Wormhole Exploit بر موارد استفاده بیشتر MPC در میان اوراکل ها و پل های بلاک چین تاکید می کند

مالی غیرمتمرکز (DeFi) ممکن است به عنوان یک مقوله هیجان‌انگیز در اکوسیستم بلاک چین ظاهر شده باشد، اما وضعیت هنوز نوپای آن بسیاری از شرکت‌کنندگان را در معرض خطرات این تکرار خدمات مالی دموکراتیک‌تر قرار داده است. 

آخرین بهره برداری Wormhole، یک پل بلاک چین بین Solana و Ethereum، بر نقص هایی تأکید می کند که همچنان ظاهر می شوند و بر کاربران DeFi تأثیر می گذارند. برای زمینه، هک 325 میلیون دلاری در واقع نتیجه منطق معیوب در مجموعه برنامه نویسی پل برای به روز رسانی بود.

معمولاً، تراکنشی که از طریق Wormhole به سولانا جریان می یابد، به امضای تراکنش معتبر و نگهبان (گره تأیید اعتبار) نیاز دارد. در صورت احراز این دو شرط، درخواست تراکنش تایید می شود. در صورت امضای تراکنش نامعتبر و قیم معتبر، شرایط لازم برای شروع معامله برآورده نمی شود و سولانا این درخواست را رد می کند. با این حال، هکر به جای ارائه شرایط نامعتبر در مواردی که امضای تراکنش نامعتبر و قیم معتبر وجود داشت، از یک امضای نامعتبر و یک غیر قیم استفاده کرد و عملاً دو شرط تایید نشده را ایجاد کرد. 

از آنجایی که دو شرط معتبر برای تشکیل یک «تطابق» برای پذیرش درخواست‌های تراکنش مورد نیاز است، و دو شرط نامعتبر نیز می‌توانند به‌عنوان «تطابق» در منطق موجود سیستم در نظر گرفته شوند، به هکر اجازه می‌دهد تا اتریوم پیچیده شده (wETH) را در سولانا ضرب کند. . هکر بدون واریز 120,000 ETH به حساب امانی، 120,000 wETH را ایجاد کرد که سپس رد و بدل شد و Wormhole را فریب داد تا Ethereum معمولی را باز کند که سایر WETH ها را در Solana وثیقه می کرد.

اگرچه تیم Wormhole از آن زمان این نقص را برطرف کرده است، اما مشخص نیست که آنها چگونه قصد دارند وجوه دزدیده شده از پل را با وجود اعلام تلاش هایی برای این منظور، سرمایه گذاری کنند. در حالی که آنها به هکر پیشنهادهای انعام داده اند، عدم پاسخگویی کر کننده بوده است. با این حال، این هک آسیب‌پذیری‌های قابل توجهی را در زیرساخت‌های قابلیت همکاری حیاتی که DeFi را به هم متصل می‌کنند، و مهم‌تر از آن، آن‌هایی که به بلاک‌چین‌ها اجازه برقراری ارتباط را می‌دهند، برجسته می‌کند.

آیا محاسبات چند طرفه به معنای قابلیت همکاری امن تر است؟

قابلیت همکاری یا در این زمینه، توانایی اتصال زنجیره‌های بلوکی و اکوسیستم‌های جداشده، چسبی است که مالی غیرمتمرکز را از طریق گسترش پل‌ها، اوراکل‌ها و موارد دیگر در کنار هم نگه می‌دارد. با این حال، قابلیت همکاری می تواند به معنای آسیب پذیری نیز باشد، همانطور که در مورد Wormhole اتفاق افتاد، به ویژه زمانی که قابلیت همکاری مسئول نظارت بر تبادل امن ارزش بین دو سیستم باشد.

ایده نیاز به چندین طرف یا مدارک (مانند امضا) برای تأیید تراکنش‌های خاص، برای فناوری بلاک چین غریبه نیست، بلکه یک ویژگی نسبتاً رایج کیف‌پول‌های الکترونیکی خاص است. ایده توزیع قدرت امضا به چندین طرف خطر یک نقطه شکست را کاهش می دهد. 

