Проблемы безопасности, взломы и “Мосты в никуда”

Это определенно была трудная неделька.

И снова здравствуйте! В последнее время все больше и больше протоколов сталкиваются со взломами и/или программами — эксплойтами, поэтому тема нашего сегодняшнего разговора, можно сказать, была предрешена заранее.

В свете всех последних событий мы просто не можем не обсудить вопросы, касающиеся безопасности. Как всегда — устраивайтесь поудобнее, я постарался сделать этот материал интересным и разнообразным,. Так же напоминаю, что его можно посмотреть в видео-версии на моем Youtube канале, там вы найдете еще много интересного, а теперь — приступаем!

Горькая соль обиды на Solana

Кажется, пыль немного оседает, но, к сожалению, начало августа для SOL, выдалось тяжелым. Очень соболезную тем, кого это затронуло, но помните: если вы потеряли свои, заработанные потом и кровью Sol и / или NFT, это все еще не самое плохое, что случается в жизни! 🤙

Подтвержденной информации не так много, тем более основная команда пока не выпустила полноценный разбор ситуации. Поэтому на сегодня выводы — следующие:

• Кажется, кошелек Slope пострадал больше всего, однако некоторые пользователи Phantom тоже потеряли все активы из своих кошельков. В основном это коснулось пользователей, которые долгое время не взаимодействовали со своими кошельками.
• Обнаружена уязвимость iOS и я не уверен, что она уникальна для устройств Apple, возможны схожие проблемы с Android версией.
• Отзыв доступа хоть и полезен, но не решает эту проблему полностью, потому что закрытые ключи были скомпрометированы.
• Разумеется, если вы еще этого не сделали, создайте новую исходную фразу, в новом браузере (желательно на чистом устройстве, которое не подключалось к приложениям SOL и защищено от компьютерных вирусов), с новым кошельком и переместите туда — все свои активы.

Вы всегда должны быть осторожны, когда дело доходит до ваших взаимодействий в блокчейне — одобрения / доверенные приложения!

Если вы пострадали от этого эксплойта, отправьте всю доступную информацию в анкету к этому твиту и заполните вот эту форму, если еще этого не сделали! Эта информация взята из официального твиттера основателя Solana.

Что произошло с Nomad?

Честно говоря — ничего хорошего. Я так же соболезную всем, кто так или иначе пострадал от взлома, это печально, но любые трудности, либо ломают нас окончательно, либо делают сильнее, поэтому от всей души желаю команде Nomad сил, чтобы восстановиться и стать лучше!

Ошибка в смарт-контракте стоила криптовалютному мосту Nomad почти 200 000 000 долларов, в различных активах и позволила злоумышленникам совершить: «первое децентрализованное массовое ограбление». Среди украденных активов значатся: WBTC, WETH, USDC, FRAX, CQT, HBOT, IAG, DAI, GERO и т.д.

Мост Nomad, обеспечивает недорогие кросс-чейн переводы между Ethereum, Avalanche, Moonbeam, Evmos и Milkomeda. Впервые произошедшее упомянуто в официальном Twitter-аккаунте Nomad 1 августа 2022 года, как некий «инцидент», но уже 2 августа разработчики сообщили, что «круглосуточно работают над устранением ситуации» и уведомили о случившемся правоохранительные органы. Кроме того, Nomad обещал оперативно информировать пользователей обо всех изменениях.

Почему же взлом вообще стал возможным? В компании PeckShield, специализирующейся на блокчейн безопасности, уверены, что уязвимость появилась во время обновления смарт-контракта. Эксперт из инвестиционной компании Paradigm, занимающейся криптографией и Web3, объясняет, что атака произошла из-за неправильной конфигурации основного смарт-контракта проекта, допущенной во время обновления. В результате чего, нулевой хэш начал помечаться как валидный, и атакующие воспользовались этим, чтобы быстро подделывать сообщения. Ошибка позволяла любому, у кого есть хотя бы базовое понимание кода, разрешить самому себе вывод средств.

Компания CertiK, специализирующаяся на блокчейн-безопасности, отмечает, что в данном случае сработал принцип домино, когда люди видели, что средства воруют с использованием вышеописанного метода, и подставляли свои собственные адреса, чтобы воспроизвести атаку.

«Вот почему взлом получился таким хаотичным. Вам не требовались знания о Solidity, Merkle Trees или чем-то подобном. Все, что нужно было сделать — найти транзакцию, которая сработала, найти/заменить адрес другого человека на свой, а затем ретранслировать», — пишет эксперт.

Некоторые специалисты полагают, что часть украденных средств могла быть специально выведена и спасена “white hat”, по прошествую времени мы видим, как часть этих средств возвращаются обратно:

Важно отметить, что в последнее время, крипто мосты становятся объектами самых громких взломов из-за высокой стоимости активов, которые они хранят. К примеру, в марте текущего года из-за компрометации блокчейна Ronin, тесно связанного с популярной NFT-игрой Axie Infinity, было украдено более 600 миллионов долларов. Месяцем ранее, в феврале 2022 года, от взлома пострадал блокчейн-мост Wormhole, после того, как хакер обнаружил ошибку в открытом исходном коде, загруженном на GitHub, и воспользовался ею. Тогда злоумышленники похитили свыше 320 миллионов долларов.

