در مارس 2022، شبکه ارزهای دیجیتال رونین فاش کرد که قربانی یکی از بزرگترین هکهای تمام دوران شده است، با شکستی که به مهاجمان اجازه میدهد تا سرقت بیش از 540 میلیون دلار ارزش سکه های اتریوم و دلار. در این حادثه هکرها از یک آسیب پذیری در سرویسی به نام پل رونین سوء استفاده کردند. این یکی از تعدادی از حملات موفق اخیر به "پل های بلاک چین" است که توجه را به ناکارآمدی های امنیتی ذاتی آنها جلب کرده است.
پل های بلاک چین که گاهی پل های شبکه نیز نامیده می شوند، خدماتی هستند که به دارندگان رمزارز امکان انتقال دارایی های دیجیتال خود را از یک بلاکچین به بلاک چین دیگر می دهند. آنها نقش مهمی را ایفا می کنند، زیرا ارزهای رمزنگاری شده اغلب محفوظ هستند و قابلیت همکاری ندارند، به این معنی که برای مثال می توانید بیت کوین را به یک آدرس کیف پول اتریوم ارسال کنید. به دلیل این ماهیت محصور شده، پل ها به عنوان یک مکانیسم کلیدی در اقتصاد کریپتو ظاهر شده اند.
خدمات پل در واقع یک نوع دارایی دیجیتال را به زنجیره دیگری منتقل نمی کند. در عوض، کاری که آنها انجام میدهند این است که توکنهای رمزارز را به منظور تبدیل آنها به یک دارایی جدید در زنجیره دیگر «پیچ» میکنند. بنابراین اگر کاربری بخواهد بیت کوین را به سولانا متصل کند، پل اساساً بیت کوین اصلی را با قفل کردن آن در یک آدرس کیف پول، قبل از بیرون ریختن آنچه به عنوان بیت کوین پیچیده (WBTC) شناخته می شود که می تواند در زنجیره دوم استفاده شود، مسدود می کند. می توان آن را نوعی کارت هدیه در نظر گرفت که دقیقاً همان ارزش پولی را ارائه می دهد که فقط در یک فروشگاه خاص قابل استفاده است.
به دلیل نحوه کار، پل ها ذخایر قابل توجهی از توکن های ارزهای دیجیتال را در اختیار دارند که در قراردادهای هوشمند قفل شده اند و این ذخایر آنها را به ویژه برای هکرها جذاب می کند.
همانطور که استوارهای کریپتو خیلی خوب می دانند، هر ارزشی که در زنجیره نگه داشته شود در هر زمانی از روز در معرض حمله قرار می گیرد. اینترنت هرگز آفلاین نمی شود، به این معنی که نشانه هایی که توسط هر پل نگهداری می شود همیشه قابل دسترسی هستند.
هک رونین خطر تمرکز را نشان می دهد
این یک راهاندازی به شدت متمرکز بود که از تصمیم Axie Dao برای راهاندازی یک گره RPC بدون گاز در نوامبر ۲۰۲۱ برای تلاش برای رفع ازدحام شبکه ناشی شد. DAO کلیدهای Sky Mavis را برای امضای تراکنش ها از طرف خود در لیست مجاز قرار داده است. قرار بود این فقط یک ترتیب موقت باشد، اما لیست مجاز هرگز لغو نشد. این یک بازشو ایجاد کرد برای مهاجمان - گفته می شود که گروه لازاروس تحت حمایت کره شمالی هستند - که از تکنیک های مهندسی اجتماعی برای به خطر انداختن چهار کلید Sky Mavis استفاده کردند. سپس هکرها یک آسیبپذیری را در کد RPC کشف کردند که کنترل پنجمین اعتبارسنجی را به آن میداد و به آن امکان برداشت غیرقانونی میداد.
مسئله اصلی این بود که سیستم چند امضایی رونین برای امضای تراکنش ها به دلیل عدم تمرکززدایی به خطر افتاده بود. این نشان دهنده ضعف مکانیسم های امنیتی است که در آن اکثریت حکومت در دست یک نهاد واحد متمرکز است.
آسیب پذیری های قرارداد هوشمند همچنان پابرجاست
پل کیوبیت به دلیل آنچه که گفته می شد یک "خطای منطقی" در کد قرارداد هوشمند آن هک شد. این آسیبپذیری هکر را قادر میسازد تا پل را با استفاده از دادههای مخرب دستکاری کند، بنابراین او میتواند توکنهای BSC را بدون واریز وجه در اتریوم خارج کند. یک کالبد شکافی حمله دریافتند که قرارداد هوشمند QBridge به درستی تأیید نمی کند که مقدار مورد نیاز ETH قفل شده است. در عوض، هکر توانست مدرک جعلی مبنی بر عدم وجود سپرده را نشان دهد.
