Распространенные уязвимости в системах безопасности блокчейн-мостов

Для обеспечения безопасности мостов необходимо анализировать распространенные уязвимости и тестировать мосты на устойчивость к атакам до их запуска. Наиболее распространенные уязвимости можно разделить на четыре категории. В 2021 году набирают популярность проекты, которые разрабатывают кроссчейн-мосты. По данным CoinMarketCap, стоимость этих криптовалют с начала года выросла в десятки раз. С помощью моста Polygon можно перемещать большинство монет и токенов на базе Ethereum, таких как ETH, SHIB, LINK, BAL, SUSHI, UNI, USDC, USDT, WBTC, WETH и других. В настоящее время в сети Polygon существует два варианта моста — Proof-of-Stake (PoS) и Plasma.

Основная идея доказательств мошенничества состоит в том, чтобы отправить минимум данных на уровень 1 и предположить (оптимистично), что они верны. Чтобы злоумышленники не рассылали спам в сети, отправители также должны предоставить залог (обычно в форме ETH), который будет изъят, если блокчейн обнаружит мошенничество. «Что касается спроса на токен, я бы исходил из базового сценария VanEck в $334, хотя и он кажется завышенным. Как и говорится в исследовании VanEck, экосистема Solana обладает рядом технических преимуществ, которые делают ее перспективной. Однако вряд ли можно однозначно назвать Solana «самым перспективным блокчейном», как это делают авторы отчета, считает директор по аналитике платформы безопасности криптовалютных активов «Шард» Федор Иванов. Одним из ключевых преимуществ Solana называют пропускную способность, которая выражается в тысячах транзакций в секунду (TPS).

WBTC контролируется децентрализованной автономной организацией (DAO) из 17 членов. У каждого члена хранится ключ к кошельку с несколькими подписями, который отвечает за безопасность системы. Голосование проводится по вопросам добавления или удаления членов и внесения изменений в смарт-контракт. В децентрализованной системе пользователям не нужно регистрироваться, а также нет сбора пользовательских данных (KYC). Централизованные мосты предполагают необходимость прохождения процедуры KYC и высокую комиссию за транзакции. Самостоятельная регистрация схожа с моделью без доверия, поскольку она устраняет роль оператора и использует технологии для своей работы.

Как перевести криптовалюту между блокчейнами сетями

Это изменение привело к тому, что все сообщения автоматически считались проверенными, что и позволило злоумышленникам отправить произвольное сообщение и пройти проверку. Внутренний сервер должен проверить структуру транзакции, а также адрес контракта, который ее инициировал. Если пренебречь этой проверкой, то у злоумышленника появится возможность развернуть вредоносный контракт для подделки депозитной операции с той же структурой, что и у оригинальной транзакции. Задача внутреннего сервера — убедиться, что обрабатываемая транзакция с депозитом действительно имела место и не была подделана. Сервер определяет, может ли пользователь вывести токены из целевого чейна и рискует ли он стать целью злоумышленников. По оценкам CertiK, в 2022 году в результате атак на блокчейн-мосты было потеряно более 1,3 миллиарда USD, что составляет 36% от общего объема убытков за год.

В заключение можно сказать, что крайне важно проводить тщательную проверку на предмет потенциальных угроз и уделять особое внимание наиболее распространенным уязвимостям в системах безопасности мостов. В истории блокчейн-индустрии уже произошел случай, когда злоумышленники смогли мосты криптовалют успешно обойти проверку данных о передаче активов из-за неправильной конфигурации. За несколько дней до взлома команда проекта провела обновление протокола, которое заключалось в изменении одной переменной. Переменная представляла стандартное значение одобренного сообщения.

Но разработчики проголосовали за внедрение SegWit2x без увеличения размера блока. Золото обладает низкой ликвидностью, его использование — медленный и дорогой процесс. Люди изобретательны, поэтому они создали доллар и другие фиатные валюты, придумали банковские операции и кредитные карты. Это образовало дополнительный слой экономики поверх базового золотого резерва, который существовал до Великой депрессии 1929 года. Чтобы не перегружать основную цепь было решено построить новый слой поверх основного блокчейна для записи промежуточных транзакций. «Solana действительно взимает чрезвычайно низкие комиссии, но на практике этого оказывается мало для того, чтобы пользователи мигрировали в этот блокчейн, — рассуждает Зуборев.

Но проект только доказал, что увеличение размера блока — не решение проблемы масштабируемости, так как это приводит к централизации сети и угрозы нового хардфорка. В начале такое ограничение почти ни на что не влияло, но существенно ограничивало возможность DDoS-атак. Но с ростом популярности Биткоина, выросли и очереди из транзакций, ожидающих валидации. В легендарном 2017 году, из-за хайпа по поводу скачка цены первой криптовалюты и бума ICO, ситуация резко ухудшилась и транзакции проходили несколько дней. Мечты энтузиастов про микроплатежи биткоинами за чашку кофе начали улетучиваться.

