Web3 تا زمانی که یکپارچه سازی بدون درز بلاک چین وجود نداشته باشد به جریان اصلی تبدیل نمی شود: با حملات بیشتر و بیشتر بریج، این به چه معناست؟

در مارس 2022، شبکه ارزهای دیجیتال رونین فاش کرد که قربانی یکی از بزرگ‌ترین هک‌های تمام دوران شده است، با شکستی که به مهاجمان اجازه می‌دهد تا سرقت بیش از 540 میلیون دلار ارزش سکه های اتریوم و دلار. در این حادثه هکرها از یک آسیب پذیری در سرویسی به نام پل رونین سوء استفاده کردند. این یکی از تعدادی از حملات موفق اخیر به "پل های بلاک چین" است که توجه را به ناکارآمدی های امنیتی ذاتی آنها جلب کرده است.

پل های بلاک چین که گاهی پل های شبکه نیز نامیده می شوند، خدماتی هستند که به دارندگان رمزارز امکان انتقال دارایی های دیجیتال خود را از یک بلاکچین به بلاک چین دیگر می دهند. آنها نقش مهمی را ایفا می کنند، زیرا ارزهای رمزنگاری شده اغلب محفوظ هستند و قابلیت همکاری ندارند، به این معنی که برای مثال می توانید بیت کوین را به یک آدرس کیف پول اتریوم ارسال کنید. به دلیل این ماهیت محصور شده، پل ها به عنوان یک مکانیسم کلیدی در اقتصاد کریپتو ظاهر شده اند.

خدمات پل در واقع یک نوع دارایی دیجیتال را به زنجیره دیگری منتقل نمی کند. در عوض، کاری که آن‌ها انجام می‌دهند این است که توکن‌های رمزارز را به منظور تبدیل آن‌ها به یک دارایی جدید در زنجیره دیگر «پیچ» می‌کنند. بنابراین اگر کاربری بخواهد بیت کوین را به سولانا متصل کند، پل اساساً بیت کوین اصلی را با قفل کردن آن در یک آدرس کیف پول، قبل از بیرون ریختن آنچه به عنوان بیت کوین پیچیده (WBTC) شناخته می شود که می تواند در زنجیره دوم استفاده شود، مسدود می کند. می توان آن را نوعی کارت هدیه در نظر گرفت که دقیقاً همان ارزش پولی را ارائه می دهد که فقط در یک فروشگاه خاص قابل استفاده است.

به دلیل نحوه کار، پل ها ذخایر قابل توجهی از توکن های ارزهای دیجیتال را در اختیار دارند که در قراردادهای هوشمند قفل شده اند و این ذخایر آنها را به ویژه برای هکرها جذاب می کند.

همانطور که استوارهای کریپتو خیلی خوب می دانند، هر ارزشی که در زنجیره نگه داشته شود در هر زمانی از روز در معرض حمله قرار می گیرد. اینترنت هرگز آفلاین نمی شود، به این معنی که نشانه هایی که توسط هر پل نگهداری می شود همیشه قابل دسترسی هستند.

هک رونین خطر تمرکز را نشان می دهد

 حمله به شبکه Ronin یکی از بزرگترین سرقت‌های DeFi از نظر ارزش دلار بود. رونین یک زنجیره جانبی اتریوم است که تراکنش‌های ارزان‌تری را با سرعت بسیار بالاتری نسبت به شبکه اصلی امکان‌پذیر می‌کند. این پل انتخابی برای بازی محبوب رمزارز «بازی برای کسب درآمد» Axie Infinity بود، به این معنی که دائماً میلیون‌ها دلار ارز دیجیتال و استیبل کوین پردازش می‌کرد.

زنجیره‌های جانبی یک راه‌حل مقیاس‌بندی بلاک‌چین هستند که برای اتصال به زنجیره‌های دیگر به پل نیاز دارند. با Ronin، کاربران می توانند ETH خود را قفل کنند و ETH پیچیده شده را در شبکه های جایگزین برش دهند. تراکنش ها از طریق الگوریتم اجماع اثبات اختیار پردازش و تایید می شوند. با استفاده از این مدل، 5 مورد از 9 اعتبار سنجی باید در مورد یک معامله توافق کنند تا اجماع حاصل شود. با این حال، چهار تا از اعتبار سنجی رونین توسط یک شرکت - Sky Mavis، توسعه دهنده Ronin اداره می شد.

