Децентралізовані фінанси (DeFi) могли б стати цікавою категорією в екосистемі блокчейну, але її стан, що все ще зароджується, залишив багатьох учасників підданими супутнім ризикам цієї більш демократизованої ітерації фінансових послуг.
Останній експлойт Wormhole, блокчейн-моста між Solana та Ethereum, підкреслює недоліки, які продовжують з’являтися і впливають на користувачів DeFi. Для контексту, злом у розмірі 325 мільйонів доларів був фактично результатом хибної логіки в програмному наборі мосту для оновлення.
Зазвичай транзакція, що проходить через червоточину до Солани, вимагає дійсного підпису транзакції та опікуна (схвалений вузол перевірки). Якщо ці дві умови виконуються, запити на транзакції затверджуються. У разі недійсного підпису транзакції та дійсного опікуна необхідні умови для ініціації транзакції не виконуються, що змушує Солану відхилити цей запит. Однак замість того, щоб подати недійсні умови, де був недійсний підпис транзакції та дійсний опікун, хакер використав недійсний підпис і неопікуна, фактично створивши дві недозволені умови.
Оскільки дві дійсні умови необхідні для формування «збігу» для прийняття запитів на транзакції, а дві недійсні умови також можна розглядати як «відповідність» в рамках існуючої логіки системи, це дозволило хакеру карбувати загорнутий Ethereum (wETH) на Solana. . Без необхідності вносити 120,000 120,000 ETH на рахунок умовного депонування, хакер викарбував XNUMX XNUMX WETH, які потім обміняли, обманом змусивши Wormhole розблокувати звичайний Ethereum, який забезпечував інші WETH на Solana.
Хоча команда Wormhole з тих пір усунула недолік, незрозуміло, як вони мають намір рекапіталізувати кошти, вкрадені з мосту, незважаючи на оголошення зусиль для цього. Хоча вони робили винагороду хакеру, невідповідь була оглушливою. Тим не менш, цей злом підкреслює значні вразливості в критичних інфраструктурах взаємодії, які підключають DeFi, і, що ще важливіше, тих, які дозволяють блокчейнам спілкуватися.
Чи можуть багатосторонні обчислення означати більш безпечну взаємодію?
Інтероперабельність, або в цьому контексті, здатність з’єднувати роз’єднані блокчейни та екосистеми — це клей, який утримує децентралізовані фінанси разом за допомогою мостів, оракулів тощо. Однак сумісність також може означати вразливість, як це було у випадку з Wormhole, особливо коли інтероперабельність відповідає за нагляд за безпечним обміном цінністю між двома системами.
Ідея вимагати від кількох сторін або доказів (наприклад, підписів) для схвалення певних транзакцій не є чужою для технології блокчейн, але є досить поширеною особливістю певних електронних гаманців. Ідея розподілу повноважень для підпису між кількома сторонами зменшує ризик збою в одній точці.
Для гаманців із функцією mutlisig це означає рішення, хто буде співпідписувачами та скільки співпідписувачів мають підписати транзакцію. Проблема з цією моделлю полягає в зміні співпідписувачів і дозволів, не кажучи вже про те, що кілька підписів повинні бути представлені одночасно, що призводить до вимог щодо доступності від співпідписувачів для кожної транзакції.
Багатосторонні обчислення (MPC) можуть допомогти уникнути цих ускладнень, але їх застосування виходить далеко за межі гаманців і перевірки ключів. MPC використовує повністю модифіковані кінцеві точки, які містять частину секретних ключів, але не повністю. Разом ці кінцеві точки використовуються для формування консенсусу, і встановлюється мінімальна кількість кінцевих точок для досягнення цього консенсусу щодо транзакції.
Курт Нільсен, президент і співзасновник блокчейну Partisia, вважає, що MPC є ключем до розкриття справжнього потенціалу взаємодії в більш безпечній та надійній структурі. Нільсен зазначає: «Сумісність через токен-мости демонструє величезний потенціал, щоб стати головним творцем цінності в екосистемі блокчейну. Однак, як ми бачили в експлойті Wormhole, переміщення маркерів за межі встановленої моделі безпеки створює значні проблеми та вразливості. Наша відповідь — це більш складні, перевірені принципи аудиту та широкомасштабні заходи безпеки MPC».
Далі він пояснює: «По-перше, Oracle, що регулярно закінчується, ефективно та прозоро представляє цінності в різних блокчейнах, як-от подвійна бухгалтерія, яка довела свою цінність з часів банку Медічі в 14 столітті. По-друге, широкомасштабні заходи безпеки MPC дозволяють уникнути накопичення фінансового ризику впродовж Oracles або епох. По-третє, вузли, що працюють з Oracle в певну епоху, надають заставу для підтримки переданих цінностей, і, нарешті, об’єктивні дисбаланси компенсуються за допомогою децентралізованого процесу суперечок».
Partisia бере участь у розробці рішень MPC комерційного рівня з 2008 року і зараз застосовує свою кмітливість до додатків на основі блокчейну. Partisia Blockchain ефективно діє як рівень взаємодії, використовуючи обчислення з нульовим знанням. Завдяки оцінці та рейтингу вузлів відповідно до їхньої довіри, користувачі DeFi можуть отримати більшу довіру до того, як і хто переміщує свою цінність між екосистемами.
Незважаючи на те, що це найбільший подібний інцидент у 2022 році, Wormhole, ймовірно, буде далеко не єдиним протоколом DeFi, мостом або блокчейном, на які хакери націлені протягом року. Тим не менш, як показує Partisia, MPC виділяється як одна зі стратегій сприяння комунікації між мережами, які контролюють передачу даних або цінностей, не знаючи, що саме ким і куди передається.
Джерело: https://zycrypto.com/wormhole-exploit-underlines-case-for-greater-mpc-use-across-blockchain-oracles-bridges/