Web3 wordt pas mainstream als er naadloze blockchain-integratie is: wat betekent dit met steeds meer bridge-aanvallen?

In maart 2022, het cryptocurrency-netwerk Ronin onthulde dat het het slachtoffer was geworden van een van de grootste hacks aller tijden, met een inbreuk waardoor aanvallers konden stelen meer dan $ 540 miljoen aan Ethereum- en USD-munten. Het incident zag hackers misbruik maken van een kwetsbaarheid in een dienst die bekend staat als de Ronin Bridge. Het is een van een aantal succesvolle aanvallen op 'blockchain-bruggen' die recentelijk de aandacht hebben gevestigd op hun inherente beveiligingsinefficiënties.

Blockchain-bruggen, ook wel netwerkbruggen genoemd, zijn services die het voor crypto-houders mogelijk maken om hun digitale activa van de ene blockchain naar de andere te verplaatsen. Ze spelen een belangrijke rol, omdat cryptocurrencies vaak in silo's zijn en geen interoperabiliteit hebben, wat betekent dat je Bitcoin bijvoorbeeld naar een Ethereum-portemonnee-adres kunt sturen. Vanwege dit geïsoleerde karakter zijn bruggen naar voren gekomen als een sleutelmechanisme binnen de crypto-economie.

Bridge-services dragen niet echt het ene soort digitaal activum over aan een andere keten. Integendeel, wat ze doen is cryptocurrency-tokens "inpakken" om ze om te zetten in een nieuw activum in de andere keten. Dus als een gebruiker Bitcoin naar Solana wil overbruggen, zal de bridge de originele BTC in wezen bevriezen door deze in een portemonnee-adres te vergrendelen, voordat de zogenaamde ingepakte BTC (WBTC) wordt uitgespuugd die op de tweede keten kan worden gebruikt. Het kan worden gezien als een soort cadeaubon die exact dezelfde geldwaarde biedt, die alleen in een specifieke winkel kan worden gebruikt.

Vanwege de manier waarop ze werken, hebben bruggen daarom aanzienlijke reserves aan cryptocurrency-tokens die zijn opgesloten in slimme contracten, en die reserves maken ze bijzonder aantrekkelijk voor hackers.

Zoals crypto-fans maar al te goed weten, kan elke waarde die in de keten wordt gehouden op elk moment van de dag worden aangevallen. Het internet gaat nooit offline, wat betekent dat de tokens van een bridge altijd toegankelijk zijn.

Ronin-hack toont het gevaar van centralisatie

 De aanval op het Ronin-netwerk was een van de grootste DeFi-overvallen ooit in termen van dollarwaarde. Ronin is een Ethereum-zijketen die goedkopere transacties mogelijk maakt met veel hogere snelheden dan het hoofdnetwerk. Het was de favoriete brug voor het populaire "play-to-earn" cryptocurrency-spel Axie Infinity, wat betekent dat het constant miljoenen dollars aan crypto en stablecoins verwerkte.

Sidechains zijn een blockchain-schaaloplossing waarvoor een brug nodig is om verbinding te maken met andere ketens. Met Ronin kunnen gebruikers hun ETH en mint-verpakte ETH op alternatieve netwerken vergrendelen. Transacties worden verwerkt en goedgekeurd via een consensusalgoritme van Proof of Authority. Met dit model moeten 5 van de 9 validators het eens worden over een transactie om consensus te bereiken. Vier van Ronin's validators werden echter beheerd door één bedrijf - Sky Mavis, de ontwikkelaar van Ronin.

Het was een sterk gecentraliseerde opzet die het gevolg was van het besluit van de Axie Dao om in november 2021 een gasvrij RPC-knooppunt op te zetten om te proberen de netwerkcongestie op te lossen. De DAO heeft Sky Mavis-sleutels op de toelatingslijst geplaatst om namens hem transacties te ondertekenen. Het zou slechts een tijdelijke regeling zijn, maar de toelatingslijst werd nooit ingetrokken. Deze een opening gemaakt voor de aanvallers - naar verluidt de door Noord-Korea gesponsorde Lazarus Group - die social engineering-technieken gebruikten om de vier sleutels van Sky Mavis te compromitteren. De hackers ontdekten vervolgens een kwetsbaarheid in de code van de RPC, waardoor deze de controle kreeg over een vijfde validator en deze een illegale opname kon maken.

