A Solana az egyik leggyorsabban növekvő intelligens szerződéses blokklánc-hálózat lett, mióta hivatalosan 2020 márciusában elindult.
A DefiLlama adatai szerint a decentralizált pénzügyi (DeFi) protokollokon a teljes zárolt érték (TVL) a hálózaton a 2021. márciusi közel 152 millió dollárról 8,08 milliárd dollárra nőtt a cikk írásakor.
A legjobb üzleti robotjaink
Ezzel egyidejűleg a hálózatot több hálózati probléma és kimaradás is tapasztalta. Legutóbb a Wormhole token hidat egy biztonsági támadás érte február 3-án, ami 120 000 becsomagolt Ether (wETH) token elvesztésével tetőzött, ami az Ether (ETH) jelenlegi árán több mint 375 millió dollárt ér.
Ez volt az eddigi legnagyobb támadás 2022-ben, és a valaha volt második legnagyobb DeFi feltörés a Poly Network hack után, ahol több mint 600 millió dollárt loptak el három különböző blokklánc-hálózatból, amikor egy Ethereum híd veszélybe került.
A Wormhole egy token hídprotokoll, amely több blokklánc-hálózatot köt össze, mint például az Ethereum, a Solana, a Terra, a BNB Smart Chain, a Polygon, az Avalanche és az Oasis. Lehetővé teszi a felhasználók számára, hogy tokeneket küldjenek és fogadjanak e hálózatok között anélkül, hogy központosított cserére vagy unalmas konverziós folyamatokra lenne szükségük. Míg a wrapped Ether volt az egyetlen eszköz, amelyet ez a kizsákmányolás érintett, a Certik, egy intelligens szerződéseket vizsgáló cég megemlítette, hogy a Wormhole hídját a Terra blokklánc hálózathoz ugyanaz a sebezhetőség érintheti, mint a Solana hidat.
A token áthidaló protokoll részletes jelentést adott ki az incidensről, amely nyomon követi a feltörés kronológiáját és minden kapcsolódó vonatkozását, beleértve a biztonsági auditokat, a hibajavításokat és a biztonsági ütemtervet. A Cointelegraph megvitatta ezt a feltörést Max Galkával, az Elementus blokklánc adatelemző cég vezérigazgatójával. Ő mondta:
„Körülbelül három órával azelőtt, hogy az Ethert elvitték volna a Féreglyukból, az ellopott pénzeszközöket tároló tárcán egy kisebb tranzakciót helyeztek el a Tornado Cash-ből – egy keverőből, amely anonimizálja a tranzakciókat. Az Ethereum egyik keverőjéből átutaltak erre a pénztárcára, amelyben most az ellopott pénzek voltak.
Galka továbbá megemlítette, hogy bár nyilvánvaló, hogy a hacker miért kísérletezett volna először a Tornado Cash-sel, az kevésbé világos, hogy miért használták a keverőt arra, hogy pénzeszközöket helyezzenek el pontosan ugyanabba a pénztárcába, mielőtt egy nagyobb visszaélést végrehajtanak.
Nem sokkal ezután a Wormhole február 12-én elindított egy bug bounty programot az Immunefivel 10 millió dollár jutalommal, amely magában foglalja az intelligens szerződéseket, a webes felhasználói felületet (UI), a gyám csomópontokat és a Wormhole integrációkat. Ez teszi a kriptoverzum legnagyobb bug bounty programjává, egyenrangú a Maker DAO bug bounty programjával.
A Jump Crypto, a Jump Trading kereskedőcég kriptobefektetési részlege és a Wormhole egyik vezető befektetője belépett annak érdekében, hogy „a közösség tagjai teljessé váljanak”. A kockázatitőke-társaság leváltotta a 120 000 ETH-t, és a feltörés napján Twitter-bejegyzésben kijelentette, hogy a cég hisz a többláncú jövőben, és hogy a Wormhole elengedhetetlen infrastruktúra ehhez a jövőhöz.
Biztonsági aggályok a láncokon átívelő tevékenységgel kapcsolatban
Vitalik Buterin, az Ethereum társalapítója egy Reddit AMA ülésén az Ethereum Alapítvány kutatócsoportjával együtt azt mondta, hogy a blokklánc-technológia jövője többláncú és nem keresztlánc. Buterin ezt a hidak és a nem natív token-eszközök biztonsági aggályaival indokolta, és az 51%-os támadások valószínűségére összpontosított. Azt mondta: „Mindig biztonságosabb az Ethereum-natív eszközöket tartani az Ethereumon vagy a Solana-natív eszközöket a Solanán, mint az Ethereum-natív eszközöket a Solanán vagy a Solana-natív eszközöket tartani az Ethereumon.”
Jagdeep Sidhu, a Syscoin, a Bitcoinnal „összevont bányászott” blokklánc-hálózat technológiai igazgatója, a Syscoin technológiai igazgatója beszélt a Cointelegraph-nak erről a narratíváról. Azt mondta: „Egyszerűen azt jelenti, hogy ahol van blokklánc, ott van egy szuverenitási zóna a láncon belül, amely szabad akarattal rendelkezik a blokklánc biztonságát illetően. Bármilyen időblokkok visszagurulnak, például az adott lánc biztonságától függően minden rendszer visszaáll. Emiatt a cross-chain hidak létrehozásakor vagy egy új konszenzusos rendszert kell feltételezni, amely figyeli és cselekszik a visszalépésekre, vagy óvatosan ki kell várni a visszalépés lehetőségeit, a tranzakció értékétől függően.
