Solana is een van de snelstgroeiende smart contract blockchain-netwerken geworden sinds het voor het eerst officieel werd gelanceerd in maart 2020.
De totale waarde vergrendeld (TVL) op gedecentraliseerde financiële (DeFi) -protocollen op het netwerk groeide van bijna $ 152 miljoen in maart 2021 tot $ 8,08 miljard op het moment van schrijven, volgens gegevens van DefiLlama.
Onze beste handelsrobots
![Wormhole hack illustreert het gevaar van DeFi cross-chain bridges](https://cryptoboom.com/images/32-1645038198388.png)
Tegelijkertijd is het netwerk ook onderhevig geweest aan verschillende netwerkproblemen en -storingen. Meest recentelijk werd de Wormhole-tokenbrug getroffen door een beveiligingsexploit op 3 februari die culmineerde in het verlies van 120.000 verpakte Ether (wETH)-tokens, ter waarde van meer dan $ 375 miljoen tegen de huidige prijs van Ether (ETH).
Deze exploit was de grootste tot nu toe in 2022 en de op één na grootste DeFi-hack ooit, na de Poly Network-hack waarbij meer dan $ 600 miljoen werd gestolen van drie verschillende blockchain-netwerken toen een Ethereum-brug werd gecompromitteerd.
Wormhole is een token bridge-protocol dat meerdere blockchain-netwerken zoals Ethereum, Solana, Terra, BNB Smart Chain, Polygon, Avalanche en Oasis met elkaar verbindt. Het stelt gebruikers in staat om tokens tussen deze netwerken te verzenden en ontvangen zonder de noodzaak van een gecentraliseerde uitwisseling of vervelende conversieprocessen. Hoewel verpakte Ether het enige actief was dat door deze exploit werd getroffen, zei Certik, een auditbedrijf voor slimme contracten, dat de brug van Wormhole naar het Terra-blockchain-netwerk kan worden beïnvloed door dezelfde kwetsbaarheid als de Solana-brug.
Het token overbruggingsprotocol heeft een gedetailleerd incidentrapport uitgebracht dat de chronologie van de hack en alle bijbehorende aspecten ervan bijhoudt, inclusief beveiligingsaudits, bugbounties en de beveiligingsroadmap. Cointelegraph besprak deze hack met Max Galka, de CEO van blockchain-data-analysebedrijf Elementus. Hij zei:
“Ongeveer drie uur voordat de Ether uit Wormhole werd gehaald, had de portemonnee die momenteel het gestolen geld bevat, een kleinere transactie gestort van Tornado Cash – een mixer die transacties anonimiseert. Er was een overdracht van een mixer op Ethereum naar deze portemonnee die nu het gestolen geld bevat."
Galka zei verder dat hoewel het duidelijk is waarom de hacker in de eerste plaats met Tornado Cash zou hebben geëxperimenteerd, het minder duidelijk is waarom ze de mixer zouden gebruiken om geld precies in dezelfde portemonnee te storten voordat ze een grote exploit zouden uitvoeren.
Kort daarna lanceerde Wormhole op 12 februari een bug bounty-programma met Immunefi met een beloning van $ 10 miljoen voor slimme contracten, webgebruikersinterface (UI), Guardian-knooppunten en Wormhole-integraties. Dit maakt het het grootste bug bounty-programma in de cryptoverse, vergelijkbaar met het bug bounty-programma van Maker DAO.
Jump Crypto, de crypto-investeringstak van handelsbedrijf Jump Trading en een van de leidende investeerders die Wormhole steunen, is tussenbeide gekomen om "de leden van de gemeenschap heel te maken". Het durfkapitaalbedrijf heeft de 120.000 ETH vervangen en verklaarde via een Twitter-bericht op dezelfde dag van de hack dat het bedrijf gelooft in een toekomst met meerdere ketens en dat Wormhole een essentiële infrastructuur is voor deze toekomst.
Beveiligingsproblemen met ketenoverschrijdende activiteit
Vitalik Buterin, mede-oprichter van Ethereum, schreef op een Reddit AMA-sessie samen met het onderzoeksteam van de Ethereum Foundation, waar hij zei dat de toekomst van blockchain-technologie multichain is en niet cross-chain. Buterin heeft dit beredeneerd met veiligheidsproblemen van bruggen en niet-native token-activa met een focus op de waarschijnlijkheid van 51% aanvallen. Hij zei: "Het is altijd veiliger om Ethereum-native activa op Ethereum of Solana-native activa op Solana te houden dan Ethereum-native activa op Solana of Solana-native activa op Ethereum."
Jagdeep Sidhu, de chief technology officer van Syscoin, een proof-of-work (PoW) blockchain-netwerk dat is "merged-mined" met Bitcoin, sprak verder met Cointelegraph over dit verhaal. Hij zei: "Hij bedoelt gewoon dat waar een blockchain is, er een zone van soevereiniteit is binnen die keten die een vrije wil heeft over de beveiliging van die blockchain. Elke tijdblokkering wordt teruggedraaid, bijvoorbeeld alle systemen die afhankelijk zijn van de beveiliging van die keten, worden ook teruggedraaid. Daarom moet je bij het creëren van ketenoverschrijdende bruggen ofwel uitgaan van een nieuw consensussysteem dat terugdraait en ernaar handelt, ofwel voorzichtig wachten op de mogelijkheden van een terugdraaiing, afhankelijk van de waarde van de transactie.
