Спектр децентралізації став гарячою темою після контрексплойт нещодавно страчений Jump Crypto проти хакера Wormhole, який викрав 120,000 325 ETH — близько XNUMX мільйонів доларів — у лютому минулого року.
Після отримання ан порядок Від Високого суду Англії Oasis — приватний додаток, розгорнутий на основі протоколу децентралізованих фінансів (DeFi) MakerDAO — здійснив контратаку, додавши «авторизовану третю сторону» до свого мультипідпису. Третя сторона — імовірно Jump — потім використала його для оновлення проксі-контракту Oasis, зрештою заволодівши коштами.
Багато учасників галузі висловили занепокоєння щодо цього кроку як ознаки централізації DeFi та того, чи варто взагалі використовувати ці оновлювані контракти.
Зачекайте, що таке проксі-контракт?
В інтерв’ю Blockworks Джо Колл, венчурний інвестор Framework Ventures, сказав, що проксі-контракти забезпечують можливість оновлення до набору смарт-контрактів протоколу.
«Коли контракти є незмінними — коли вони не підлягають оновленню, для розщеплення коду потрібна вся мережа», — сказав Колл.
Відключення є одним із прикладів цього типу протоколу. Ось чому Uniswap протягом кількох років розгортав окремі версії своєї провідної на ринку децентралізованої біржі, останньою з яких була «Uniswap V3». Попередні версії все ще працюють — так само, як і завжди з моменту їх початкового розгортання — і працюватимуть так, доки мережа Ethereum створюватиме блоки.
Якби замість цього Uniswap використовував проксі-контракти, він міг би вилучити старіші версії.
«Коли користувач надсилає транзакцію через проксі-контракт, він спрямовує її на інший контракт, який містить основну логіку, майже як маршрутизатор», — сказав Колл.
Проксі-контрактами можна керувати кількома різними способами: його можна оновити за допомогою одного закритого ключа, його також можна оновити за допомогою голосування в ланцюжку, коли вся спільнота повинна буде використовувати токени для голосування перед внесенням будь-яких змін до контракту, або ним може керувати мультисиг, сказав він.
Multisig — скорочення від multi-signature — це гаманець криптовалюти з двома або більше власниками ключів.
У випадку контрексплойту проксі-контракт контролювався 4 з 12 Oasis multisig — відомою групою осіб, які підтримували кілька приватних ключів, які спільно дозволяють авторизувати транзакції.
«Нюанс тут полягає в тому, що за кілька днів до того, як усе це сталося, те, що вони описали як білу хакерську групу, прибуло до [Oasis] і виявило попередню «вразливість» у цьому багатопідписному проксі-контракті», — сказав Колл. «І як тільки вони це усвідомили, і, мабуть, також усвідомив суд, можливість для односторонніх дій цим мультисигом фактично стала можливою, і це те, що суд, здається, виконав».
Чи означає це кінець децентралізації?
Коротка відповідь на це запитання: ні, хоча уроки можна винести з цього контрексплойту.
«Multisig існує, тому що [протоколи] хочуть робити щось швидко, і те, що він має можливість оновлення, не означає, що вони можуть робити все», — сказав Колл.
У цій конкретній ситуації Колл зазначає, що це була «справді тонка комбінація з уразливістю, яка була невідомою в середині».
«Multisig може бути дуже легітимним, і він може підтримувати децентралізацію, якщо його реалізовано належним чином», — сказав Колл.
Це почуття поділяє Дослідження блоків аналітик Ден Сміт, який зазначив, що цей експлойт був унікальною ситуацією.
«Справжньою проблемою тут є використання проксі-серверів ТА централізованого мультипідпису. Це поєднання обох речей. Проксі-сервери відіграють важливу роль у DeFi і найближчим часом нікуди не дінуться», — сказав Сміт.
Оскільки проксі-контракти оновлюються їх власниками, централізований власник кількох підписів може видалити цей один аспект децентралізації.
«Уряд Великої Британії змусив Oasis — приватну компанію [зі штаб-квартирою] у Великій Британії — дозволити цю контрексплойт», — сказав Сміт. «Люди не захищені від регулювання лише тому, що вони будують на блокчейн-рейках».
З іншого боку, коли код розгортається незмінним способом, він набагато стійкіший до втручання, виправданого чи ні.
Щовечора отримуйте на свою електронну пошту головні новини та статистику дня про криптовалюту. Підпишіться на безкоштовну розсилку Blockworks зараз.
Хочете, щоб альфа-версія надсилалася безпосередньо у вашу папку "Вхідні"? Отримуйте ідеї торгівлі Degen, оновлення управління, продуктивність токенів, твіти, які не можна пропустити, тощо від Щоденний звіт Blockworks Research.
не можете дочекатися? Отримуйте наші новини найшвидшим способом. Приєднуйтесь до нас на Telegram і слідуйте за нами на Новини Google.
Джерело: https://blockworks.co/news/wormhole-forces-multisig-scrutiny