Web3 non diventerà mainstream finché non ci sarà una perfetta integrazione Blockchain: con sempre più attacchi bridge, cosa significa?

Nel marzo 2022, la rete di criptovaluta Ronin ha rivelato di essere caduto vittima di uno dei più grandi hack di tutti i tempi, subendo una violazione che ha consentito agli aggressori di farlo rubare più di $ 540 milioni valore di Ethereum e monete USD. L'incidente ha visto gli hacker sfruttare una vulnerabilità in un servizio noto come Ronin Bridge. È uno dei numerosi attacchi riusciti di recente ai "ponti blockchain" che hanno attirato l'attenzione sulle loro intrinseche inefficienze di sicurezza.

I bridge blockchain, a volte chiamati bridge di rete, sono servizi che consentono ai detentori di criptovalute di spostare le proprie risorse digitali da una blockchain all'altra. Svolgono un ruolo importante, perché le criptovalute sono spesso isolate e prive di interoperabilità, il che significa che puoi inviare Bitcoin a un indirizzo di portafoglio Ethereum, ad esempio. A causa di questa natura isolata, i bridge sono emersi come un meccanismo chiave all'interno della criptoeconomia.

I servizi bridge in realtà non trasferiscono un tipo di risorsa digitale a un'altra catena. Piuttosto, quello che fanno è "avvolgere" i token di criptovaluta per convertirli in una nuova risorsa sull'altra catena. Quindi, se un utente vuole collegare Bitcoin a Solana, il bridge essenzialmente congelerà il BTC originale bloccandolo in un indirizzo di portafoglio, prima di sputare quello che è noto come Wrapped BTC (WBTC) che può essere utilizzato sulla seconda catena. Può essere pensato come una sorta di carta regalo che fornisce esattamente lo stesso valore monetario, che può essere utilizzata solo in un negozio specifico.

A causa del modo in cui funzionano, i bridge detengono quindi riserve significative di token di criptovaluta che sono bloccati in contratti intelligenti e tali riserve li rendono particolarmente attraenti per gli hacker.

Come sanno fin troppo bene i sostenitori delle criptovalute, qualsiasi valore detenuto sulla catena è soggetto ad attacchi in qualsiasi momento della giornata. Internet non va mai offline, il che significa che è sempre possibile accedere ai token detenuti da qualsiasi bridge.

Ronin Hack mostra il pericolo della centralizzazione

 L'attacco alla rete Ronin è stato uno dei più grandi furti alla DeFi in termini di valore in dollari. Ronin è una sidechain di Ethereum che consente transazioni più economiche a velocità molto più elevate rispetto alla rete principale. Era il ponte preferito per il popolare gioco di criptovaluta "play-to-earn" Axie Infinity, il che significa che elaborava costantemente milioni di dollari in criptovalute e stablecoin.

Le sidechain sono una soluzione di ridimensionamento blockchain che richiede un bridge per connettersi ad altre catene. Con Ronin, gli utenti possono bloccare i loro ETH e coniare ETH avvolto su reti alternative. Le transazioni vengono elaborate e approvate tramite un algoritmo di consenso Proof of Authority. Con questo modello, 5 validatori su 9 devono concordare una transazione per ottenere il consenso. Tuttavia, quattro dei validatori di Ronin erano gestiti da una società: Sky Mavis, lo sviluppatore di Ronin.

È stata una configurazione fortemente centralizzata che è il risultato della decisione di Axie Dao di creare un nodo RPC senza gas nel novembre 2021 per cercare di risolvere la congestione della rete. La DAO ha autorizzato Sky Mavis chiavi per firmare transazioni per suo conto. Doveva essere solo un accordo temporaneo, ma l'elenco dei permessi non è mai stato revocato. Questo creato un'apertura per gli aggressori - si dice essere il Lazarus Group sponsorizzato dalla Corea del Nord - che ha utilizzato tecniche di ingegneria sociale per compromettere le quattro chiavi di Sky Mavis. Gli hacker hanno quindi scoperto una vulnerabilità nel codice dell'RPC, dandogli il controllo di un quinto validatore e consentendogli di effettuare un prelievo illecito.

Il problema principale era che il sistema di firma multipla di Ronin per la firma delle transazioni era compromesso a causa della mancanza di decentramento. Illustra la debolezza dei meccanismi di sicurezza in cui la maggior parte della governance è concentrata nelle mani di un'unica entità.

Le vulnerabilità degli Smart Contract persistono

 L'hacking di Ronin non è stato una tantum, ma solo l'ultimo di una serie di attacchi di alto profilo ai ponti blockchain che hanno portato alla perdita di milioni di dollari di valore. Un mese prima, gli aggressori sono riusciti a conquistare Ethereum per un valore di circa 80 milioni di dollari a seguito di un attacco al Qubit Bridge.

È un servizio gestito dalla piattaforma Qubit Finance, che consente agli utenti di prestare e prendere in prestito risorse digitali attraverso le reti Ethereum e Binance Smart Chain. Ad esempio, consente di depositare un token ERC-20 e ricevere in cambio una moneta BEP-20, che può poi essere utilizzata sulla catena Binance.

Qubit Bridge è stato violato a causa di quello che è stato definito un "errore logico" all'interno del codice del suo contratto intelligente. La vulnerabilità ha consentito all'hacker di manipolare il bridge utilizzando dati dannosi, in modo da poter ritirare i token BSC senza effettuare alcun deposito su Ethereum. Un l'autopsia dell'attentato ha rilevato che il contratto intelligente QBridge non ha verificato correttamente che la quantità richiesta di ETH fosse bloccata. Invece, l'hacker è stato in grado di mostrare una falsa prova di un deposito inesistente.