Давайте вернемся в самое начало

За последние несколько лет появилось много блокчейнов, вдохновленных Ethereum — они копируют код Ethereum, внося изменения в зависимости от того, в чем они видят свое основное преимущество. Некоторые предлагают низкие комиссии, другие — иную структуру управления, или новые алгоритмы консенсуса.

Как правило, все эти блокчейны имеют один и тот же базовый уровень и одни и те же инструменты разработки приложений. Эта структура называется моделью виртуальной машины Ethereum или сокращенно EVM. Конечно, есть и исключения, когда блокчейны создаются с нуля, независимо от Ethereum. Например экосистемы — Solana, NEAR и Cosmos. Кстати это касается и Bitcoin, однако это не платформа смарт-контрактов.

Платформа смарт-контрактов — это блокчейн, который позволяет разрабатывать и загружать смарт-контракты для взаимодействия с другими пользователями. Смарт-контракт сам по себе представляет собой фрагмент кода, который загружается в блокчейн и с которым можно взаимодействовать. Например, вы можете создать смарт-контракт, который принимает определенную сумму денег, а затем распределяет ее между двумя получателями. Более сложные смарт-контракты — это платформы кредитования и заимствования, доходные фермы, пулы ликвидности и многое другое. Даже сами токены являются смарт-контрактами!

Проблема большого количества блокчейнов

Больше блокчейнов дает множеству пользователей доступ к различным dApps, однако активы, созданные в одной сети, не обязательно будут доступны в других блокчейнах. И это критически важно, потому что в идеале активы должны свободно продаваться в любом блокчейне. Вот тут-то и появляются мосты, которые позволяют обменивать активы между разными блокчейнами.

Defi мосты — обладают множеством преимуществ: повышают компонуемость, функциональную совместимость и общую полезность в экосистеме, но куда же без ложки дегтя в бочке меда? Они страдают одним фатальным недостатком, т.е. уязвимостью для взлома, из-за их сложности и огромного количества средств на счету. Массовые взломы мостов происходят, в среднем, каждые несколько месяцев, и каждый раз пропадают большие суммы средств пользователей. Поэтому хоть Defi мосты и приносят большую пользу, они постоянно подвержены риску крупномасштабных взломов.

Как работают мосты и почему они уязвимы?

«Как вообще можно взломать мосты?». Большинство пользователей думают, что отправляя средства в одной сети, они получают те же самые средства в другой, однако это, конечно же, не так. В действительности, передача токенов между блокчейнами невозможна и именно в этот момент появляется опасность.

Представьте, что вы отправляете ваши USDT через гипотетический мост — StarMyth из Ethereum в Polygon. Фактически вы получаете совершенно новый токен, созданный самим мостом StarMyth, поэтому его можно назвать mythUSDT. Вы можете использовать его по назначению, например, в качестве оплаты. Или в любой момент, перевести их обратно через мост, в USDT на Ethereum, поэтому в обычной ситуации у вас не возникает проблем. Все будет хорошо до тех пор, пока мост не будет взломан на стороне Ethereum, любым из возможных способов — как только это произойдет, не смотря ни на какие заявления о безопасности, USDT, да и другие токены моста на Ethereum будут украдены.

Кажется, все просто, но как это повлияет именно на вас? Каждый mythUSDT выкупается в сети Ethereum за один USDT, а то, что USDT украли из моста в Ethereum означает, что больше нет средств для погашения ваших mythUSDT — теперь они ничем не обеспечены! Выходит, что все USDT в сети Polygon (в этом примере) — станут бесполезны, поскольку больше не обеспечены реальными долларами США. Вот почему мосты уязвимы для взломов и почему эти взломы, всегда такие болезненные!

Есть ли выход?

Многие сети не могут избежать использования мостов и вынуждены жертвовать безопасностью ради удобства. Блокчейны EVM, такие как Avalanche, Fantom и Polygon, обязательно должны взаимодействовать с тем же Ethereum. Даже сети без EVM, как выше упомянутая Solana, должны обрабатывать активы из других сетей. Так как же быть в такой ситуации? Вспомните, что не все мосты являются разрешенными мульти подписями (и т.п.) и можно выбрать наиболее безопасное решение — замечательный проект Axelar.

Сетевая безопасность Axelar основана на делегированном подтверждении доли (PoS), что означает набор динамических валидаторов, использующих аналогичный консенсус для всех сетей, к которым подключается Axelar. Давайте по подробнее!

