Gedecentraliseerde financiën (DeFi) is misschien naar voren gekomen als een opwindende categorie in het blockchain-ecosysteem, maar door de nog steeds ontluikende staat zijn veel deelnemers blootgesteld aan de bijbehorende risico's van deze meer gedemocratiseerde iteratie van financiële diensten.
De nieuwste exploit van Wormhole, een blockchain-brug tussen Solana en Ethereum, onderstreept de tekortkomingen die blijven opduiken en gevolgen hebben voor DeFi-gebruikers. Ter context: de hack van 325 miljoen dollar was in feite het resultaat van gebrekkige logica in de programmering van de brug voor een update.
Gewoonlijk vereist een transactie die door Wormhole naar Solana stroomt een geldige transactiehandtekening en -bewaker (goedgekeurd validatieknooppunt). Als aan deze twee voorwaarden is voldaan, worden transactieverzoeken goedgekeurd. In het geval van een ongeldige transactiehandtekening en geldige voogd, wordt niet voldaan aan de noodzakelijke voorwaarden voor het initiëren van een transactie, waardoor Solana dit verzoek afwijst. In plaats van ongeldige voorwaarden te presenteren met een ongeldige transactiehandtekening en geldige voogd, gebruikte de hacker echter een ongeldige handtekening en een niet-voogd, waardoor in feite twee niet-goedgekeurde voorwaarden werden gecreëerd.
Omdat er twee geldige voorwaarden nodig zijn om een "overeenkomst" te vormen om de transactieverzoeken te accepteren, en twee ongeldige voorwaarden ook als een "overeenkomst" kunnen worden beschouwd binnen de bestaande logica van het systeem, stelde het de hacker in staat om verpakt Ethereum (wETH) op Solana te minten . Zonder 120,000 ETH te hoeven storten op wat fungeert als een geblokkeerde rekening, heeft de hacker 120,000 wETH geslagen, die vervolgens werd uitgewisseld, waardoor Wormhole werd misleid om gewoon Ethereum te ontgrendelen dat andere wETH op Solana onderpand had.
Hoewel het Wormhole-team de fout sindsdien heeft gedicht, is het onduidelijk hoe ze van plan zijn het geld dat van de brug is gestolen, te herkapitaliseren, ondanks de aankondiging van inspanningen daartoe. Terwijl ze premie-ouvertures naar de hacker hebben gemaakt, was de non-respons oorverdovend. Toch benadrukt deze hack de significante kwetsbaarheden binnen de kritieke interoperabiliteitsinfrastructuren die DeFi verbinden, en nog belangrijker, die waarmee blockchains kunnen communiceren.
Kan multi-party computing zorgen voor veiligere interoperabiliteit?
Interoperabiliteit, of in deze context, het vermogen om losgekoppelde blockchains en ecosystemen met elkaar te verbinden, is de lijm die gedecentraliseerde financiën bij elkaar houdt via een reeks bruggen, orakels en meer. Interoperabiliteit kan echter ook kwetsbaarheid betekenen, zoals het geval was bij Wormhole, vooral wanneer interoperabiliteit verantwoordelijk is voor het toezicht op de veilige uitwisseling van waarde tussen twee systemen.
Het idee om meerdere partijen of bewijzen (zoals handtekeningen) te vereisen om bepaalde transacties goed te keuren, is geen onbekende voor blockchain-technologie, maar een vrij algemeen kenmerk van bepaalde eWallets. Het idee om handtekeningmacht over meerdere partijen te verdelen, verkleint het risico op een single point of failure.
Voor mutlisig-portefeuilles betekent dit dat moet worden beslist wie de mede-ondertekenaars zullen zijn en hoeveel mede-ondertekenaars een transactie moeten ondertekenen. Het probleem met dit model is het veranderen van mede-ondertekenaars en machtigingen, om nog maar te zwijgen van het feit dat meerdere handtekeningen tegelijkertijd moeten worden gepresenteerd, wat resulteert in beschikbaarheidseisen van mede-ondertekenaars voor elke transactie.
Multi-party computation (MPC) kan deze complicaties helpen voorkomen, maar de toepassing ervan gaat veel verder dan portemonnees en sleutelverificatie. MPC gebruikt volledig aanpasbare eindpunten die een deel van de geheime sleutels bevatten, maar niet hun geheel. Samen worden deze eindpunten gebruikt om een consensus te vormen, en er wordt een minimum aantal eindpunten ingesteld om deze consensus over een transactie te bereiken.
Kurt Nielsen, de president en medeoprichter van Partisia blockchain, gelooft dat MPC de sleutel in handen heeft om het ware potentieel van interoperabiliteit te ontsluiten in een veiliger, betrouwbaarder raamwerk. Nielsen merkt op: “Interoperabiliteit via tokenbruggen vertoont een enorm potentieel om een belangrijke waardeschepper te worden in het blockchain-ecosysteem. Zoals we echter bij de Wormhole-exploit hebben gezien, brengt het verplaatsen van tokens buiten hun gevestigde beveiligingsmodel aanzienlijke uitdagingen en kwetsbaarheden met zich mee. Ons antwoord is geavanceerdere, bewezen auditprincipes en grootschalige MPC-beveiligingsmaatregelen.”
Hij legt verder uit: “Ten eerste vertegenwoordigt een regelmatig verlopend Oracle effectief en transparant de waarden over de verschillende blockchains, zoals de dubbele boekhouding die zijn waarde heeft bewezen sinds de Medici Bank in de 14e eeuw. Ten tweede voorkomen grootschalige MPC-beveiligingsmaatregelen de accumulatie van financiële risico's over Oracles of tijdperken heen. Ten derde bieden de knooppunten die het Oracle in een bepaald tijdperk bedienen onderpand om de overgedragen waarden te ondersteunen, en ten slotte worden objectieve onevenwichtigheden gecompenseerd via een gedecentraliseerd geschillenproces.
Partisia is sinds 2008 betrokken bij MPC-oplossingen van commerciële kwaliteit en past nu zijn inzicht toe op op blockchain gebaseerde toepassingen. Partisia Blockchain fungeert effectief als een interoperabiliteitslaag met behulp van Zero-Knowledge proof-berekeningen. Doordat knooppunten worden beoordeeld en gerangschikt op basis van hun vertrouwensscore, kunnen DeFi-gebruikers meer vertrouwen krijgen in hoe en wie hun waarde tussen ecosystemen verplaatst.
Hoewel het tot nu toe het grootste incident in 2022 is, zal Wormhole in de loop van het jaar waarschijnlijk verre van het enige DeFi-protocol, bridge of blockchain zijn waarop hackers zich richten. Desalniettemin, zoals Partisia laat zien, onderscheidt MPC zich als een strategie voor het bevorderen van communicatie tussen netwerken die toezicht houden op gegevens of waardeoverdracht zonder precies te weten wat door wie en naar waar wordt overgedragen.
Bron: https://zycrypto.com/wormhole-exploit-underlines-case-for-greater-mpc-use-across-blockchain-oracles-bridges/