L'incidente è servito a evidenziare come le vulnerabilità degli smart contract rimangano un problema persistente nella DeFi, e in particolare per i bridge blockchain. La stragrande maggioranza degli attacchi bridge prende di mira i bug nei contratti intelligenti, che sono contratti automatizzati che si autoeseguono quando vengono soddisfatte determinate condizioni.

I bridge sono la chiave per espandere la portata di Crypto

 Le piattaforme crittografiche sono state soggette a un flusso infinito di attacchi da quando il nascente settore ha iniziato a diventare popolare. Gli aderenti alla DeFi affermano che può fornire un'alternativa più accessibile ed equa ai servizi finanziari tradizionali, ma con l'evoluzione dello spazio è stato sottoposto a quella che è essenzialmente una prova del fuoco. Gli attacchi ai bridge sono diventati comuni quanto lo scambio di criptovalute e le rapine al protocollo DeFi. Il problema è che i bridge, come gli scambi e i protocolli, sono piattaforme ad alto rischio che detengono enormi quantità di valore e ognuna di esse potrebbe essere vulnerabile a bug nel codice sottostante.

È diffusa la convinzione che la crittografia e la DeFi non raggiungeranno mai un'adozione diffusa senza una soluzione adeguata al rischio di attacchi. La stragrande maggioranza del valore mondiale è detenuta da investitori istituzionali, come banche di investimento e grandi hedge fund. Tali organizzazioni danno la priorità alla conformità e alla sicurezza dei loro fondi al di sopra di qualsiasi potenziale profitto possa essere ottenuto. Quindi è improbabile che DeFi e criptovalute diventino molto più di un settore di investimento di nicchia fino a quando i suoi problemi di sicurezza non potranno essere risolti.

La sicurezza del ponte è di particolare importanza. La natura isolata delle blockchain è un grave handicap che limita la potenziale portata di qualsiasi applicazione decentralizzata. Una dApp basata su Ethereum non può parlare con gli altri sulla base di blockchain differenti. Non può effettuare transazioni con Bitcoin, la criptovaluta più preziosa e ampiamente utilizzata al mondo, il che significa che i possessori di BTC non hanno modo di interagire con l'ecosistema DeFi. Se la crittografia diventerà onnipresente, gli utenti devono disporre di un modo sicuro per comunicare con catene diverse.

Costruire ponti migliori

 La buona notizia è che ci sono persone nel settore che riconoscono l'importanza di una connettività blockchain sicura. Una prospettiva eccitante è AllianceBlock's molto promettente Alliance Bridge, che supporta le principali reti tra cui Ethereum, Binance Smart Chain, Avalanche, Polygon, Arbirtrum, Optimism ed Energy Web con un'infrastruttura unica che è più decentralizzata e offre prestazioni più rapide e sicure.

A differenza dei bridge centralizzati, che si basano su una o poche entità per verificare che le transazioni siano legittime, i bridge decentralizzati si basano sugli stessi principi della blockchain stessa. Esistono molteplici operatori che utilizzano meccanismi di consenso ben strutturati per stabilire la validità delle transazioni. AllianceBridge è un ponte decentralizzato che ha sviluppato un metodo unico per garantire il raggiungimento del consenso.

Come con altri, AllianceBridge blocca i token che riceve in uno smart contract e quindi emette token avvolti sulla blockchain di destinazione. Quei token avvolti esisteranno sulla seconda catena fino a quando l'utente non deciderà di riscattarli sulla rete originale. A quel punto, i token avvolti vengono bruciati, il che significa che cessano di esistere, mentre i token originali sulla catena nativa vengono sbloccati.

La differenza di AllianceBridge è che utilizza una rete di operatori bridge compatibile con EVM. Inoltre, sfrutta il robusto sistema di terze parti Servizio di consenso Hedera Hashgraph che è alimentato da un innovativo “pettegolezzo sul pettegolezzo” algoritmo di consenso.

Utilizzando il servizio HCS, le applicazioni e le reti blockchain possono inviare messaggi al registro pubblico di Hedera, dove vengono contrassegnati con l'ora e ordinati in piena trasparenza. Ciò consente ad AllianceBridge di raggiungere il consenso senza mantenere la sincronizzazione tra i suoi operatori di bridge. Ciò significa prestazioni più rapide con un elevato grado di decentralizzazione, mentre HCS fornisce un ulteriore livello di fiducia che rende il bridge più sicuro.

Gli smart contract di AllianceBridge, che vengono utilizzati per bloccare le risorse originali e coniare e bruciare i token incartati, forniscono ancora più rassicurazione. L'intera base di codice del contratto intelligente è stata scritta per risuonare con lo standard EIP-2535 e lo è stata completamente verificato da Omniscia. Durante l'audit, Omniscia ha evidenziato una serie di potenziali problemi che sono stati prontamente risolti da AllianceBlock prima che il codice diventasse attivo.

La sicurezza e l'affidabilità di AllianceBridge hanno svolto un ruolo chiave nell'espansione dell'utilità della suite di offerte DeFi di AllianceBlock, tra cui Terminale DeFi, che fornisce ai progetti un modo semplice per lanciare campagne di mining di liquidità e staking su più reti e dApp supportate. Con il suo protocollo di interoperabilità blockchain sicuro, AllianceBlock sta costruendo le solide fondamenta di cui ha bisogno un ecosistema Web3 ricco e interconnesso per crescere ed evolversi.

- Annuncio pubblicitario -