Nel marzo 2022, la rete di criptovaluta Ronin ha rivelato di essere caduto vittima di uno dei più grandi hack di tutti i tempi, subendo una violazione che ha consentito agli aggressori di farlo rubare più di $ 540 milioni valore di Ethereum e monete USD. L'incidente ha visto gli hacker sfruttare una vulnerabilità in un servizio noto come Ronin Bridge. È uno dei numerosi attacchi riusciti di recente ai "ponti blockchain" che hanno attirato l'attenzione sulle loro intrinseche inefficienze di sicurezza.
I bridge blockchain, a volte chiamati bridge di rete, sono servizi che consentono ai detentori di criptovalute di spostare le proprie risorse digitali da una blockchain all'altra. Svolgono un ruolo importante, perché le criptovalute sono spesso isolate e prive di interoperabilità, il che significa che puoi inviare Bitcoin a un indirizzo di portafoglio Ethereum, ad esempio. A causa di questa natura isolata, i bridge sono emersi come un meccanismo chiave all'interno della criptoeconomia.
I servizi bridge in realtà non trasferiscono un tipo di risorsa digitale a un'altra catena. Piuttosto, quello che fanno è "avvolgere" i token di criptovaluta per convertirli in una nuova risorsa sull'altra catena. Quindi, se un utente vuole collegare Bitcoin a Solana, il bridge essenzialmente congelerà il BTC originale bloccandolo in un indirizzo di portafoglio, prima di sputare quello che è noto come Wrapped BTC (WBTC) che può essere utilizzato sulla seconda catena. Può essere pensato come una sorta di carta regalo che fornisce esattamente lo stesso valore monetario, che può essere utilizzata solo in un negozio specifico.
A causa del modo in cui funzionano, i bridge detengono quindi riserve significative di token di criptovaluta che sono bloccati in contratti intelligenti e tali riserve li rendono particolarmente attraenti per gli hacker.
Come sanno fin troppo bene i sostenitori delle criptovalute, qualsiasi valore detenuto sulla catena è soggetto ad attacchi in qualsiasi momento della giornata. Internet non va mai offline, il che significa che è sempre possibile accedere ai token detenuti da qualsiasi bridge.
Ronin Hack mostra il pericolo della centralizzazione
È stata una configurazione fortemente centralizzata che è il risultato della decisione di Axie Dao di creare un nodo RPC senza gas nel novembre 2021 per cercare di risolvere la congestione della rete. La DAO ha autorizzato Sky Mavis chiavi per firmare transazioni per suo conto. Doveva essere solo un accordo temporaneo, ma l'elenco dei permessi non è mai stato revocato. Questo creato un'apertura per gli aggressori - si dice essere il Lazarus Group sponsorizzato dalla Corea del Nord - che ha utilizzato tecniche di ingegneria sociale per compromettere le quattro chiavi di Sky Mavis. Gli hacker hanno quindi scoperto una vulnerabilità nel codice dell'RPC, dandogli il controllo di un quinto validatore e consentendogli di effettuare un prelievo illecito.
Il problema principale era che il sistema di firma multipla di Ronin per la firma delle transazioni era compromesso a causa della mancanza di decentramento. Illustra la debolezza dei meccanismi di sicurezza in cui la maggior parte della governance è concentrata nelle mani di un'unica entità.
Le vulnerabilità degli Smart Contract persistono
Qubit Bridge è stato violato a causa di quello che è stato definito un "errore logico" all'interno del codice del suo contratto intelligente. La vulnerabilità ha consentito all'hacker di manipolare il bridge utilizzando dati dannosi, in modo da poter ritirare i token BSC senza effettuare alcun deposito su Ethereum. Un l'autopsia dell'attentato ha rilevato che il contratto intelligente QBridge non ha verificato correttamente che la quantità richiesta di ETH fosse bloccata. Invece, l'hacker è stato in grado di mostrare una falsa prova di un deposito inesistente.
