فن آوری

Wormhole Counter-Exploit Forces Scrutiny of Multisigs در DeFi

03/02/2023
اخبار بیت کوین اتریوم

طیف تمرکززدایی یک موضوع داغ پس از الف ضد بهره برداری اخیرا توسط Jump Crypto بر روی هکر Wormhole که در فوریه سال گذشته 120,000 ETH - حدود 325 میلیون دلار - را سرقت کرده بود، اعدام شد.

پس از دریافت یک سفارش از دادگاه عالی انگلستان، Oasis - یک برنامه با مالکیت خصوصی که در بالای پروتکل مالی غیرمتمرکز (DeFi) MakerDAO مستقر شده است - با افزودن یک "شخص ثالث مجاز" به multisig خود یک ضدحمله انجام داد. شخص ثالث - که گمان می رود جامپ باشد - سپس از آن برای ارتقاء قرارداد پروکسی Oasis استفاده کرد و در نهایت وجوه را ضبط کرد.

بسیاری از شرکت‌کنندگان در صنعت نگرانی‌های خود را در مورد این حرکت به‌عنوان نشانه‌ای از متمرکز بودن DeFi و اینکه آیا اصلاً باید از این قراردادهای قابل ارتقا استفاده شود، مطرح کردند.

صبر کنید، قرارداد پروکسی چیست؟

جو کول، سرمایه‌گذار مخاطره‌آمیز در Framework Ventures، در مصاحبه‌ای با Blockworks، گفت که قراردادهای پروکسی قابلیت ارتقاء را برای مجموعه قراردادهای هوشمند پروتکل فراهم می‌کنند.

کول گفت: "زمانی که قراردادها تغییر ناپذیر هستند - وقتی غیرقابل ارتقا هستند، نیاز به کل شبکه برای انتشار کد دارد."

لغو کردن نمونه ای از این نوع پروتکل است. به همین دلیل است که Uniswap طی چندین سال، نسخه‌های مجزا از صرافی غیرمتمرکز پیشرو در بازار خود را به کار گرفت که جدیدترین آنها «Uniswap V3» است. نسخه‌های قبلی همچنان در حال کار هستند - درست مانند همیشه از زمان استقرار اولیه خود - و تا زمانی که شبکه اتریوم بلاک‌ها را تولید می‌کند، به کار خود ادامه خواهند داد.

تصویر

اگر Uniswap به جای آن از قراردادهای پروکسی استفاده می کرد، می توانست نسخه های قدیمی تر را بازنشسته کند.

کول گفت: «زمانی که کاربر یک تراکنش را از طریق یک قرارداد پروکسی ارسال می کند، آن را به قرارداد دیگری که حاوی منطق اصلی است، تقریباً مانند یک روتر، اشاره می کند.

قراردادهای پروکسی را می‌توان به روش‌های مختلف کنترل کرد: می‌توان آن را با یک کلید خصوصی ارتقا داد، همچنین می‌توان آن را از طریق رای‌های زنجیره‌ای ارتقا داد که در آن کل جامعه باید قبل از ایجاد هرگونه تغییر در قرارداد، از نشانه‌هایی برای رای دادن استفاده کند. او گفت یا می توان آن را با یک مولتی سیگ کنترل کرد.

مولتی سیگ (Multisig) که مخفف چند امضا است، یک کیف پول ارز دیجیتال با دو یا چند نگهدارنده کلید است. 

در مورد سوءاستفاده متقابل، قرارداد پروکسی توسط یک 4 مورد از 12 Oasis multisig کنترل می‌شد - گروهی شناخته‌شده از افراد که چندین کلید خصوصی را نگهداری می‌کردند که مجموعاً مجوز تراکنش را فعال می‌کردند.

کول می‌گوید: «نکته‌ای که در اینجا وجود دارد این است که چند روز قبل از وقوع همه این‌ها، چیزی که آنها به عنوان یک گروه هک سفید توصیف می‌کردند به [Oasis] آمدند و یک «آسیب‌پذیری» قبلاً در این قرارداد پراکسی multisig شناسایی کردند. و هنگامی که آنها متوجه شدند، و ظاهراً توسط دادگاه نیز متوجه شدند، فرصت اقدام یک جانبه توسط این چند علامتی واقعاً ممکن شد، و این همان چیزی است که به نظر می رسد دادگاه آن را اجرا کرده است.

آیا این پایان تمرکززدایی است؟

پاسخ کوتاه به این سوال منفی است، اگرچه می توان از این سوءاستفاده متقابل درس گرفت.

کول گفت: «Multisig ها به این دلیل وجود دارند که [پروتکل‌ها] می‌خواهند کاری را سریع انجام دهند، و فقط به این دلیل که قابلیت ارتقا دارد به این معنی نیست که می‌توانند همه چیز را انجام دهند. 

در این موقعیت خاص، کول خاطرنشان می کند که این یک "ترکیب بسیار ظریف با یک آسیب پذیری است که در وسط آن ناشناخته بود."

کول گفت: «Multisigs می‌تواند بسیار مشروع باشد و اگر به روش درست اجرا شود، می‌تواند تمرکززدایی را حفظ کند.

این احساس توسط تحقیقات Blockworks روانکاو دن اسمیت، که اشاره کرد که این سوء استفاده خاص یک موقعیت منحصر به فرد بود.   

"مسئله واقعی در اینجا استفاده از پراکسی ها و یک multisig متمرکز است. این ترکیبی از هر دو چیز است. پروکسی ها نقش مهمی در DeFi بازی می کنند و به این زودی ها به جایی نمی رسند.

از آنجایی که قراردادهای پروکسی توسط صاحبان آنها ارتقا می‌یابد، یک مالک متمرکز multisig می‌تواند این یکی از جنبه‌های تمرکززدایی را حذف کند.

اسمیت گفت: «دولت بریتانیا Oasis را - یک شرکت خصوصی [که دفتر مرکزی آن در [بریتانیا] است) مجبور کرد تا اجازه دهد این سوءاستفاده متقابل اتفاق بیفتد. مردم فقط به این دلیل که بر روی ریل‌های بلاک چین ایجاد می‌کنند، از مقررات مصون نیستند.»

از سوی دیگر، کد زمانی که به شکلی تغییرناپذیر به کار گرفته شود، در برابر تداخل، چه موجه یا نه، بسیار مقاوم تر است.

بهترین اخبار و اطلاعات ارزی روز را هر روز عصر به ایمیل خود تحویل بگیرید. در خبرنامه رایگان Blockworks مشترک شوید در حال حاضر.

آیا می خواهید آلفا مستقیماً به صندوق ورودی شما ارسال شود؟ ایده‌های تجاری degen، به‌روزرسانی‌های حاکمیتی، عملکرد نشانه‌ها، توییت‌های غیرقابل فراموشی و موارد دیگر را از گزارش روزانه Blockworks Research.

نمی توانید صبر کنید؟ اخبار ما را سریع ترین راه ممکن دریافت کنید. در Telegram به ما بپیوندید و به دنبال ما در اخبار گوگل.

منبع: https://blockworks.co/news/wormhole-forces-multisig-scrutiny