Ni Fydd Web3 yn Mynd i'r Brif Ffrwd Nes Bod Integreiddio Blockchain Di-dor: Gyda Mwy a Mwy o Ymosodiadau Pontydd, Beth Mae Hyn yn Ei Olygu?

Yn ôl ym mis Mawrth 2022, y rhwydwaith arian cyfred digidol Ronin datgelodd ei fod wedi dioddef un o'r haciau mwyaf erioed, gan ddioddef toriad a oedd yn caniatáu i ymosodwyr wneud hynny dwyn mwy na $540 miliwn gwerth darnau arian Ethereum a USD. Gwelodd y digwyddiad hacwyr yn ecsbloetio bregusrwydd mewn gwasanaeth o'r enw Pont Ronin. Mae'n un o nifer o ymosodiadau llwyddiannus ar “bontydd blockchain” yn ddiweddar sydd wedi tynnu sylw at eu haneffeithlonrwydd diogelwch cynhenid.

Mae pontydd Blockchain, a elwir weithiau yn bontydd rhwydwaith, yn wasanaethau sy'n ei gwneud hi'n bosibl i ddeiliaid crypto symud eu hasedau digidol o un blockchain i'r llall. Maent yn darparu rôl bwysig, oherwydd mae cryptocurrencies yn aml yn siled ac yn brin o ryngweithredu, sy'n golygu y gallwch chi anfon Bitcoin i gyfeiriad waled Ethereum, er enghraifft. Oherwydd y natur siled hon, mae pontydd wedi dod i'r amlwg fel mecanwaith allweddol o fewn yr economi crypto.

Nid yw gwasanaethau pontydd mewn gwirionedd yn trosglwyddo un math o ased digidol i gadwyn arall. Yn hytrach, yr hyn maen nhw'n ei wneud yw "lapio" tocynnau arian cyfred digidol er mwyn eu trosi'n ased newydd ar y gadwyn arall. Felly, os yw defnyddiwr eisiau pontio Bitcoin i Solana, bydd y bont yn ei hanfod yn rhewi'r BTC gwreiddiol trwy ei gloi mewn cyfeiriad waled, cyn poeri allan yr hyn a elwir yn BTC wedi'i lapio (WBTC) y gellir ei ddefnyddio ar yr ail gadwyn. Gellir ei ystyried fel math o gerdyn rhodd sy'n darparu'r un gwerth ariannol yn union, y gellir ei ddefnyddio mewn siop benodol yn unig.

Oherwydd y ffordd y maent yn gweithio, mae pontydd felly'n dal cronfeydd sylweddol o docynnau arian cyfred digidol sydd wedi'u cloi mewn contractau smart, ac mae'r cronfeydd wrth gefn hynny yn eu gwneud yn arbennig o ddeniadol i hacwyr.

Fel y mae hoelion wyth crypto yn gwybod yn iawn, mae unrhyw werth a gedwir ar gadwyn yn destun ymosodiad ar unrhyw adeg o'r dydd. Nid yw'r rhyngrwyd byth yn mynd all-lein, sy'n golygu bod modd cael mynediad i'r tocynnau a gedwir gan unrhyw bont bob amser.

Ronin Hack Yn Dangos Y Perygl O Ganoli

 Roedd yr ymosodiad ar Rwydwaith Ronin yn un o'r heists DeFi mwyaf erioed o ran gwerth doler. Mae Ronin yn sidechain Ethereum sy'n galluogi trafodion rhatach ar gyflymder llawer cyflymach na'r prif rwydwaith. Hon oedd y bont o ddewis ar gyfer y gêm arian cyfred digidol “chwarae-i-ennill” boblogaidd Axie Infinity, sy'n golygu ei bod yn prosesu miliynau o ddoleri mewn arian crypto a stablau yn gyson.

Mae cadwyni ochr yn ddatrysiad graddio cadwyni bloc sy'n gofyn am bont i gysylltu â chadwyni eraill. Gyda Ronin, mae defnyddwyr yn gallu cloi eu ETH a'u ETH wedi'i lapio â mint ar rwydweithiau amgen. Mae trafodion yn cael eu prosesu a'u cymeradwyo trwy algorithm consensws Prawf Awdurdod. Gyda'r model hwn, rhaid i 5 allan o 9 dilysydd gytuno ar drafodiad er mwyn cael consensws. Fodd bynnag, roedd pedwar o ddilyswyr Ronin yn cael eu gweithredu gan un cwmni - Sky Mavis, datblygwr Ronin.

