Интероперабельный Web3 без надлежащей безопасности — это катастрофа

Совместимость имеет решающее значение для развития технологий Web3 и более широкой криптоэкосистемы.

Без функциональной совместимости пользователи ограничены использованием одной цепочки блоков, что не позволяет им подключаться к другим сетям и пользоваться различными преимуществами, которые дает более открытая и взаимосвязанная система.

Тем не менее, Web3 настолько безопасен, насколько безопасны системы, которые его поддерживают, и без надлежащей безопасности будущее без разрешений и доверия — это катастрофа, ожидающая своего дня.

Мост — самое опасное место в крипто

Мост по своей природе является продолжением блокчейна, и поэтому он должен полностью удовлетворять основным требованиям блокчейна — быть надежным, децентрализованным и безопасным.

Эта концепция стала известна как трилемма взаимодействия, и она требует, чтобы мосты были надежными, расширяемыми и независимыми (способными передавать любые типы данных, поддерживаемые цепочками).

Природа транзакций между цепочками создает больше точек отказа и, следовательно, более высокие риски безопасности по сравнению с взаимодействием в рамках одной сети.

Хотя вопросы безопасности не полностью решены в отдельных сетях, мосты создают дополнительные проблемы.

Независимо от того, как спроектирован конкретный мост, средства должны быть заблокированы в смарт-контракте или в централизованном хранилище, который, в свою очередь, становится приманкой для черных хакеров.

Смарт-контракты, которые выполняются в нескольких блокчейнах, более сложны, что делает их уязвимыми для ошибок и злонамеренных атак.

Фактически мосты между сетями являются жертвой 50% эксплойтов DeFi. За последние два года хакеры украли около 2,5 миллиардов долларов, используя свои уникальные уязвимости.

Нарушения произошли с некоторыми из самых известных экосистем — Poly Network (протокол кросс-чейна Polygon), Ronin (Axie Infinity) и Horizon (мост протокола Harmony) и другие.

Эксплойт Wormhole Bridge был второй крупнейшей атакой после эксплойта Ronin. Хакер сбежал примерно с 320 миллионами долларов после того, как обнаружил уязвимость в коде смарт-контракта этого моста между Ethereum и Solana, который позволил им создать 120 000 Wrapped Ethereum на Solana без предоставления необходимого эквивалентного залога Ethereum.

Эксплойт Nomad стал возможен благодаря неправильной настройке смарт-контракта, которая позволяла любому, у кого есть базовое понимание кода, разрешать снятие средств для себя, что люди и делали.

Это привело к тому, что было описано как «первое в истории децентрализованное массовое ограбление девятизначного моста». Из украденных 200 миллионов долларов более 32 миллионов долларов были возвращены белыми хакерами.

Безопасный кошелек — первый шаг к безопасному мосту

Несмотря на то, что предстоит проделать большую работу в области дизайна моста, внедрение улучшенного дизайна кошелька может обеспечить дополнительную безопасность.

Традиционные криптокошельки часто уязвимы, потому что они полагаются на один закрытый ключ для управления средствами.

Например, взлом Ronin стал возможен благодаря сложной фишинговой схеме с использованием поддельных предложений работы в LinkedIn, в результате чего злоумышленники получили доступ к пяти из девяти закрытых ключей, хранящихся у валидаторов транзакций для моста Ronin Network.

Кошельки MPC (многосторонние вычисления) не привязаны к одному приватному ключу. Они распределяют общие закрытые ключи по разным местам, таким как сервер и устройство пользователя.

Цифровые подписи, поступающие из кошелька, вычисляются распределенным образом. Закрытый ключ никогда не реконструируется полностью и, следовательно, не может быть раскрыт.

Еще одним технологическим достижением, связанным с кошельком, является абстракция учетной записи, которая в самых общих чертах позволяет кошелькам Ethereum действовать как смарт-контракты.

Недавно реализованное обновление ERC-4337 для сети Ethereum включает «социальную систему восстановления», в которой назначенные третьи стороны могут восстановить доступ к вашему кошельку, если вы потеряете свои закрытые ключи.

Обновление также позволяет использовать 2FA (двухфакторную аутентификацию) и даже биометрию для защиты кошельков, что делает их намного более безопасными и удобными для пользователя.

Когда блокчейны разговаривают друг с другом

Эволюцию блокчейна в направлении функциональной совместимости иногда сравнивают с глобализацией. Представьте себе, что блокчейны свободно общаются друг с другом, могут создать NFT на Ethereum от Solana или получить кредит от DApp на Avalanche от Arbitrum.

Когда пользователям и разработчикам станет безопасно пересекать границы отдельных блокчейнов, это откроет совершенно новый уровень коммерции и развития блокчейнов.

Загрузка ...
Криптан