Sidhu azt is elmondta, hogy a féreglyuk feltörése felfedte a láncok közötti csere és áthidalás bonyolultságát, mivel a támadást csak a Solana csapatának külső hatása tette lehetővé, amely egy bizonyos műveletet eredményezett a konszenzusos kód örökségében. Ez a művelet kiskaput nyitott a Féreglyuk logikájában, amelyet a hacker kihasznált.
Annak ellenére, hogy ez a konkrét feltörés egy láncokon átívelő hidat érintett, érdemes megjegyezni, hogy technikailag ez egy intelligens szerződéses kizsákmányolás volt, amely az intelligens szerződések fogalma óta létezik. Galka kijelentette:
„Az intelligens szerződések története meglehetősen következetes sebezhetőségeket és feltöréseket tartalmazott, amelyek egészen az Ethereum korai napjaiig nyúlnak vissza, amikor a DAO-t 2016-ban megtámadták. Általában véve a láncokon átívelő hídszerződések nagy egyenleggel rendelkeznek, így elsődleges célpontok. Történelmileg mindig is történtek feltörések az intelligens szerződésekkel kapcsolatban. Azt várnám, hogy ez folytatódjon.”
A Cointelegraph a feltörés ezen aspektusáról is beszélt Anton Bukovval, az 1 inch Network, a DEX aggregátor társalapítójával, aki megemlítette, hogy a feltöréshez egy alacsony szintű intelligens szerződési hiba vezetett. A Solana által az előre összeállított intelligens szerződéshívásokhoz használt mechanizmushoz kapcsolódott. Megjegyezte, hogy a hibajavítás a feltörés előtt több mint két hétig nyilvánosan elérhető volt az interoperabilitási protokoll GitHub adattárában.
A nyilvánosan elérhető javítás jelzés lehetett a kihasználó számára a feltörés azonosítására. Bukov egyetértett Buterin aggodalmaival a láncok közötti műveletekkel kapcsolatban, és kijelentette, hogy „a láncok közötti műveletek sokkal veszélyesebbek és sebezhetőbbek, mint bármely más blokklánc-művelet”.
Nulla tudású összesítés
Annak ellenére, hogy a Solana az indulás óta eltelt rövid idő alatt gyors növekedést mutatott, a hálózat egyre érzékenyebbé vált a problémákra, ahogy egyre több felhasználó csatlakozik. A hálózat rosszul kezdte az évet, amikor januárban hat hálózati leállással kellett szembenéznie, ami sok frusztrációt okozott közösségében.
Összefüggő:Skálázhatóság vagy stabilitás? A Solana hálózat kimaradásai azt mutatják, hogy még munkára van szükség
Sidhu rámutatott, hogy a Solana az összes többi alternatív intelligens szerződéses hálózathoz hasonlóan monolitikus architektúrát használ, amely nem biztosítja a méretgazdaságosságot. Ennek köszönhetően, ahogy egyre több felhasználó csatlakozik a hálózathoz, úgy nőnek a díjak és a hálózat stabil, biztonságos és decentralizált megőrzéséhez szükséges erőforrások.
A felmerülő probléma alternatíváját javasolva a következőket mondta: „A skálázás legjobb módja a moduláris architektúra. Ez az, ami felé az Ethereum és néhány más blokklánc, például a Syscoin is átáll az olyan nagyszerű skálázási megoldások megalkotása miatt, mint az optimista és a zéró tudáson alapuló összesítés.”
A probléma részletes megoldását bizonyítva Sidhu megemlítette, hogy az eszközök keresztláncolására a legjobb megoldás a nulla tudású (ZK) bizonyítékok használata, mint jobb alternatíva a külső konszenzuson, például többpárti konszenzuson alapuló pénzkészlet helyett. protokoll, amely megköveteli a külső érvényesítők becsületes többségi feltételezését. A ZK-bizonyítások ilyen használata a külső konszenzust matematikai érvényességi bizonyítással helyettesítené.
Mindazonáltal azt is hozzátette, hogy egyik megoldás sem olyan biztonságos, mint egy megbízható 1. réteg használata. Hozzátette: „A ZK híd ígéretes továbbfejlesztése a láncok közötti áthidalásnak, de nem hiszem, hogy általános keresztként kellene használni. -lánc DeFi ökoszisztéma, mivel értelemszerűen nem tud akkora biztonságot nyújtani, mint egy 1. biztonságos réteg használata."
Bukov felhívta a figyelmet annak lehetőségére, hogy ezt a hacket más blokklánc-hálózatokon is hidakkal reprodukálják:
„Történelmi szempontból előfordultak olyan esetek, amikor az egyik fél kihasználta a kódot, majd másolók megragadták ezt a kezdeti visszaélést. 2017-ben egy sor több aláírást tartalmazó Ethereum pénztárcának feltörték a mögöttes kódját. Ebben az esetben több további feltörés történt más szereplők által, akik ugyanazt a sebezhetőséget ragadták meg.”
Ez a feltörés jel lehet az interoperábilis áthidaló protokollok és más intelligens szerződéses blokklánc-hálózatok fő fejlesztői számára, hogy óvatosan járjanak el a láncokon átívelő intelligens szerződések és eszközök esetében, és dolgozzanak a rendszeres frissítéseken, auditokon, hibajavításokon stb., hogy betömjék a költséges kiskapukat, mint pl. ezeket a működésükben.
Olvassa tovább a Cointelegraph-tal