Roedd yn drefniant canolog iawn a ddeilliodd o benderfyniad yr Axie Dao i sefydlu nod RPC di-nwy ym mis Tachwedd 2021 i geisio trwsio tagfeydd rhwydwaith. Caniataodd y DAO allweddi Sky Mavis i lofnodi trafodion ar ei ran. Dim ond trefniant dros dro oedd i fod, ond ni chafodd y rhestr caniatáu erioed ei dirymu. hwn creu agoriad ar gyfer yr ymosodwyr - y dywedir ei fod yn Grŵp Lazarus a noddir gan Ogledd Corea - a ddefnyddiodd dechnegau peirianneg gymdeithasol i gyfaddawdu pedair allwedd Sky Mavis. Yna darganfu'r hacwyr wendid yng nghod yr RPC, gan roi rheolaeth iddo dros bumed dilysydd a chaniatáu iddo dynnu'n ôl yn anghyfreithlon.

Y prif fater oedd bod system aml-lofnod Ronin ar gyfer cymeradwyo trafodion wedi'i chyfaddawdu oherwydd diffyg datganoli. Mae'n dangos gwendid y mecanweithiau diogelwch lle mae'r mwyafrif o lywodraethu wedi'i ganoli yn nwylo un endid.

Mae Gwendidau Contract Clyfar yn parhau

 Nid oedd darnia Ronin yn un unigryw, ond yn hytrach dim ond y diweddaraf mewn cyfres o ymosodiadau proffil uchel ar bontydd cadwyn bloc sydd wedi arwain at golli gwerth miliynau o ddoleri. Fis ynghynt, llwyddodd ymosodwyr i ennill tua $80 miliwn o Ethereum yn dilyn ymosodiad ar Bont Qubit.

Mae'n wasanaeth a weithredir gan blatfform Qubit Finance, sy'n galluogi defnyddwyr i fenthyca a benthyca asedau digidol ar draws rhwydweithiau Ethereum a Binance Smart Chain. Er enghraifft, mae'n ei gwneud hi'n bosibl adneuo tocyn ERC-20 a derbyn darn arian BEP-20 yn gyfnewid, y gellir ei ddefnyddio wedyn ar y gadwyn Binance.

Cafodd Qubit Bridge ei hacio oherwydd yr hyn a ddywedwyd i fod yn “wall rhesymegol” o fewn cod ei gontract smart. Roedd y bregusrwydd yn galluogi'r haciwr i drin y bont gan ddefnyddio data maleisus, felly gallai ef neu hi dynnu tocynnau BSC yn ôl heb wneud unrhyw flaendal ar Ethereum. An awtopsi o'r ymosodiad canfuwyd nad oedd contract smart QBridge yn gwirio'n iawn bod y swm gofynnol o ETH wedi'i gloi. Yn lle hynny, roedd yr haciwr yn gallu dangos prawf ffug o flaendal nad oedd yn bodoli.

Roedd y digwyddiad yn amlygu sut mae gwendidau contractau craff yn parhau i fod yn broblem barhaus yn DeFi, ac yn enwedig ar gyfer pontydd cadwyn bloc. Mae mwyafrif helaeth yr ymosodiadau pontydd yn targedu bygiau mewn contractau smart, sef contractau awtomataidd sy'n gweithredu eu hunain pan fodlonir amodau penodol.

Mae Pontydd yn Allweddol I Ehangu Cyrhaeddiad Crypto

 Mae llwyfannau crypto wedi bod yn destun llif diddiwedd o ymosodiadau byth ers i'r diwydiant eginol ddechrau dod yn boblogaidd. Dywed ymlynwyr DeFi y gall ddarparu dewis amgen mwy hygyrch a theg i wasanaethau ariannol traddodiadol, ond wrth i'r gofod esblygu mae wedi bod yn destun yr hyn sydd yn ei hanfod yn brawf tân. Mae ymosodiadau ar bontydd wedi dod mor gyffredin â chyfnewid arian cyfred digidol a heists protocol DeFi. Y mater yw bod pontydd, fel cyfnewidfeydd a phrotocolau, yn blatfformau uchel eu fantol sy'n dal llawer iawn o werth a gallai unrhyw un ohonynt fod yn agored i fygiau yn eu cod sylfaenol.

Mae yna gred eang na fydd crypto a DeFi byth yn cael eu mabwysiadu'n eang heb ateb cywir i'r risg o ymosodiadau. Mae mwyafrif helaeth gwerth y byd yn cael ei ddal gan fuddsoddwyr sefydliadol, megis banciau buddsoddi a chronfeydd rhagfantoli mawr. Mae sefydliadau o'r fath yn rhoi blaenoriaeth i gydymffurfiaeth a diogelwch eu cronfeydd uwchlaw pa bynnag elw posibl y gellid ei gael. Felly mae'n annhebygol y bydd DeFi a crypto yn dod yn llawer mwy na diwydiant buddsoddi arbenigol nes y gellir datrys ei broblemau diogelwch.

