Solana stała się jedną z najszybciej rozwijających się sieci inteligentnych kontraktów blockchain od czasu jej oficjalnego uruchomienia w marcu 2020 r.
Całkowita wartość zablokowanych (TVL) protokołów zdecentralizowanych finansów (DeFi) w sieci wzrosła z prawie 152 mln USD w marcu 2021 r. do 8,08 mld USD w momencie pisania tego tekstu, zgodnie z danymi DefiLlama.
Nasze najlepsze roboty biznesowe
Jednocześnie sieć była również poddawana kilku problemom z siecią i awariom. Ostatnio, 3 lutego, most tokenów Wormhole został uderzony przez exploit bezpieczeństwa, który zakończył się utratą 120 000 opakowanych tokenów Ether (wETH), o wartości ponad 375 milionów dolarów przy obecnej cenie Ether (ETH).
Exploit ten był największym jak dotąd w 2022 r. i drugim co do wielkości włamaniem DeFi w historii, po włamaniu na Poly Network, w którym z trzech różnych sieci blockchain skradziono ponad 600 milionów dolarów, gdy włamano się do mostu Ethereum.
Wormhole to protokół mostu tokenowego, który łączy wiele sieci blockchain, takich jak Ethereum, Solana, Terra, BNB Smart Chain, Polygon, Avalanche i Oasis. Umożliwia użytkownikom wysyłanie i odbieranie tokenów między tymi sieciami bez potrzeby scentralizowanej wymiany lub żmudnych procesów konwersji. Chociaż opakowany Ether był jedynym zasobem, na który miał wpływ ten exploit, Certik, firma audytująca inteligentne kontrakty, wspomniała, że na most Wormhole do sieci blockchain Terra może mieć wpływ ta sama luka, co most Solana.
Protokół mostkowania tokenów opublikował szczegółowy raport o incydentach, który śledzi chronologię włamania i wszystkie związane z nim aspekty, w tym audyty bezpieczeństwa, nagrody za błędy i plan bezpieczeństwa. Cointelegraph omówił ten hack z Maxem Galką, dyrektorem generalnym firmy Elementus zajmującej się analizą danych blockchain. Powiedział:
„Około trzy godziny przed zabraniem eteru z Wormhole portfel, w którym obecnie znajdują się skradzione środki, miał mniejszą transakcję zdeponowaną z Tornado Cash — miksera, który anonimizuje transakcje. Nastąpił transfer z miksera na Ethereum do tego portfela, w którym teraz znajdują się skradzione fundusze.
Galka wspomniała dalej, że chociaż jest oczywiste, dlaczego haker eksperymentowałby z Tornado Cash, nie jest jasne, dlaczego używał miksera do wpłacania środków dokładnie do tego samego portfela przed wykonaniem poważnego exploita.
Wkrótce potem, 12 lutego Wormhole uruchomił program bug bounty z Immunefi z nagrodą w wysokości 10 milionów dolarów, która obejmuje inteligentne kontrakty, internetowy interfejs użytkownika (UI), węzły strażników i integracje z tunelem czasoprzestrzennym. To sprawia, że jest to największy program bug bounty w kryptoświecie, na równi z programem bug bounty Maker DAO.
Jump Crypto, kryptowalutowe ramię inwestycyjne firmy handlowej Jump Trading i jeden z wiodących inwestorów wspierających Wormhole, wkroczył, aby „uczynić członków społeczności całością”. Firma venture capital wymieniła 120 000 ETH i oświadczyła w poście na Twitterze w dniu włamania, że wierzy w wielołańcuchową przyszłość i że Wormhole jest niezbędną infrastrukturą dla tej przyszłości.
Obawy dotyczące bezpieczeństwa związane z aktywnością międzyłańcuchową
Vitalik Buterin, współzałożyciel Ethereum, napisał podczas sesji Reddit AMA wraz z zespołem badawczym Fundacji Ethereum, gdzie powiedział, że przyszłość technologii blockchain to multichain, a nie cross-chain. Buterin uzasadnił to obawami dotyczącymi bezpieczeństwa mostów i nienatywnych zasobów tokenów, koncentrując się na prawdopodobieństwie 51% ataków. Powiedział: „Zawsze bezpieczniej jest trzymać natywne aktywa Ethereum na Ethereum lub natywne aktywa Solana na Solanie niż trzymać natywne aktywa Ethereum na Solana lub natywne aktywa Solana na Ethereum”.
Jagdeep Sidhu, dyrektor ds. technologii Syscoin, sieci blockchain typu proof-of-work (PoW), która jest „połączona” z Bitcoinem, rozmawiał z Cointelegraph w dalszej części tej narracji. Powiedział: „On po prostu ma na myśli, że tam, gdzie istnieje blockchain, istnieje strefa suwerenności w tym łańcuchu, która ma wolną wolę w zakresie bezpieczeństwa tego blockchaina. Za każdym razem, gdy bloki czasowe są cofane, na przykład wszystkie systemy w zależności od bezpieczeństwa tego łańcucha również cofają się. Z tego powodu, tworząc mosty między łańcuchami, musisz albo założyć nowy system konsensusu, który będzie obserwował i działał na wycofanie, albo ostrożnie czekaj na możliwości wycofania, w zależności od wartości transakcji.