Преимущества мостов в DeFi

Пользователи всегда сохраняют контроль над своими данными и не должны доверять третьим лицам свою личную информацию. Контрольно-пропускные пункты с ручным управлением похожи на модель с доверием, так как их работа зависит от третьей стороны, то есть от должностных лиц. Как пользователь вы доверяете должностным лицам принимать правильные решения и правильно использовать вашу личную информацию. Одна из распространенных классификаций — это разделение на кастодиальные (централизованные) и некастодиальные (децентрализованные) мосты. Несколько проектов уже выпустили свои собственные версии  блокчейн-мостов. Все указывает на то, что DeFi-проекты и дальше будут уходить на второй уровень, пока разработчики L2-решений соревнуются между собой за звание самого компромиссного с точки зрения решения трилеммы.

В результате пользователи могут беспрепятственно обменивать разные токены или рефинансировать ссуду с одного актива на другой. Каждый шард содержит уникальный набор смарт-контрактов и балансов счетов. За каждым шардом закрепляется нода для валидации, таким образом нагрузка распределяется на несколько валидаторов. Основная фишка шардинга — переход от системы, где нода вычисляет каждую операцию к модели, где она производит только некоторые вычисления. Такое разделение блокчейна на более управляемые сегменты увеличивает пропускную способность.

Как и при обмене валюты, который мы совершили для получения евро, нам нужен механизм для перевода наших ETH из системы Ethereum на Arbitrum. В данном случае у Arbitrum есть нативный мост(opens in a new tab), который может переводить ETH из основной сети в Arbitrum. Некоторые из них могут обрабатывать большое количество транзакций, тем самым повышая эффективность. Например, Ethereum-Polygon Bridge — это децентрализованный двусторонний мост, который работает как решение для масштабирования сети Ethereum. В результате пользователи могут осуществлять транзакции быстрее и с более низкими комиссиями. Криптовалютная сеть Ronin обнаружила в своей системе брешь, через которую хакеры вывели токенов эфира (Ethereum) и стейблкойна USDC на сумму 540 миллионов долларов.

Когда десятки тысяч нод хранят копию данных блокчейна, могут быстро возникнуть проблемы, например, из-за несогласованных данных и вредоносных нод. Поэтому для обеспечения целостности блокчейна существуют различные механизмы консенсуса, которые определяют, как ноды сети достигают соглашения. Если транзакцию одобрили, она добавляется в блок вместе с другими проверенными транзакциями.

Как кастодиальные биржи обходят проблему мостов?

Как следует из названия, блокчейн-мост — это инструмент, которые соединяют один блокчейн с другим, позволяя перемещать цифровые активы. Например, какое-нибудь децентрализованное приложение (dApp) работает в сети ERC20, данное приложение будет взаимодействовать с пользователями и использовать смарт-контракты только внутри одной сети. Для того чтобы приложение также взаимодействовало в другой блокчейн-сети, его необходимо воссоздать почти с нуля в новом пространстве. В кастодиальных мостах есть третья сторона (обычно организация или группа управляющих), которая контролирует процесс перехода активов с одной сети на другую. При отправке активов через кастодиальный мост они сначала переходят к посреднику, а затем посредник передает их в нужный блокчейн.

А Polkadot, например, создал единый шлюз для соединения любого типа блокчейна через так называемые параллельные чейны. В октябре 2020 года сооснователь Ethereum Виталик Бутерин заявил, что не ждет скорого решения проблемы масштабируемости основной сети Ethereum. Он призвал разработчиков сосредоточиться на решениях второго уровня, которые снижают нагрузку на сеть и увеличивают скорость транзакций.

Мосты соединяют различные экосистемы и делают всю инфраструктуру DeFi удобнее. Блокчейн-моста может быть безопасным, но он также сопряжен с некоторыми рисками и проблемами безопасности. Поскольку блокчейн-мосты предназначены для передачи цифровых активов и данных между различными блокчейн-сетями, они уязвимы для таких угроз безопасности, как взломы, атаки и другие вредоносные действия.

• Передача токенов происходит не буквально; скорее, когда токен необходим для передачи из одного блокчейна в другой, он сжигается на первом, а эквивалентный токен чеканится на другом.
• Кроме того, он обеспечивает повышенную безопасность благодаря использованию решения для масштабирования Ethereum Plasma.
• Как бы то ни было, эти протоколы имеют фундаментальное значение для создания совместимого, открытого и децентрализованного блокчейн-пространства.
• Пока на 100% возможно обеспечить только два пункта из трех в ущерб третьему (в любой комбинации).
• А в Proof of Authority (PoA) учитывают репутацию или личность валидатора, а не его количество удерживаемой криптовалюты.

В некоторых русскоязычных статьях, посвященных теме мостов, написано, что реализовать протокол невероятно сложно. Техническая часть этой технологии настолько запутана, что лучше не вдаваться в детали функционирования мостов, а просто знать об их существовании. Мосты делают возможными кроссчейновые транзакции, к основным видам которых относятся lock-and-mint, burn-and-release и burn-and-mint.