La finanza decentralizzata (DeFi) potrebbe essere emersa come una categoria interessante nell'ecosistema blockchain, ma il suo stato ancora nascente ha lasciato molti partecipanti esposti ai rischi associati a questa iterazione più democratizzata dei servizi finanziari.
L'ultimo exploit di Wormhole, un ponte blockchain tra Solana ed Ethereum, sottolinea i difetti che continuano a emergere e ad avere un impatto sugli utenti DeFi. Per il contesto, l'hack di $ 325 milioni è stato effettivamente il risultato di una logica imperfetta nella programmazione del bridge impostata per un aggiornamento.
Normalmente, una transazione che passa da Wormhole a Solana richiede una firma e un tutore della transazione validi (nodo di convalida approvato). Se queste due condizioni sono soddisfatte, le richieste di transazione vengono approvate. In caso di firma della transazione non valida e tutore valido, le condizioni necessarie per avviare una transazione non sono soddisfatte, portando Solana a negare questa richiesta. Tuttavia, invece di presentare condizioni non valide in cui c'era una firma di transazione non valida e un tutore valido, l'hacker ha utilizzato una firma non valida e un tutore non valido, creando di fatto due condizioni non approvate.
Poiché sono necessarie due condizioni valide per formare una "corrispondenza" per accettare le richieste di transazione e due condizioni non valide potrebbero anche essere viste come una "corrispondenza" all'interno della logica esistente del sistema, ha consentito all'hacker di coniare Ethereum avvolto (wETH) su Solana . Senza dover depositare 120,000 ETH in quello che funziona come un conto di deposito a garanzia, l'hacker ha coniato 120,000 wETH, che sono stati poi scambiati, inducendo Wormhole a sbloccare il normale Ethereum che ha garantito altri wETH su Solana.
Sebbene il team di Wormhole abbia da allora chiuso il difetto, non è chiaro come intendano ricapitalizzare i fondi rubati dal ponte nonostante abbiano annunciato sforzi in tal senso. Sebbene abbiano fatto aperture di taglie all'hacker, la mancata risposta è stata assordante. Tuttavia, questo hack mette in evidenza le vulnerabilità significative all'interno delle infrastrutture critiche di interoperabilità che connettono la DeFi e, soprattutto, quelle che consentono alle blockchain di comunicare.
Il calcolo multi-parti può significare un'interoperabilità più sicura?
L'interoperabilità, o in questo contesto, la capacità di connettere blockchain ed ecosistemi disconnessi, è il collante che tiene insieme la finanza decentralizzata attraverso una diffusione di ponti, oracoli e altro ancora. Tuttavia, interoperabilità può anche significare vulnerabilità, come nel caso di Wormhole, soprattutto quando l'interoperabilità è responsabile della supervisione dello scambio sicuro di valore tra due sistemi.
L'idea di richiedere a più parti o prove (come le firme) l'approvazione di determinate transazioni non è estranea alla tecnologia blockchain, ma è una caratteristica piuttosto comune di alcuni eWallet. L'idea di distribuire il potere di firma a più parti diminuisce il rischio di un singolo punto di errore.
Per i portafogli multisig, questo significa decidere chi saranno i cofirmatari e quanti cofirmatari devono firmare una transazione. Il problema con questo modello è la modifica dei cofirmatari e delle autorizzazioni, per non parlare del fatto che più firme devono essere presentate contemporaneamente, con conseguente richiesta di disponibilità da parte dei cofirmatari per ogni transazione.
Il calcolo multi-parti (MPC) può aiutare a evitare queste complicazioni, ma la sua applicazione va ben oltre i portafogli e la verifica delle chiavi. MPC utilizza endpoint completamente modificabili contenenti una parte delle chiavi segrete ma non la loro interezza. Insieme, questi endpoint vengono utilizzati per formare un consenso e un numero minimo di endpoint è impostato per raggiungere questo consenso su una transazione.
Kurt Nielsen, presidente e co-fondatore di Partisia blockchain, ritiene che MPC sia la chiave per sbloccare il vero potenziale dell'interoperabilità in un quadro più sicuro e affidabile. Nielsen osserva: "L'interoperabilità tramite token bridge mostra un potenziale immenso per diventare un creatore di valore principale nell'ecosistema blockchain. Tuttavia, come abbiamo visto nell'exploit Wormhole, spostare i token al di fuori del loro modello di sicurezza stabilito pone sfide e vulnerabilità significative. La nostra risposta sono principi di audit più sofisticati e collaudati e misure di sicurezza MPC su larga scala”.
Spiega inoltre: "In primo luogo, un Oracle in scadenza regolarmente rappresenta in modo efficace e trasparente i valori attraverso le diverse blockchain come la contabilità in partita doppia che ha dimostrato il suo valore sin dalla Banca Medici nel 14° secolo. In secondo luogo, le misure di sicurezza MPC su larga scala evitano l'accumulo di rischi finanziari tra Oracle o epoche. In terzo luogo, i nodi che gestiscono Oracle in una determinata epoca forniscono garanzie a sostegno dei valori trasferiti e, infine, gli squilibri oggettivi vengono compensati attraverso un processo di controversia decentralizzato".
Partisia è stata coinvolta in soluzioni MPC di livello commerciale dal 2008 e ora sta applicando il suo acume alle applicazioni basate su blockchain. Partisia Blockchain agisce efficacemente come livello di interoperabilità utilizzando calcoli a prova di conoscenza zero. Con i nodi valutati e classificati in base al loro punteggio di affidabilità, gli utenti DeFi possono ottenere maggiore fiducia in come e chi sta spostando il loro valore tra gli ecosistemi.
Sebbene il più grande incidente di questo tipo nel 2022 finora, Wormhole sarà probabilmente lontano dall'unico protocollo, bridge o blockchain DeFi preso di mira dagli hacker con il passare dell'anno. Tuttavia, come mostra Partisia, MPC si distingue come una strategia per favorire la comunicazione tra reti che supervisionano il trasferimento di dati o valori senza sapere esattamente cosa viene trasferito da chi e verso dove.
Fonte: https://zycrypto.com/wormhole-exploit-underlines-case-for-greater-mpc-use-across-blockchain-oracles-bridges/