L'incidente è servito a evidenziare come le vulnerabilità degli smart contract rimangano un problema persistente nella DeFi, e in particolare per i bridge blockchain. La stragrande maggioranza degli attacchi bridge prende di mira i bug nei contratti intelligenti, che sono contratti automatizzati che si autoeseguono quando vengono soddisfatte determinate condizioni.
I bridge sono la chiave per espandere la portata di Crypto
Costruire ponti migliori
La buona notizia è che ci sono persone nel settore che riconoscono l'importanza di una connettività blockchain sicura. Una prospettiva eccitante è AllianceBlock's molto promettente Alliance Bridge, che supporta le principali reti tra cui Ethereum, Binance Smart Chain, Avalanche, Polygon, Arbirtrum, Optimism ed Energy Web con un'infrastruttura unica che è più decentralizzata e offre prestazioni più rapide e sicure.
A differenza dei bridge centralizzati, che si basano su una o poche entità per verificare che le transazioni siano legittime, i bridge decentralizzati si basano sugli stessi principi della blockchain stessa. Esistono molteplici operatori che utilizzano meccanismi di consenso ben strutturati per stabilire la validità delle transazioni. AllianceBridge è un ponte decentralizzato che ha sviluppato un metodo unico per garantire il raggiungimento del consenso.
Come con altri, AllianceBridge blocca i token che riceve in uno smart contract e quindi emette token avvolti sulla blockchain di destinazione. Quei token avvolti esisteranno sulla seconda catena fino a quando l'utente non deciderà di riscattarli sulla rete originale. A quel punto, i token avvolti vengono bruciati, il che significa che cessano di esistere, mentre i token originali sulla catena nativa vengono sbloccati.
La differenza di AllianceBridge è che utilizza una rete di operatori bridge compatibile con EVM. Inoltre, sfrutta il robusto sistema di terze parti Servizio di consenso Hedera Hashgraph che è alimentato da un innovativo “pettegolezzo sul pettegolezzo” algoritmo di consenso.
Utilizzando il servizio HCS, le applicazioni e le reti blockchain possono inviare messaggi al registro pubblico di Hedera, dove vengono contrassegnati con l'ora e ordinati in piena trasparenza. Ciò consente ad AllianceBridge di raggiungere il consenso senza mantenere la sincronizzazione tra i suoi operatori di bridge. Ciò significa prestazioni più rapide con un elevato grado di decentralizzazione, mentre HCS fornisce un ulteriore livello di fiducia che rende il bridge più sicuro.
Gli smart contract di AllianceBridge, che vengono utilizzati per bloccare le risorse originali e coniare e bruciare i token incartati, forniscono ancora più rassicurazione. L'intera base di codice del contratto intelligente è stata scritta per risuonare con lo standard EIP-2535 e lo è stata completamente verificato da Omniscia. Durante l'audit, Omniscia ha evidenziato una serie di potenziali problemi che sono stati prontamente risolti da AllianceBlock prima che il codice diventasse attivo.
La sicurezza e l'affidabilità di AllianceBridge hanno svolto un ruolo chiave nell'espansione dell'utilità della suite di offerte DeFi di AllianceBlock, tra cui Terminale DeFi, che fornisce ai progetti un modo semplice per lanciare campagne di mining di liquidità e staking su più reti e dApp supportate. Con il suo protocollo di interoperabilità blockchain sicuro, AllianceBlock sta costruendo le solide fondamenta di cui ha bisogno un ecosistema Web3 ricco e interconnesso per crescere ed evolversi.
- Annuncio pubblicitario -
Source: https://thecryptobasic.com/2022/09/21/web3-wont-go-mainstream-until-there-is-seamless-blockchain-integration-with-more-and-more-bridge-attacks-what-does-this-mean/?utm_source=rss&utm_medium=rss&utm_campaign=web3-wont-go-mainstream-until-there-is-seamless-blockchain-integration-with-more-and-more-bridge-attacks-what-does-this-mean