein Schlupfloch in der Logik von Wormhole, das vom Hacker ausgenutzt wurde.
Obwohl sich dieser spezielle Hack auf eine Cross-Chain-Brücke auswirkte, ist es bemerkenswert, dass es sich technisch gesehen um einen Smart-Contract-Exploit handelte, der schon so lange existiert, wie das Konzept von Smart Contracts existiert. Galka erklärte:
„Die Geschichte der Smart Contracts umfasst einen ziemlich konstanten Strom von Schwachstellen und Hacks, die bis in die frühen Tage von Ethereum zurückreichen, als The DAO im Jahr 2016 angegriffen wurde. Im Allgemeinen haben Cross-Chain-Bridge-Verträge große Salden, was sie zu Hauptzielen macht. Historisch gesehen gab es immer Hacks auf Smart Contracts. Ich würde erwarten, dass das so weitergeht.“
Cointelegraph diskutierte diesen Aspekt des Hacks auch mit Anton Bukov, Mitbegründer des 1-Zoll-Netzwerks, einem DEX-Aggregator, der erwähnte, dass die Ursache, die zu diesem Hack führte, ein Low-Level-Smart-Contract-Bug war. Es hing mit dem Mechanismus zusammen, den Solana für vorkompilierte Smart-Contract-Aufrufe verwendete. Er stellte fest, dass die Fehlerbehebung mehr als zwei Wochen vor dem Hack im GitHub-Repository des Interoperabilitätsprotokolls öffentlich verfügbar war.
Der öffentlich verfügbare Fix könnte der Hinweis für den Exploiter gewesen sein, den Hack zu identifizieren. Bukov stimmte auch Buterins Bedenken in Bezug auf Cross-Chain-Operationen zu und erklärte, dass „Cross-Chain-Operationen viel gefährlicher und anfälliger sind als alle anderen Blockchain-Operationen“.
Zero-Knowledge-Rollups
Trotz des schnellen Wachstums von Solana in der kurzen Zeit seit seiner Einführung ist das Netzwerk zunehmend anfällig für Probleme geworden, da immer mehr Benutzer an Bord kommen. Das Netzwerk hatte einen schlechten Start in das Jahr, als es im Januar mit sechs Netzwerkausfällen konfrontiert war, die in seiner Community für viel Frustration sorgten.
Verbunden:Skalierbarkeit oder Stabilität? Ausfälle des Solana-Netzwerks zeigen, dass noch Arbeit erforderlich ist
Sidhu wies darauf hin, dass Solana wie alle anderen alternativen Smart-Contract-Netzwerke eine monolithische Architektur verwendet, die keine Skaleneffekte bietet. Aus diesem Grund werden die Gebühren und die Ressourcen, um das Netzwerk stabil, sicher und dezentralisiert zu halten, steigen, wenn mehr Benutzer in das Netzwerk kommen.
Als er eine Alternative zu diesem neuen Problem vorschlug, sagte er: „Der beste Weg, den wir kennen, um zu skalieren, ist durch eine modulare Architektur. Das ist es, worauf Ethereum und einige andere Blockchains wie Syscoin aufgrund der Schaffung großartiger Skalierungslösungen wie optimistischer und wissensfreier Proof-basierter Rollups umsteigen.“
Sidhu bewies eine detaillierte Lösung für dieses Problem und erwähnte, dass die beste Lösung für das Cross-Chaining von Assets die Verwendung von Zero-Knowledge (ZK)-Beweisen als bessere Alternative dazu ist, dass der Geldpool auf einem externen Konsens wie einem Mehrparteiensystem sitzt Protokoll, das eine ehrliche Mehrheitsübernahme von externen Validatoren erfordert. Diese Verwendung von ZK-Beweisen würde den externen Konsens durch mathematische Gültigkeitsbeweise ersetzen.
Nichtsdestotrotz fügte er hinzu, dass keine der Lösungen so sicher sei wie die Verwendung einer zuverlässigen Schicht 1. Er fügte hinzu: „Eine ZK-Bridge ist eine vielversprechende Verbesserung gegenüber Cross-Chain-Bridging, aber ich denke nicht, dass sie als generisches Cross verwendet werden sollte -chain-DeFi-Ökosystem, da es per Definition nicht so viel Sicherheit bieten kann wie die einfache Verwendung einer sicheren Ebene 1.“
Bukov wies auf die Möglichkeiten hin, dass dieser Hack auch mit Bridges in anderen Blockchain-Netzwerken repliziert werden könnte:
„Historisch gesehen gab es Fälle, in denen eine Partei Code ausnutzte und dann Nachahmer diesen ersten Exploit nutzten. Im Jahr 2017 wurde der zugrunde liegende Code einer Reihe von Multisignatur-Ethereum-Geldbörsen gehackt. In diesem Fall wurden mehrere Folge-Hacks von anderen Akteuren durchgeführt, die dieselbe Schwachstelle ausnutzten.“
Dieser Hack könnte ein Zeichen für Core-Entwickler von interoperablen Bridging-Protokollen und anderen Smart-Contract-Blockchain-Netzwerken sein, bei kettenübergreifenden Smart-Contracts und Assets vorsichtig vorzugehen und an regelmäßigen Updates, Audits, Bug Bountys usw. zu arbeiten, um kostspielige Schlupflöcher zu schließen diese in ihrem Betrieb.
Lesen Sie weiter mit Cointelegraph