Mae diogelwch pontydd o bwysigrwydd arbennig. Mae natur siled blockchains yn anfantais ddifrifol sy'n cyfyngu ar gyrhaeddiad posibl unrhyw gais datganoledig. Ni all dApp a adeiladwyd ar Ethereum siarad ag eraill yn seiliedig ar wahanol blockchains. Ni all drafod gyda Bitcoin, y cryptocurrency mwyaf gwerthfawr a ddefnyddir yn eang yn y byd, sy'n golygu nad oes gan ddeiliaid BTC unrhyw ffordd i ryngweithio ag ecosystem DeFi. Os yw crypto yn mynd i ddod yn hollbresennol, rhaid i ddefnyddwyr gael ffordd ddiogel o gyfathrebu â gwahanol gadwyni.

Adeiladu Pontydd Gwell

 Y newyddion da yw bod yna rai yn y diwydiant sy'n cydnabod pwysigrwydd cysylltedd blockchain diogel. Un gobaith cyffrous yw AllianceBlock's addawol iawn CynghrairPont, sy'n cefnogi rhwydweithiau mawr gan gynnwys Ethereum, Binance Smart Chain, Avalanche, Polygon, Arbirtrum, Optimism ac Energy Web gyda seilwaith unigryw sy'n fwy datganoledig ac sy'n darparu perfformiad cyflymach a mwy diogel.

Yn wahanol i bontydd canoledig, sy'n dibynnu ar un neu ychydig o endidau i wirio bod trafodion yn gyfreithlon, mae pontydd datganoledig yn seiliedig ar yr un egwyddorion â blockchain ei hun. Mae yna weithredwyr lluosog sy'n defnyddio mecanweithiau consensws sydd wedi'u strwythuro'n dda i sefydlu dilysrwydd trafodion. Mae AllianceBridge yn bont ddatganoledig sydd wedi datblygu dull unigryw i sicrhau consensws.

Fel gydag eraill, mae AllianceBridge yn cloi'r tocynnau y mae'n eu derbyn i gontract smart ac yna'n cyhoeddi tocynnau wedi'u lapio ar y blockchain targed. Bydd y tocynnau lapio hynny yn bodoli ar yr ail gadwyn hyd nes y bydd y defnyddiwr yn penderfynu eu hadbrynu ar y rhwydwaith gwreiddiol. Ar y pwynt hwnnw, mae'r tocynnau wedi'u lapio yn cael eu llosgi, sy'n golygu eu bod yn peidio â bodoli, tra bod y tocynnau gwreiddiol ar y gadwyn frodorol yn cael eu datgloi.

Lle mae AllianceBridge yn wahanol yw ei fod yn cyflogi rhwydwaith o weithredwyr pontydd sy'n gydnaws ag EVM. Yn ogystal, mae'n trosoledd y cadarn, trydydd parti Gwasanaeth Consensws Hedera Hashgraph sy'n cael ei bweru gan arloesol “clecs-am-gossip” algorithm consensws.

Gan ddefnyddio'r gwasanaeth HCS, gall cymwysiadau a rhwydweithiau blockchain gyflwyno negeseuon i gyfriflyfr cyhoeddus Hedera, lle maent wedi'u stampio a'u harchebu gyda thryloywder llawn. Mae hyn yn ei gwneud hi'n bosibl i AllianceBridge gyrraedd consensws heb gynnal cydamseriad rhwng ei weithredwyr pontydd. Mae hyn yn golygu perfformiad cyflymach gyda lefel uchel o ddatganoli, tra bod HCS yn darparu haen ychwanegol o ymddiriedaeth sy'n gwneud y bont yn fwy diogel.

Mae contractau smart AllianceBridge, a ddefnyddir i gloi'r asedau gwreiddiol a thocynnau wedi'u lapio â mintys a llosgi, yn rhoi hyd yn oed mwy o sicrwydd. Ysgrifennwyd y sylfaen cod contract smart cyfan i gyd-fynd â safon EIP-2535 ac mae wedi bod wedi'i archwilio'n llawn gan Omniscia. Yn ystod yr archwiliad, tynnodd Omniscia sylw at nifer o broblemau posibl a gafodd eu pennu'n brydlon gan AllianceBlock cyn i'r cod fynd yn fyw.

Mae diogelwch a dibynadwyedd AllianceBridge wedi chwarae rhan allweddol wrth ehangu defnyddioldeb cyfres o gynigion DeFi AllianceBlock, gan gynnwys Terfynell DeFi, sy'n darparu ffordd hawdd i brosiectau lansio mwyngloddio hylifedd ac ymgyrchoedd polio ar draws rhwydweithiau lluosog a gefnogir a dApps. Gyda'i brotocol rhyngweithredu blockchain diogel, mae AllianceBlock yn adeiladu'r sylfaen gadarn sydd ei hangen ar ecosystem Web3 gyfoethog, rhyng-gysylltiedig er mwyn tyfu ac esblygu.

- Hysbyseb -