این یک راه‌اندازی به شدت متمرکز بود که از تصمیم Axie Dao برای راه‌اندازی یک گره RPC بدون گاز در نوامبر ۲۰۲۱ برای تلاش برای رفع ازدحام شبکه ناشی شد. DAO کلیدهای Sky Mavis را برای امضای تراکنش ها از طرف خود در لیست مجاز قرار داده است. قرار بود این فقط یک ترتیب موقت باشد، اما لیست مجاز هرگز لغو نشد. این یک بازشو ایجاد کرد برای مهاجمان - گفته می شود که گروه لازاروس تحت حمایت کره شمالی هستند - که از تکنیک های مهندسی اجتماعی برای به خطر انداختن چهار کلید Sky Mavis استفاده کردند. سپس هکرها یک آسیب‌پذیری را در کد RPC کشف کردند که کنترل پنجمین اعتبارسنجی را به آن می‌داد و به آن امکان برداشت غیرقانونی می‌داد.

مسئله اصلی این بود که سیستم چند امضایی رونین برای امضای تراکنش ها به دلیل عدم تمرکززدایی به خطر افتاده بود. این نشان دهنده ضعف مکانیسم های امنیتی است که در آن اکثریت حکومت در دست یک نهاد واحد متمرکز است.

آسیب پذیری های قرارداد هوشمند همچنان پابرجاست

 هک رونین یکبار نبود، بلکه آخرین مورد از یک رشته حملات پرمخاطب به پل های بلاک چین بود که منجر به از دست رفتن ارزش میلیون ها دلاری شده است. یک ماه قبل، مهاجمان پس از حمله به پل کیوبیت، اتریوم به ارزش 80 میلیون دلار را با موفقیت به پایان رساندند.

این سرویسی است که توسط پلتفرم Qubit Finance اداره می‌شود و کاربران را قادر می‌سازد تا دارایی‌های دیجیتال را در سراسر شبکه‌های زنجیره هوشمند اتریوم و بایننس قرض دهند. به عنوان مثال، این امکان را فراهم می کند که یک توکن ERC-20 را واریز کنید و در ازای آن یک سکه BEP-20 دریافت کنید، که سپس می تواند در زنجیره بایننس استفاده شود.

پل کیوبیت به دلیل آنچه که گفته می شد یک "خطای منطقی" در کد قرارداد هوشمند آن هک شد. این آسیب‌پذیری هکر را قادر می‌سازد تا پل را با استفاده از داده‌های مخرب دستکاری کند، بنابراین او می‌تواند توکن‌های BSC را بدون واریز وجه در اتریوم خارج کند. یک کالبد شکافی حمله دریافتند که قرارداد هوشمند QBridge به درستی تأیید نمی کند که مقدار مورد نیاز ETH قفل شده است. در عوض، هکر توانست مدرک جعلی مبنی بر عدم وجود سپرده را نشان دهد.

این حادثه نشان داد که چگونه آسیب‌پذیری‌های قرارداد هوشمند همچنان به عنوان یک مشکل دائمی در DeFi و به‌ویژه برای پل‌های بلاک چین باقی می‌ماند. اکثریت قریب به اتفاق حملات پل، اشکالات قراردادهای هوشمند را هدف قرار می دهند، قراردادهایی که قراردادهای خودکاری هستند که در صورت برآورده شدن شرایط خاص، خود به خود اجرا می شوند.

پل ها برای افزایش دسترسی رمزارزها کلیدی هستند

 از زمانی که صنعت نوپا محبوب شد، پلتفرم‌های کریپتو در معرض جریان بی‌پایانی از حملات قرار گرفته‌اند. طرفداران DeFi می‌گویند که می‌تواند جایگزینی در دسترس و عادلانه‌تر برای خدمات مالی سنتی ارائه کند، اما با تکامل فضا، در معرض آزمایشی قرار گرفته است. حمله به پل ها به اندازه صرافی ارزهای دیجیتال و سرقت پروتکل های DeFi رایج شده است. مسئله این است که پل‌ها، مانند صرافی‌ها و پروتکل‌ها، پلتفرم‌هایی با ریسک بالا هستند که ارزش زیادی دارند و هر یک از آنها ممکن است در برابر اشکالات کد اصلی خود آسیب‌پذیر باشند.

این باور عمومی وجود دارد که کریپتو و دی‌فای هرگز بدون راه‌حل مناسب برای خطر حملات، به پذیرش گسترده دست پیدا نمی‌کنند. اکثریت قریب به اتفاق ارزش جهان در اختیار سرمایه گذاران نهادی مانند بانک های سرمایه گذاری و صندوق های تامینی بزرگ است. چنین سازمان‌هایی انطباق و ایمنی وجوه خود را بیش از هر سود بالقوه‌ای در اولویت قرار می‌دهند. بنابراین بعید است که DeFi و کریپتو تا زمانی که مشکلات امنیتی آن حل نشود، به چیزی فراتر از یک صنعت سرمایه گذاری خاص تبدیل شوند.