Het belangrijkste probleem was dat Ronins systeem met meerdere handtekeningen voor het aftekenen van transacties in gevaar kwam door een gebrek aan decentralisatie. Het illustreert de zwakte van beveiligingsmechanismen waarbij de meerderheid van het bestuur in handen is van één enkele entiteit.

Smart Contract-kwetsbaarheden blijven bestaan

 De Ronin-hack was niet eenmalig, maar eerder de laatste in een reeks spraakmakende aanvallen op blockchain-bruggen die ertoe hebben geleid dat miljoenen dollars aan waarde verloren zijn gegaan. Een maand eerder gingen aanvallers er met succes vandoor met ongeveer $ 80 miljoen aan Ethereum na een aanval op de Qubit Bridge.

Het is een service die wordt beheerd door het Qubit Finance-platform, waarmee gebruikers digitale activa kunnen lenen en lenen via de Ethereum- en Binance Smart Chain-netwerken. Het maakt het bijvoorbeeld mogelijk om een ​​ERC-20-token te storten en in ruil een BEP-20-munt te ontvangen, die vervolgens op de Binance-keten kan worden gebruikt.

Qubit Bridge werd gehackt vanwege wat naar verluidt een "logische fout" was in de code van zijn slimme contract. Door de kwetsbaarheid kon de hacker de bridge manipuleren met behulp van kwaadaardige gegevens, zodat hij of zij BSC-tokens kon opnemen zonder een storting op Ethereum te doen. Een autopsie van de aanval ontdekte dat het slimme contract van QBridge niet goed verifieerde dat de vereiste hoeveelheid ETH was vergrendeld. In plaats daarvan kon de hacker nepbewijs tonen van een niet-bestaande storting.

Het incident diende om te benadrukken hoe kwetsbaarheden in slimme contracten een hardnekkig probleem blijven in DeFi, en vooral voor blockchain-bruggen. De overgrote meerderheid van bridge-aanvallen is gericht op bugs in slimme contracten, dit zijn geautomatiseerde contracten die zichzelf uitvoeren wanneer aan bepaalde voorwaarden wordt voldaan.

Bruggen zijn de sleutel tot het uitbreiden van het bereik van Crypto

 Crypto-platforms zijn onderworpen aan een eindeloze stroom van aanvallen sinds de opkomende industrie populair begon te worden. Aanhangers van DeFi zeggen dat het een toegankelijker en rechtvaardiger alternatief kan bieden voor traditionele financiële diensten, maar naarmate de ruimte is geëvolueerd, is het onderworpen aan wat in wezen een vuurproef is. Aanvallen op bruggen zijn net zo gewoon geworden als cryptocurrency-uitwisseling en DeFi-protocolovervallen. Het probleem is dat bruggen, zoals uitwisselingen en protocollen, platforms met hoge inzetten zijn die enorme hoeveelheden waarde hebben en dat elk van hen kwetsbaar kan zijn voor bugs in hun onderliggende code.

Er is een wijdverbreide overtuiging dat crypto en DeFi nooit wijdverbreide acceptatie zullen bereiken zonder een goede oplossing voor het risico van aanvallen. Het overgrote deel van de wereldwaarde is in handen van institutionele beleggers, zoals investeringsbanken en grote hedgefondsen. Dergelijke organisaties geven prioriteit aan naleving en de veiligheid van hun geld boven alle mogelijke winsten. Het is dus onwaarschijnlijk dat DeFi en crypto veel meer zullen worden dan een niche-investeringsindustrie totdat de beveiligingsproblemen kunnen worden opgelost.

