دارایی

شبکه Flare از مشکل هک شبکه Ronin و Multisig جلوگیری می کند

04/05/2022
اخبار بیت کوین اتریوم

اگر در دو هفته گذشته اتفاقات کریپتو را دنبال کرده باشید، ممکن است با سوء استفاده از شبکه Ronin آشنا باشید که تهدیدی برای زیان 620 میلیون دلاری در ارزهای رمزنگاری شده بود. پس از مرگ غیر رسمی نشان می دهد که هکرها از کلیدهای خصوصی به خطر افتاده برای جعل امضای برداشت استفاده کرده اند، موضوعی که باعث ایجاد ابرویی در حوزه کریپتو شده است. 

این بخش بر آنچه در حمله شبکه رونین رخ داد، نحوه انتقال وجوه توسط هکرها و راه حل های موجود برای جلوگیری از چنین هک چندگانه در آینده تمرکز دارد. 

آشنایی با هک شبکه رونین

در 29 مارس، زنجیره جانبی Axie Infinity، شبکه Ronin هشدار جامعه صادر کرد این شبکه مورد حمله قرار گرفت و 173,600 ETH و 25.5 میلیون USDC به کیف پول یک هکر منتقل شد که منجر به ضرر نزدیک به 620 میلیون دلار شد. بر اساس نتایج غیررسمی پس از مرگ از تیم امنیتی بلاک چین SlowMist، هک از طریق سازش گره های اعتبارسنجی شبکه Ronin انجام شده است. 

در هشدار انجمن ارسال شده توسط Sky Mavis، شرکت مادر شبکه Ronin، هک در 23 مارس کامل شد اما مورد توجه قرار نگرفت تا اینکه برخی از کاربران گزارش دادند که قادر به برداشت برخی از وجوه خود از پل نیستند. طبق این انتشار، هکر از کلیدهای خصوصی به خطر افتاده برای دسترسی و برداشت وجوه از پل تنها در دو تراکنش استفاده کرده است. 

تصویر

برای درک بهتر، شبکه رونین از نه گره اعتبارسنجی تشکیل شده است. این گره های اعتبار سنجی سپرده ها و برداشت ها از زنجیره رونین را تأیید می کنند و پنج گره از نه گره اعتبارسنجی برای امضای تراکنش ها لازم است. مهاجم توانست کنترل چهار اعتبارسنجی Ronin Sky Mavis و یک اعتبارسنجی شخص ثالث که توسط Axie DAO اداره می‌شود را در دست بگیرد. 

کل خرابی را می توان به نوامبر 2021 ردیابی کرد، زمانی که Sky Mavis Axie Infinity DAO را برای کمک به توزیع تراکنش های رایگان واگذار کرد. با این حال، تعداد زیادی از تراکنش‌ها، Axie DAO را مجبور کرد تا Sky Mavis را در لیست سفید قرار دهد و به شرکت اجازه داد معاملات مختلفی را برای کاهش بار امضا کند. 

در حالی که تراکنش ها کاهش می یافت، دسترسی به لیست سفید هرگز لغو نشد، که به مهاجم اجازه می داد به سیستم Sky Mavis دسترسی پیدا کند و تراکنش ها را به عنوان اعتبارسنجی امضا کند. 

به گفته Sky Mavis، هکر یک درب پشتی را از طریق گره RPC بدون گاز پیدا کرد و امضای اعتبارسنجی Axie DAO را دریافت کرد که به او اجازه می‌داد بیش از 620 میلیون دلار از ارزهای دیجیتال برداشت کند. 

به نظر می‌رسد پلتفرم‌های Multisig در حال هک شدن هستند و پل Wormhole نیز اخیراً هک شده است. برخلاف شبکه Ronin، کاربران پل Wormhole آنقدر خوش شانس نبودند که هکرها توانستند صدها میلیون نفر را سرقت کنند. هک Wormhole شامل یک اکسپلویت قرارداد هوشمند بود که پل مبتنی بر multisig را فریب داد تا نشان دهد که اتریوم پیچیده شده (wETH) در قرارداد پل‌سازی سولانا سپرده شده و در اتریوم بازخرید شده است. 

با وجود هک‌های اخیر، پلتفرم‌های multisig یک لایه غیرمتمرکز اضافی را برای جلوگیری از چنین هک‌هایی و ایجاد امنیت بهتر ارائه می‌کنند. در حالی که در حال حاضر اینطور نیست، ایده پشت کیف پول های چند سایگ هنوز هم کاربردی است. خوشبختانه، دنیای کریپتو به تدریج در حال ساخت راه‌حل‌هایی برای جلوگیری از هک‌های اخیر مبتنی بر چند علامت است، پل LayerCake Flare آخرین راه‌حلی است که برای این مشکل ارائه می‌کند. 

حل مشکل هک Multisig

شبکه Flare، یک پلتفرم بلاک چین که امکان همکاری ایمن بین زنجیره‌ها را فراهم می‌کند، با هدف ارائه راه‌حل‌هایی برای مشکل multisig از طریق آن است. مدل LayerCake. این مدل یک سیستم پولی «ارائه‌دهندگان پهنای باند (BPs)» را پیشنهاد می‌کند که دارای حقوق امضا برای جابجایی مقدار مشخصی از روی پل در واحد زمان است. 

در حال حاضر پیشنهاد می شود هر یک ساعت یکبار باشد. "پهنای باند" مقدار ارزشی است که آنها می توانند در هر واحد زمانی از روی پل حرکت کنند، که توسط قراردادهای هوشمند اعمال می شود، "پهنای باند" است. 

برای جلوگیری از سرقت یا به خطر انداختن سیستم توسط امضاکنندگان یا شخصی که به امضاکنندگان دسترسی دارد، BPها باید همان مقدار از وجوهی را که در حال پل زدن به قرارداد هوشمند LayerCake است واریز کنند. این تضمین می‌کند که اگر همه BPها یا امضاکنندگان برای فریب سیستم (پهنای باند) توطئه کنند، همان مقدار ارزش ذخیره شده در قرارداد هوشمند برای پوشش ضرر وجود دارد. 

مدل LayerCake همچنین یک سیستم ثانویه باز از ناظران مشوق را معرفی می کند که هر BP مخرب را از امضای تراکنش های پل پیدا کرده و حذف می کند. از این رو هر ارائه دهنده پهنای باند مخرب را می توان در یک واحد زمان حذف کرد و وثیقه ارائه شده توسط BPs همیشه وجوه کاربران پل را پوشش می دهد. اگر همه BP ها مخرب باشند، سیستم همچنان می تواند از طریق یک رله بین زنجیرها کار کند، البته کندتر.

در نهایت، این سیستم همچنین از کاربران در برابر حملات سازماندهی مجدد با وثیقه قرار دادن BPها به طور مستقیم در Flare برای مدت زمانی محافظت می کند، به طوری که حملات سازماندهی مجدد احتمال ناچیزی دارند. در حمله سازماندهی مجدد، وثیقه ای که BP ها در اختیار دارند برای بازپرداخت وجوه کاربران روی پل استفاده می شود.

منبع: https://www.cryptonewsz.com/flare-network-prevents-ronin-network-and-multisig-hack-problem/