این حادثه نشان داد که چگونه آسیبپذیریهای قرارداد هوشمند همچنان به عنوان یک مشکل دائمی در DeFi و بهویژه برای پلهای بلاک چین باقی میماند. اکثریت قریب به اتفاق حملات پل، اشکالات قراردادهای هوشمند را هدف قرار می دهند، قراردادهایی که قراردادهای خودکاری هستند که در صورت برآورده شدن شرایط خاص، خود به خود اجرا می شوند.
پل ها برای افزایش دسترسی رمزارزها کلیدی هستند
ساختن پل های بهتر
خبر خوب این است که کسانی در صنعت هستند که اهمیت اتصال امن بلاک چین را تشخیص می دهند. یک چشم انداز هیجان انگیز این است AllianceBlock بسیار امیدوار کننده پل اتحادکه از شبکههای اصلی از جمله اتریوم، زنجیره هوشمند بایننس، بهمن، پلیگون، آربیرتروم، خوشبینی و انرژی وب با زیرساخت منحصربهفردی که غیرمتمرکزتر است و عملکرد سریعتر و ایمنتری ارائه میکند، پشتیبانی میکند.
بر خلاف پلهای متمرکز، که برای تأیید قانونی بودن تراکنشها به یک یا چند نهاد متکی هستند، پلهای غیرمتمرکز بر اساس همان اصول خود زنجیره بلوکی هستند. اپراتورهای متعددی وجود دارند که از مکانیسمهای اجماع ساختار یافته برای ایجاد اعتبار تراکنشها استفاده میکنند. AllianceBridge یک پل غیرمتمرکز است که روش منحصر به فردی را برای اطمینان از رسیدن به اجماع ایجاد کرده است.
مانند دیگران، AllianceBridge توکنهایی را که دریافت میکند در یک قرارداد هوشمند قفل میکند و سپس توکنهای پیچیدهشده را روی بلاک چین هدف صادر میکند. این توکنهای پیچیده تا زمانی که کاربر تصمیم بگیرد آنها را در شبکه اصلی بازخرید کند، در زنجیره دوم وجود خواهند داشت. در آن نقطه، توکنهای پیچیده میسوزند، به این معنی که دیگر وجود ندارند، در حالی که توکنهای اصلی در زنجیره اصلی باز میشوند.
تفاوت AllianceBridge این است که از شبکه اپراتورهای پل سازگار با EVM استفاده می کند. علاوه بر این، از شخص ثالث قوی و قوی استفاده می کند سرویس اجماع هدرا هدرا که توسط یک نوآورانه طراحی شده استشایعه پراکنی” الگوریتم اجماع.
با استفاده از سرویس HCS، برنامهها و شبکههای بلاک چین میتوانند پیامهایی را به دفتر کل عمومی Hedera ارسال کنند، جایی که با شفافیت کامل، آنها را با مهر زمانی ثبت میکنند و سفارش میدهند. این امکان را برای AllianceBridge فراهم می کند تا بدون حفظ همگام سازی بین اپراتورهای پل، به اجماع برسد. این به معنای عملکرد سریعتر با درجه غیرمتمرکز بالا است، در حالی که HCS یک لایه اعتماد اضافی را فراهم می کند که پل را ایمن تر می کند.
قراردادهای هوشمند AllianceBridge، که برای قفل کردن داراییهای اصلی و ضرب و سوزاندن توکنهای پیچیدهشده استفاده میشوند، اطمینان بیشتری را فراهم میکنند. کل پایگاه کد قرارداد هوشمند با استاندارد EIP-2535 مطابقت دارد و نوشته شده است به طور کامل توسط Omniscia ممیزی شده است. در طول ممیزی، Omniscia به تعدادی از مشکلات احتمالی اشاره کرد که قبل از انتشار کد به سرعت توسط AllianceBlock برطرف شد.
امنیت و قابلیت اطمینان AllianceBridge نقش کلیدی در گسترش ابزارهای مجموعه پیشنهادات DeFi AllianceBlock، از جمله ترمینال دی فایکه راه آسانی را برای پروژهها برای راهاندازی کمپینهای استخراج نقدینگی و سرمایهگذاری در چندین شبکه و dApps پشتیبانی شده فراهم میکند. AllianceBlock با پروتکل قابلیت همکاری بلاک چین ایمن خود، در حال ایجاد شالوده محکمی است که یک اکوسیستم غنی و به هم پیوسته Web3 برای رشد و تکامل به آن نیاز دارد.
- تبلیغات -
Source: https://thecryptobasic.com/2022/09/21/web3-wont-go-mainstream-until-there-is-seamless-blockchain-integration-with-more-and-more-bridge-attacks-what-does-this-mean/?utm_source=rss&utm_medium=rss&utm_campaign=web3-wont-go-mainstream-until-there-is-seamless-blockchain-integration-with-more-and-more-bridge-attacks-what-does-this-mean