Что такое PoS и как он работает

Алгоритм консенсуса Proof of Stake был представлен в 2011 году на форуме Bitcointalk, с целью решить проблемы Proof of Work. Оба механизма стремятся к достижению консенсуса в блокчейне, но делают это по-разному. Пользователи Proof of Work выполняют вычислительную работу (читай майнинг), а участникам Proof of Stake достаточно внести монеты в стейкинг. В основе механизма Proof of Stake лежит процесс случайного выбора, определяющий валидатора из группы нод. Для этого система использует комбинацию факторов, включая длительность стейкинга монет, рандомизацию и финансовую обеспеченность ноды. Количество монет в стейкинге увеличивает шансы каждой ноды быть выбранной в качестве следующего валидатора: чем больше сумма в стейкинге, тем выше шансы. Однако, чтобы обеспечить справедливый выбор нод, без предпочтения самых обеспеченных, в процессе выбора используются уникальные методы, такие как случайный выбор блоков и выбор по длительности стейкинга.

Случайный выбор блока. Валидаторы определяются путем поиска нод, с наименьшим значением хеша и наибольшей суммой в стейкинге. Как правило, можно заранее предсказать, кто станет следующим валидатором, поскольку объем монет в стейкинге каждого участника, находится в открытом доступе.

Выбор по длительности стейкинга. В этом случае, валидаторы определяются в зависимости от того, как долго их токены находятся в стейкинге. Длительность рассчитывается путем умножения количества дней нахождения монеты в стейкинге, на количество размещенных монет. После создания блока, параметр длительности обнуляется, поэтому потребуется некоторое время, перед тем, как одна и та же нода снова будет выбрана для создания следующего блока, что позволяет предотвратить доминирование «богатых» нод в блокчейне.

Проверка транзакций. Каждая криптовалюта с алгоритмом консенсуса Proof of Stake имеет собственный набор правил и методов, которые обеспечивают эффективность сети. Нода, выбранная для создания нового блока, проверяет действительность транзакций, подписывает блок и добавляет его в блокчейн.

В качестве вознаграждения валидатор получает часть комиссий за транзакции из добавленного блока, а в некоторых блокчейнах еще и награду в виде монет. Если участник больше не хочет быть инициатором, его заработанные вознаграждения и монеты в стейкинге блокируются на некоторое время. Это дает системе возможность проверить, не добавил ли инициатор мошеннические блоки в блокчейн.

Безопасность. Механизм стейкинга стимулирует инициатора создавать только проверенные блоки. Если сеть обнаружит мошенническую транзакцию, валидатор потеряет часть своей доли в стейкинге и право создавать блоки в будущем. Таким образом, если доля в стейкинге больше вознаграждения, недобросовестный валидатор потеряет больше монет, чем получит.

Чтобы захватить контроль над сетью и проводить мошеннические транзакции, нода должна владеть большей долей в сети — это называется атакой 51%. Однако это можно сделать только в случае приобретения 51% монет в обращении, что практически невозможно.

Поэтому большинство блокчейнов уходят от модели консенсуса PoW и переходят или, в случае с новым решением, создаются, сразу на PoS. Конечно этот механизм тоже не лишен изъянов, но подробно говорить о плюсах и минусах, проводить сравнения и учитывать множество факторов — прямо сейчас мы не будем, потому что этот мой труд, и так получился очень большим. Я приложу вам две ссылки на интересные материалы по этой теме, для самостоятельного изучения:

• Статья о том, что такое PoS от академии Binance, написанная крайне простым и понятным языком.
• Чуть более сложный для понимания материал, подходящий больше для технических специалистов и разработчиков.

Заключение

Какой вывод можно сделать из всего сказанного выше? Взломы в крипто мире были всегда и пока мы не можем полностью от них защититься, так же, как и не можем отказаться от мостов, объединяющих блокчейны в одну большую экосистему. Сейчас мы жертвуем безопасностью, ради удобства, но даже при этом — мы можем максимально обезопасить себя, используя самые надежные решения, которые предлагает команда Axelar. Если вам нужны еще факты, то вот они: даже такой мамонт, как Ethereum, по заявлениям Виталика Бутерина, планирует перейти на PoS, произойдет слияние.

Вот прекрасный материал на эту тему, так же искренне рекомендую ознакомиться.

Будьте бдительны и максимально обезопасьте себя от возможных рисков — просто работайте с лучшими / пользуйтесь услугами лучших! Присоединяйтесь к команде Axelar, получите гранд от Axelar на свои собственные разработки или же интегрируйте уже созданное приложение или целый блокчейн, в экосистему Axelar и получите множество кросс-чейн преимуществ качественно и безопасно!

А если вы обычный пользователь, как я и просто не хотите терять свои средства — используйте удобные продукты Axelar, такие как Satellite, чтобы быть уверенными в своей безопасности!

Axelar:[Website] [Telegram Eng] [Telegram Ann] [Twitter] [Discord] [Axelar Scan] [Axelar Docs] [Satellite] [Axelar Bridger] [Academy] [Medium] [YouTube] [Blog]

AxelarSea: [Medium] [Website] [Twitter] [Telegram Off] [Telegram Ann] [Discord] [Youtube] [AxelarSea Docs]