In maart 2022, het cryptocurrency-netwerk Ronin onthulde dat het het slachtoffer was geworden van een van de grootste hacks aller tijden, met een inbreuk waardoor aanvallers konden stelen meer dan $ 540 miljoen aan Ethereum- en USD-munten. Het incident zag hackers misbruik maken van een kwetsbaarheid in een dienst die bekend staat als de Ronin Bridge. Het is een van een aantal succesvolle aanvallen op 'blockchain-bruggen' die recentelijk de aandacht hebben gevestigd op hun inherente beveiligingsinefficiënties.
Blockchain-bruggen, ook wel netwerkbruggen genoemd, zijn services die het voor crypto-houders mogelijk maken om hun digitale activa van de ene blockchain naar de andere te verplaatsen. Ze spelen een belangrijke rol, omdat cryptocurrencies vaak in silo's zijn en geen interoperabiliteit hebben, wat betekent dat je Bitcoin bijvoorbeeld naar een Ethereum-portemonnee-adres kunt sturen. Vanwege dit geïsoleerde karakter zijn bruggen naar voren gekomen als een sleutelmechanisme binnen de crypto-economie.
Bridge-services dragen niet echt het ene soort digitaal activum over aan een andere keten. Integendeel, wat ze doen is cryptocurrency-tokens "inpakken" om ze om te zetten in een nieuw activum in de andere keten. Dus als een gebruiker Bitcoin naar Solana wil overbruggen, zal de bridge de originele BTC in wezen bevriezen door deze in een portemonnee-adres te vergrendelen, voordat de zogenaamde ingepakte BTC (WBTC) wordt uitgespuugd die op de tweede keten kan worden gebruikt. Het kan worden gezien als een soort cadeaubon die exact dezelfde geldwaarde biedt, die alleen in een specifieke winkel kan worden gebruikt.
Vanwege de manier waarop ze werken, hebben bruggen daarom aanzienlijke reserves aan cryptocurrency-tokens die zijn opgesloten in slimme contracten, en die reserves maken ze bijzonder aantrekkelijk voor hackers.
Zoals crypto-fans maar al te goed weten, kan elke waarde die in de keten wordt gehouden op elk moment van de dag worden aangevallen. Het internet gaat nooit offline, wat betekent dat de tokens van een bridge altijd toegankelijk zijn.
Ronin-hack toont het gevaar van centralisatie
Het was een sterk gecentraliseerde opzet die het gevolg was van het besluit van de Axie Dao om in november 2021 een gasvrij RPC-knooppunt op te zetten om te proberen de netwerkcongestie op te lossen. De DAO heeft Sky Mavis-sleutels op de toelatingslijst geplaatst om namens hem transacties te ondertekenen. Het zou slechts een tijdelijke regeling zijn, maar de toelatingslijst werd nooit ingetrokken. Deze een opening gemaakt voor de aanvallers - naar verluidt de door Noord-Korea gesponsorde Lazarus Group - die social engineering-technieken gebruikten om de vier sleutels van Sky Mavis te compromitteren. De hackers ontdekten vervolgens een kwetsbaarheid in de code van de RPC, waardoor deze de controle kreeg over een vijfde validator en deze een illegale opname kon maken.
Het belangrijkste probleem was dat Ronins systeem met meerdere handtekeningen voor het aftekenen van transacties in gevaar kwam door een gebrek aan decentralisatie. Het illustreert de zwakte van beveiligingsmechanismen waarbij de meerderheid van het bestuur in handen is van één enkele entiteit.
Smart Contract-kwetsbaarheden blijven bestaan
Qubit Bridge werd gehackt vanwege wat naar verluidt een "logische fout" was in de code van zijn slimme contract. Door de kwetsbaarheid kon de hacker de bridge manipuleren met behulp van kwaadaardige gegevens, zodat hij of zij BSC-tokens kon opnemen zonder een storting op Ethereum te doen. Een autopsie van de aanval ontdekte dat het slimme contract van QBridge niet goed verifieerde dat de vereiste hoeveelheid ETH was vergrendeld. In plaats daarvan kon de hacker nepbewijs tonen van een niet-bestaande storting.