Sidhu powiedział dalej, że włamanie do tunelu czasoprzestrzennego ujawniło złożoność tworzenia wymiany między łańcuchami i mostkowania, ponieważ atak był możliwy tylko dzięki efektom zewnętrznym ze strony zespołu Solana, który spowodował pewną operację w spuściźnie kodu konsensusu. Ta operacja otworzyła lukę w logice Wormhole, którą wykorzystał haker.
Mimo że ten konkretny hack dotknął mostka międzyłańcuchowego, warto zauważyć, że technicznie rzecz biorąc, był to exploit wykorzystujący inteligentne kontrakty, który istniał tak długo, jak istniała koncepcja inteligentnych kontraktów. Galka stwierdził:
„Historia inteligentnych kontraktów obejmowała dość spójny strumień luk w zabezpieczeniach i hacków sięgający bardzo wczesnych dni Ethereum, kiedy The DAO zostało zaatakowane w 2016 roku. Ogólnie rzecz biorąc, kontrakty mostowe między łańcuchami mają duże saldo, co czyni je głównym celem. Historycznie rzecz biorąc, inteligentne kontrakty zawsze były hackami. Spodziewam się, że tak będzie dalej”.
Cointelegraph omówił również ten aspekt włamania z Antonem Bukowem, współzałożycielem 1inch Network, agregatora DEX, który wspomniał, że przyczyną tego włamania był niskopoziomowy błąd inteligentnego kontraktu. Było to związane z mechanizmem, którego Solana używał do wywoływania prekompilowanych inteligentnych kontraktów. Zauważył, że poprawka błędu była publicznie dostępna w repozytorium GitHub protokołu interoperacyjności przez ponad dwa tygodnie przed włamaniem.
Publicznie dostępna poprawka mogła być wskazówką dla exploitera do zidentyfikowania włamania. Bukov zgodził się również z obawami Buterina dotyczącymi operacji cross-chain i stwierdził, że „operacje cross-chain są znacznie bardziej niebezpieczne i podatne na ataki niż jakiekolwiek inne operacje blockchain”.
Rollupy z zerową wiedzą
Pomimo szybkiego rozwoju firmy Solana w krótkim czasie od jej uruchomienia, sieć staje się coraz bardziej podatna na problemy, ponieważ coraz więcej użytkowników zaczyna dołączać do sieci. Sieć miała zły początek roku, kiedy w styczniu miała do czynienia z sześcioma awariami sieci, które spowodowały wiele frustracji w jej społeczności.
Związane z:Skalowalność czy stabilność? Awarie sieci Solana wskazują, że nadal potrzebna jest praca
Sidhu zwrócił uwagę, że Solana, podobnie jak wszystkie inne alternatywne sieci inteligentnych kontraktów, wykorzystuje architekturę monolityczną, która nie zapewnia ekonomii skali. Z tego powodu, w miarę jak coraz więcej użytkowników wchodzi do sieci, wzrastają opłaty i zasoby potrzebne do utrzymania stabilności, bezpieczeństwa i zdecentralizowania sieci.
Sugerując alternatywę dla tego nadchodzącego problemu, powiedział: „Najlepszym znanym nam sposobem skalowania jest architektura modułowa. Właśnie do tego zmierza Ethereum i niektóre inne blockchainy, takie jak Syscoin, dzięki stworzeniu świetnych rozwiązań skalujących, takich jak optymistyczne i oparte na zerowej wiedzy rollupy”.
Udowadniając szczegółowe rozwiązanie tego problemu, Sidhu wspomniał, że najlepszym rozwiązaniem dla cross-chaining aktywów jest użycie dowodów z wiedzą zerową (ZK) jako lepszej alternatywy dla posiadania puli pieniędzy opartej na zewnętrznym konsensusie, takim jak wielostronny protokół, który wymaga przyjęcia uczciwej większości zewnętrznych walidatorów. Takie użycie dowodów ZK zastąpiłoby zewnętrzny konsensus dowodami ważności matematycznej.
Niemniej jednak dodał również, że żadne z rozwiązań nie jest tak bezpieczne, jak zastosowanie niezawodnej warstwy 1. Dodał: „Most ZK jest obiecującym ulepszeniem mostkowania między łańcuchami, ale nie sądzę, aby był używany jako ogólny -chain ekosystem DeFi, ponieważ z definicji nie może zapewnić tak dużego bezpieczeństwa, jak zwykłe użycie bezpiecznej warstwy 1.”
Bukov zauważył również możliwości replikacji tego włamania za pomocą mostów w innych sieciach blockchain:
„Historycznie rzecz biorąc, zdarzały się przypadki, w których jedna ze stron wykorzystywała kod, a następnie korzystała z tego początkowego exploita przez naśladowców. W 2017 r. zhakowano kod z serii wielopodpisowych portfeli Ethereum. W tym przypadku kilka kolejnych włamań miało miejsce przez inne podmioty, które wykorzystały tę samą lukę”.
Ten hack może być sygnałem dla głównych twórców interoperacyjnych protokołów pomostowych i innych inteligentnych sieci blockchain, aby zachować ostrożność w przypadku inteligentnych kontraktów i zasobów międzyłańcuchowych oraz pracować nad regularnymi aktualizacjami, audytami, nagrodami za błędy itp., aby usunąć kosztowne luki, takie jak tych w swoich działaniach.
Kontynuuj czytanie z Cointelegraph