برای کیف پول‌های mutlisig، این به معنای تصمیم‌گیری است که امضاکنندگان مشترک چه کسانی خواهند بود و چه تعداد از امضاکنندگان باید یک معامله را امضا کنند. مشکل این مدل تغییر امضاکنندگان و مجوزها است، ناگفته نماند که چندین امضا باید به طور همزمان ارائه شود، که در نتیجه تقاضاهای در دسترس بودن از طرف امضاکنندگان برای هر تراکنش است.

محاسبات چند طرفه (MPC) می تواند به جلوگیری از این عوارض کمک کند، اما کاربرد آن فراتر از کیف پول و تأیید کلید است. MPC از نقاط پایانی کاملاً قابل تغییر استفاده می کند که حاوی بخشی از کلیدهای مخفی است اما نه کل آنها. با هم، این نقاط پایانی برای ایجاد یک اجماع مورد استفاده قرار می‌گیرند و حداقل تعداد نقاط پایانی برای رسیدن به این اجماع در یک تراکنش تعیین می‌شود.

کرت نیلسن، رئیس و یکی از بنیانگذاران بلاک چین Partisia، معتقد است که MPC کلید باز کردن پتانسیل واقعی قابلیت همکاری در یک چارچوب امن تر و قابل اعتمادتر است. نیلسن خاطرنشان می‌کند: «قابلیت همکاری از طریق پل‌های رمزی، پتانسیل بسیار زیادی برای تبدیل شدن به یک ارزش‌آفرین اصلی در اکوسیستم بلاک چین را نشان می‌دهد. با این حال، همانطور که در اکسپلویت Wormhole دیدیم، جابجایی توکن‌ها به خارج از مدل امنیتی تثبیت‌شده‌شان، چالش‌ها و آسیب‌پذیری‌های مهمی را به همراه دارد. پاسخ ما پیچیده تر، اصول ممیزی اثبات شده و اقدامات امنیتی MPC در مقیاس بزرگ است.

او در ادامه توضیح می‌دهد: «اول، اوراکلی که به طور منظم منقضی می‌شود، به‌طور مؤثر و شفاف ارزش‌های موجود در زنجیره‌های بلوکی مختلف را نشان می‌دهد، مانند حسابداری دوبار ورود که از زمان بانک مدیسی در قرن چهاردهم، ارزش خود را ثابت کرده است. دوم، اقدامات امنیتی MPC در مقیاس بزرگ از انباشته شدن ریسک مالی در سراسر اوراکل ها یا دوره ها جلوگیری می کند. سوم، گره‌هایی که اوراکل را در یک دوره معین کار می‌کنند، وثیقه‌ای برای حمایت از ارزش‌های انتقال‌یافته ارائه می‌کنند، و در نهایت، عدم تعادل هدف از طریق یک فرآیند اختلاف غیرمتمرکز جبران می‌شود.

Partisia از سال 2008 در راه حل های MPC درجه تجاری شرکت داشته است و اکنون در حال استفاده از هوش خود در برنامه های مبتنی بر بلاک چین است. بلاک چین Partisia به طور موثر به عنوان یک لایه قابلیت همکاری با استفاده از محاسبات اثبات دانش صفر عمل می کند. با رتبه‌بندی و رتبه‌بندی گره‌ها بر اساس امتیاز اعتمادشان، کاربران DeFi می‌توانند اعتماد بیشتری نسبت به اینکه چگونه و چه کسی ارزش خود را بین اکوسیستم‌ها جابه‌جا می‌کند، به دست آورند.

اگرچه Wormhole بزرگترین حادثه از این دست در سال 2022 تاکنون بوده است، اما Wormhole احتمالاً با گذشت سال از تنها پروتکل، پل یا بلاک چین که توسط هکرها هدف قرار گرفته است فاصله خواهد داشت. با این وجود، همانطور که Partisia نشان می دهد، MPC به عنوان یک استراتژی برای تقویت ارتباط بین شبکه هایی که بر انتقال داده یا ارزش نظارت می کنند بدون اینکه بدانند دقیقاً چه چیزی توسط چه کسی و به کجا منتقل می شود، برجسته می شود.