Sidhu zei verder dat de Wormhole-hack de complexiteit onthulde van het creëren van uitwisseling en overbrugging van ketens, omdat de aanval alleen mogelijk werd gemaakt door een extern optreden van het Solana-team dat een bepaalde operatie in de consensuscode-erfenis maakte. Deze operatie opende een maas in de logica van Wormhole waar de hacker misbruik van maakte.
Hoewel deze specifieke hack invloed had op een cross-chain bridge, is het opmerkelijk dat dit technisch gezien een slimme contractexploit was, die al bestaat zolang het concept van slimme contracten bestaat. Galka verklaarde:
“De geschiedenis van slimme contracten heeft een vrij consistente stroom van kwetsbaarheden en hacks met zich meegebracht die teruggaat tot de zeer vroege dagen van Ethereum toen The DAO in 2016 werd aangevallen. Over het algemeen hebben cross-chain bridge-contracten grote saldi waardoor ze primaire doelen zijn. Historisch gezien zijn er altijd hacks geweest op slimme contracten. Ik zou verwachten dat dat zo zou blijven."
Cointelegraph besprak dit aspect van de hack ook met Anton Bukov, mede-oprichter van het 1inch Network, een DEX-aggregator, die zei dat de oorzaak van deze hack een low-level smart contract-bug was. Het was gerelateerd aan het mechanisme dat Solana gebruikte voor vooraf gecompileerde smart contract-oproepen. Hij merkte op dat de bugfix meer dan twee weken voor de hack openbaar beschikbaar was in de GitHub-repository van het interoperabiliteitsprotocol.
De openbaar beschikbare fix kan voor de uitbuiter het signaal zijn geweest om de hack te identificeren. Bukov was het ook eens met de zorgen van Buterin met ketenoverschrijdende operaties en verklaarde dat "Cross-chainoperaties veel gevaarlijker en kwetsbaarder zijn dan andere blockchain-operaties."
Zero-knowledge rollups
Ondanks de snelle groei van Solana in de korte tijd sinds de lancering, is het netwerk steeds vatbaarder geworden voor problemen naarmate er meer gebruikers aan boord komen. Het netwerk had een slechte start van het jaar toen het in januari te maken kreeg met zes netwerkstoringen die veel frustratie veroorzaakten bij de gemeenschap.
Verwant:Schaalbaarheid of stabiliteit? Uitval van het Solana-netwerk toont aan dat er nog werk nodig is
Sidhu wees erop dat Solana, net als alle andere alternatieve slimme contractnetwerken, een monolithische architectuur gebruikt die geen schaalvoordelen biedt. Hierdoor zullen, naarmate er meer gebruikers op het netwerk komen, de kosten en de middelen om het netwerk stabiel, veilig en gedecentraliseerd te houden toenemen.
Hij suggereerde een alternatief voor dit inkomende probleem en zei: "De beste manier die we kennen om te schalen, is door middel van een modulaire architectuur. Dit is waar Ethereum en enkele andere blockchains zoals Syscoin naartoe overstappen dankzij de creatie van geweldige schaaloplossingen zoals optimistische en zero-knowledge proof gebaseerde rollups.”
Sidhu bewees een gedetailleerde oplossing voor dit probleem en zei dat de beste oplossing voor cross-chaining activa is om zero-knowledge (ZK) bewijzen te gebruiken als een beter alternatief voor het hebben van de pool van geld op een externe consensus zoals een multi-party protocol dat een eerlijke meerderheidsaanname van externe validators vereist. Dit gebruik van ZK-bewijzen zou de externe consensus vervangen door wiskundige validiteitsbewijzen.
Desalniettemin voegde hij er ook aan toe dat geen van de oplossingen zo veilig is als het gebruik van een betrouwbare laag 1. Hij voegde eraan toe: "Een ZK-brug is een veelbelovende verbetering voor cross-chain bridging, maar ik denk niet dat het moet worden gebruikt als een generiek kruis -chain DeFi-ecosysteem, omdat het per definitie niet zoveel beveiliging kan bieden als simpelweg het gebruik van een veilige laag 1.
Bukov merkte op dat deze hack ook kan worden gerepliceerd met bruggen op andere blockchain-netwerken:
“Historisch gezien zijn er gevallen geweest waarin een partij code exploiteerde en vervolgens kopieerde ze deze initiële exploit. In 2017 werd de onderliggende code van een reeks Ethereum-portefeuilles met meerdere handtekeningen gehackt. In dit geval zijn er meerdere vervolghacks geweest door andere actoren die dezelfde kwetsbaarheid hebben aangegrepen.”
Deze hack kan een teken zijn voor kernontwikkelaars van interoperabele overbruggingsprotocollen en andere smart contract blockchain-netwerken om voorzichtig te werk te gaan met cross-chain slimme contracten en activa en te werken aan regelmatige updates, audits, bug bounties, enz., om dure mazen zoals deze in hun bedrijfsvoering.
Lees verder met CoinTelegraph