امنیت پل از اهمیت ویژه ای برخوردار است. ماهیت سلب شده بلاک چین ها یک نقص جدی است که دسترسی بالقوه هر برنامه غیرمتمرکز را محدود می کند. dApp ساخته شده بر روی اتریوم نمی تواند بر اساس بلاک چین های مختلف با دیگران صحبت کند. نمی‌تواند با بیت‌کوین، با ارزش‌ترین و پرکاربردترین ارز دیجیتال دنیا، معامله کند، به این معنی که دارندگان بیت کوین راهی برای تعامل با اکوسیستم DeFi ندارند. اگر قرار است کریپتو در همه جا فراگیر شود، کاربران باید راه امنی برای برقراری ارتباط با زنجیره های مختلف داشته باشند.

ساختن پل های بهتر

 خبر خوب این است که کسانی در صنعت هستند که اهمیت اتصال امن بلاک چین را تشخیص می دهند. یک چشم انداز هیجان انگیز این است AllianceBlock بسیار امیدوار کننده پل اتحادکه از شبکه‌های اصلی از جمله اتریوم، زنجیره هوشمند بایننس، بهمن، پلیگون، آربیرتروم، خوش‌بینی و انرژی وب با زیرساخت منحصربه‌فردی که غیرمتمرکزتر است و عملکرد سریع‌تر و ایمن‌تری ارائه می‌کند، پشتیبانی می‌کند.

بر خلاف پل‌های متمرکز، که برای تأیید قانونی بودن تراکنش‌ها به یک یا چند نهاد متکی هستند، پل‌های غیرمتمرکز بر اساس همان اصول خود زنجیره بلوکی هستند. اپراتورهای متعددی وجود دارند که از مکانیسم‌های اجماع ساختار یافته برای ایجاد اعتبار تراکنش‌ها استفاده می‌کنند. AllianceBridge یک پل غیرمتمرکز است که روش منحصر به فردی را برای اطمینان از رسیدن به اجماع ایجاد کرده است.

مانند دیگران، AllianceBridge توکن‌هایی را که دریافت می‌کند در یک قرارداد هوشمند قفل می‌کند و سپس توکن‌های پیچیده‌شده را روی بلاک چین هدف صادر می‌کند. این توکن‌های پیچیده تا زمانی که کاربر تصمیم بگیرد آنها را در شبکه اصلی بازخرید کند، در زنجیره دوم وجود خواهند داشت. در آن نقطه، توکن‌های پیچیده می‌سوزند، به این معنی که دیگر وجود ندارند، در حالی که توکن‌های اصلی در زنجیره اصلی باز می‌شوند.

تفاوت AllianceBridge این است که از شبکه اپراتورهای پل سازگار با EVM استفاده می کند. علاوه بر این، از شخص ثالث قوی و قوی استفاده می کند سرویس اجماع هدرا هدرا که توسط یک نوآورانه طراحی شده استشایعه پراکنی” الگوریتم اجماع.

با استفاده از سرویس HCS، برنامه‌ها و شبکه‌های بلاک چین می‌توانند پیام‌هایی را به دفتر کل عمومی Hedera ارسال کنند، جایی که با شفافیت کامل، آنها را با مهر زمانی ثبت می‌کنند و سفارش می‌دهند. این امکان را برای AllianceBridge فراهم می کند تا بدون حفظ همگام سازی بین اپراتورهای پل، به اجماع برسد. این به معنای عملکرد سریعتر با درجه غیرمتمرکز بالا است، در حالی که HCS یک لایه اعتماد اضافی را فراهم می کند که پل را ایمن تر می کند.

قراردادهای هوشمند AllianceBridge، که برای قفل کردن دارایی‌های اصلی و ضرب و سوزاندن توکن‌های پیچیده‌شده استفاده می‌شوند، اطمینان بیشتری را فراهم می‌کنند. کل پایگاه کد قرارداد هوشمند با استاندارد EIP-2535 مطابقت دارد و نوشته شده است به طور کامل توسط Omniscia ممیزی شده است. در طول ممیزی، Omniscia به تعدادی از مشکلات احتمالی اشاره کرد که قبل از انتشار کد به سرعت توسط AllianceBlock برطرف شد.

امنیت و قابلیت اطمینان AllianceBridge نقش کلیدی در گسترش ابزارهای مجموعه پیشنهادات DeFi AllianceBlock، از جمله ترمینال دی فایکه راه آسانی را برای پروژه‌ها برای راه‌اندازی کمپین‌های استخراج نقدینگی و سرمایه‌گذاری در چندین شبکه و dApps پشتیبانی شده فراهم می‌کند. AllianceBlock با پروتکل قابلیت همکاری بلاک چین ایمن خود، در حال ایجاد شالوده محکمی است که یک اکوسیستم غنی و به هم پیوسته Web3 برای رشد و تکامل به آن نیاز دارد.

- تبلیغات -