Het incident diende om te benadrukken hoe kwetsbaarheden in slimme contracten een hardnekkig probleem blijven in DeFi, en vooral voor blockchain-bruggen. De overgrote meerderheid van bridge-aanvallen is gericht op bugs in slimme contracten, dit zijn geautomatiseerde contracten die zichzelf uitvoeren wanneer aan bepaalde voorwaarden wordt voldaan.
Bruggen zijn de sleutel tot het uitbreiden van het bereik van Crypto
Betere bruggen bouwen
Het goede nieuws is dat er mensen in de branche zijn die het belang van veilige blockchain-connectiviteit erkennen. Een opwindend vooruitzicht is: AllianceBlock's veelbelovend AlliantieBrug, dat grote netwerken ondersteunt, waaronder Ethereum, Binance Smart Chain, Avalanche, Polygon, Arbirtrum, Optimism en Energy Web met een unieke infrastructuur die meer gedecentraliseerd is en snellere en veiligere prestaties levert.
In tegenstelling tot gecentraliseerde bruggen, die afhankelijk zijn van een enkele of slechts enkele entiteiten om te verifiëren dat transacties legitiem zijn, zijn gedecentraliseerde bruggen gebaseerd op dezelfde principes als blockchain zelf. Er zijn meerdere operators die goed gestructureerde consensusmechanismen gebruiken om de geldigheid van transacties vast te stellen. AllianceBridge is een gedecentraliseerde brug die een unieke methode heeft ontwikkeld om ervoor te zorgen dat consensus wordt bereikt.
Net als bij anderen vergrendelt AllianceBridge de tokens die het ontvangt in een slim contract en geeft vervolgens verpakte tokens uit op de doelblockchain. Die ingepakte tokens blijven in de tweede keten bestaan totdat de gebruiker besluit ze in te wisselen op het oorspronkelijke netwerk. Op dat moment worden de verpakte tokens verbrand, wat betekent dat ze ophouden te bestaan, terwijl de originele tokens op de native chain worden ontgrendeld.
Waar AllianceBridge verschilt, is dat het een EVM-compatibel netwerk van bridge-operators gebruikt. Bovendien maakt het gebruik van de robuuste, externe Hedera Hashgraph-consensusservice dat wordt aangedreven door een innovatieve “roddel-over-roddelsconsensus-algoritme.
Met behulp van de HCS-service kunnen blockchain-applicaties en -netwerken berichten verzenden naar het grootboek van Hedera, waar ze worden voorzien van een tijdstempel en met volledige transparantie worden besteld. Dit maakt het voor AllianceBridge mogelijk om consensus te bereiken zonder de synchronisatie tussen de brugbeheerders te handhaven. Dit betekent snellere prestaties met een hoge mate van decentralisatie, terwijl HCS een extra vertrouwenslaag biedt die de brug veiliger maakt.
De slimme contracten van AllianceBridge, die worden gebruikt om de originele activa te vergrendelen en ingepakte tokens te minten en te branden, bieden nog meer zekerheid. De volledige codebasis voor slimme contracten is geschreven om te resoneren met de EIP-2535-standaard en is volledig gecontroleerd door Omniscia. Tijdens de audit wees Omniscia op een aantal potentiële problemen die door AllianceBlock snel werden verholpen voordat de code live ging.
De veiligheid en betrouwbaarheid van AllianceBridge heeft een sleutelrol gespeeld bij het uitbreiden van het nut van AllianceBlock's suite van DeFi-aanbiedingen, waaronder DeFi-terminal, dat een gemakkelijke manier biedt voor projecten om liquiditeitsmining- en stakingscampagnes te lanceren over meerdere ondersteunde netwerken en dApps. Met zijn veilige blockchain-interoperabiliteitsprotocol bouwt AllianceBlock de robuuste basis die een rijk, onderling verbonden Web3-ecosysteem nodig heeft om te groeien en te evolueren.
- Advertentie -
Source: https://thecryptobasic.com/2022/09/21/web3-wont-go-mainstream-until-there-is-seamless-blockchain-integration-with-more-and-more-bridge-attacks-what-does-this-mean/?utm_source=rss&utm_medium=rss&utm_campaign=web3-wont-go-mainstream-until-there-is-seamless-blockchain-integration-with-more-and-more-bridge-attacks-what-does-this-mean