Brugbeveiliging is van bijzonder belang. Het silokarakter van blockchains is een ernstige handicap die het potentiële bereik van elke gedecentraliseerde toepassing beperkt. Een op Ethereum gebouwde dApp kan niet met anderen praten op basis van verschillende blockchains. Het kan geen transacties uitvoeren met Bitcoin, 's werelds meest waardevolle en meest gebruikte cryptocurrency, wat betekent dat BTC-houders op geen enkele manier kunnen communiceren met het DeFi-ecosysteem. Als crypto ooit alomtegenwoordig gaat worden, moeten gebruikers een veilige manier hebben om met verschillende ketens te communiceren.

Betere bruggen bouwen

 Het goede nieuws is dat er mensen in de branche zijn die het belang van veilige blockchain-connectiviteit erkennen. Een opwindend vooruitzicht is: AllianceBlock's veelbelovend AlliantieBrug, dat grote netwerken ondersteunt, waaronder Ethereum, Binance Smart Chain, Avalanche, Polygon, Arbirtrum, Optimism en Energy Web met een unieke infrastructuur die meer gedecentraliseerd is en snellere en veiligere prestaties levert.

In tegenstelling tot gecentraliseerde bruggen, die afhankelijk zijn van een enkele of slechts enkele entiteiten om te verifiëren dat transacties legitiem zijn, zijn gedecentraliseerde bruggen gebaseerd op dezelfde principes als blockchain zelf. Er zijn meerdere operators die goed gestructureerde consensusmechanismen gebruiken om de geldigheid van transacties vast te stellen. AllianceBridge is een gedecentraliseerde brug die een unieke methode heeft ontwikkeld om ervoor te zorgen dat consensus wordt bereikt.

Net als bij anderen vergrendelt AllianceBridge de tokens die het ontvangt in een slim contract en geeft vervolgens verpakte tokens uit op de doelblockchain. Die ingepakte tokens blijven in de tweede keten bestaan ​​totdat de gebruiker besluit ze in te wisselen op het oorspronkelijke netwerk. Op dat moment worden de verpakte tokens verbrand, wat betekent dat ze ophouden te bestaan, terwijl de originele tokens op de native chain worden ontgrendeld.

Waar AllianceBridge verschilt, is dat het een EVM-compatibel netwerk van bridge-operators gebruikt. Bovendien maakt het gebruik van de robuuste, externe Hedera Hashgraph-consensusservice dat wordt aangedreven door een innovatieve “roddel-over-roddelsconsensus-algoritme.

Met behulp van de HCS-service kunnen blockchain-applicaties en -netwerken berichten verzenden naar het grootboek van Hedera, waar ze worden voorzien van een tijdstempel en met volledige transparantie worden besteld. Dit maakt het voor AllianceBridge mogelijk om consensus te bereiken zonder de synchronisatie tussen de brugbeheerders te handhaven. Dit betekent snellere prestaties met een hoge mate van decentralisatie, terwijl HCS een extra vertrouwenslaag biedt die de brug veiliger maakt.

De slimme contracten van AllianceBridge, die worden gebruikt om de originele activa te vergrendelen en ingepakte tokens te minten en te branden, bieden nog meer zekerheid. De volledige codebasis voor slimme contracten is geschreven om te resoneren met de EIP-2535-standaard en is volledig gecontroleerd door Omniscia. Tijdens de audit wees Omniscia op een aantal potentiële problemen die door AllianceBlock snel werden verholpen voordat de code live ging.

De veiligheid en betrouwbaarheid van AllianceBridge heeft een sleutelrol gespeeld bij het uitbreiden van het nut van AllianceBlock's suite van DeFi-aanbiedingen, waaronder DeFi-terminal, dat een gemakkelijke manier biedt voor projecten om liquiditeitsmining- en stakingscampagnes te lanceren over meerdere ondersteunde netwerken en dApps. Met zijn veilige blockchain-interoperabiliteitsprotocol bouwt AllianceBlock de robuuste basis die een rijk, onderling verbonden Web3-ecosysteem nodig heeft om te groeien en te evolueren.

- Advertentie -