هک پل های بلاک چین
ظهور راه حل های لایه 1 و لایه 2، پلتفرم های زنجیره ای متقابل را برای ایجاد قابلیت همکاری بین بلاک چین و انتقال دارایی ها بین شبکه ها ضروری کرده است. این امر منجر به افزایش تعداد و استفاده از پل های بلاک چین شده است. ایجاد این قابلیت های جدید و با توجه به نقص در این پل ها، منجر به افزایش احتمال حملات هکری شده است. بر اساس اطلاعات آماری و داده های موجود، حداقل 80 درصد از سرقت ها در سال 2022 از طریق پل های بلاک چین انجام شده است. در این مقاله به معرفی پل های بلاک چین و دلایل افزایش آن می پردازیم هک پل های بلاک چین برای بررسی
ساخت پل های بلاک چین
صنعت کریپتو توانایی اتصال چندین بلاک چین را به راه حل های مقیاس پذیری لایه 2 دارد. اکوسیستم هایی مانند Ronin و Harmony نیز شاهد ایجاد چندین بازی مهم بازی برای کسب درآمد از جمله DeFi Kingdoms و Axie Infinity بوده اند. این بلاک چین ها به عنوان جایگزین مناسبی برای هزینه های گاز اتریوم و سرعت پایین تراکنش پیشنهاد شده اند. در این شرایط، یک راه آسان برای جابجایی داراییها بین پروتکلها در بلاک چینهای مختلف بیش از هر زمان دیگری مورد نیاز است. به همین دلیل است که پل های بلاک چین برای رفع این نیاز ایجاد شدند.
پل های بلاک چین پلتفرمی برای اتصال دو شبکه مختلف به یکدیگر هستند و انتقال اطلاعات از یک بلاک چین به زنجیره های دیگر را فراهم می کنند. بنابراین، NFT ها مانند ارزهای دیجیتال به بلاک چین اصلی خود محدود نمی شوند و می توانند بین بلاک چین های مختلف پیوند داده شوند و از این دارایی ها می توان به روش های مختلف استفاده کرد. از طریق این پل ها، بیت کوین می تواند برای اهداف DeFi در شبکه های مبتنی بر قرارداد هوشمند استفاده شود.
روش های مختلفی برای انتقال دارایی ها وجود دارد. پلهای قفل و کسب درآمد، داراییهای اصلی را در یک قرارداد هوشمند در شبکه مبدأ قفل میکنند و سپس یک کپی از توکن اصلی را در شبکه دریافتکننده برش میدهند. به عنوان مثال، اگر اتر از اتریوم به شبکه Solana پل شود، اتر در شبکه Solana خود توکن واقعی نخواهد بود، بلکه فقط نمایش هش شده آن خواهد بود.
محبوبترین روش اتصال، رویکرد قفل و منت است، اما برای تکمیل انتقال دارایی، روشهای دیگری نیز وجود دارد، از جمله روش Bur-and-mint که برای تبادل دارایی بین دو شبکه از طریق قرارداد هوشمند استفاده میشود. آماده Connext (xPollinate) و cBridge پل های مبتنی بر تبادل اتمی هستند.
پل ها را از نظر امنیت می توان به دو گروه اصلی پل های واسطه ای و پل های بدون واسطه طبقه بندی کرد. پل های میانی برای اعتبارسنجی تراکنش ها به شخص ثالث متکی هستند و به عنوان نگهبان دارایی های پل عمل می کنند. از جمله پل های بلاک چین میانی می توان به پل Polygon POS Bridge، Binance Bridge، WBTC Bridge، Harmony Bridge، Avalanche Bridge و برخی برنامه ها مانند Anyswap یا Tron's Just Cryptos اشاره کرد.
پلهای میانی نیز پلتفرمهایی هستند که برای نگهداری داراییها تنها به قراردادها و الگوریتمهای هوشمند متکی هستند. عامل امنیتی در پل های بدون واسطه به شبکه زیربنایی که دارایی ها از طریق آن به هم متصل می شوند، مرتبط است. از پل های بلاک چین مستقیم می توان به پل رنگین کمان شبکه نایر، پل برفی شبکه پولکاداتا، پل کرم چاله شبکه سولانا، پل IBC کازماس و همچنین پلتفرم هایی مانند Conquest، Hop و Celer اشاره کرد.
اگرچه به نظر می رسد که پل های بدون واسطه برای انتقال دارایی ها بین بلاک چین ها ایمن تر هستند، اما همیشه چالش های مختلفی در ارتباط با پل های متمرکز و غیرمتمرکز وجود دارد که باعث می شود هک پل های بلاک چین در زیر به این چالش ها نگاه می کنیم.
محدودیت پل های واسطه و بدون واسطه
پل رونین به عنوان یک پلتفرم متمرکز از کیف پول Multisig برای نگهداری دارایی های منتقل شده استفاده می کند. یک کیف پول چند امضایی برای تایید تراکنش به دو یا چند امضای رمزنگاری نیاز دارد. زنجیره جانبی Ronin Bridge دارای 9 اعتباردهنده است که برای تایید سپرده ها و برداشت ها به پنج امضای مختلف نیاز دارند.
Polygon همچنین به 8 اعتبار سنجی متکی است و به 5 امضا نیاز دارد که توسط گروه های مختلف کنترل می شود. در حالی که در Ronin، چهار امضا توسط تیم Sky Mavis ایجاد می شود که باعث ایجاد یک نقطه شکست می شود. از آنجایی که هکر می تواند چهار امضای Sky Mavis را به طور همزمان کنترل کند، تنها یک امضای دیگر برای تایید دانلود دارایی ها لازم است. در 23 مارس، یک هکر توانست آخرین قطعه مورد نیاز برای تکمیل حمله را به دست آورد که کنترل امضای Axie DAO بود. تیم Sky Mavis یک هفته بعد متوجه این هک شد و ثابت کرد که مکانیسمهای نظارتی رونین معیوب بوده که منجر به هک شدن پلهای بلاک چین شد.
پلتفرم Solana Wormhole، جایی که تراکنش های متقابل بین اتریوم و سولانا انجام می شود، طی یک حمله هک در فوریه 2022 به دلیل نقص در قراردادهای متولی Solana، 325 میلیون دلار از این پلتفرم به سرقت رفت که به نمونه دیگری تبدیل شد. هک پل های بلاک چین بلند شد تنها یک حفره در قراردادهای Wormhole به یک هکر اجازه می داد تا اعتبار سنجی زنجیره ای متقاطع را طراحی کند. هکر 0.1 اتریوم را از اتریوم به سولانا فرستاد تا یک سری “پیام های انتقال” را راه اندازی کند و برنامه را فریب دهد تا واریز ادعایی 120000 اتر را تأیید کند.
هک Wormhole در آگوست 2021 پس از سوء استفاده از Poly Network به میزان 610 میلیون دلار به دلیل نقص در ساختار قرارداد و طبقه بندی رخ داد. در این برنامه غیرمتمرکز، تایید تراکنشهای بین زنجیرهها توسط یک گروه متمرکز از گرهها به نام «Custdians» انجام میشود و توسط یک قرارداد دروازه در شبکه دریافتکننده تأیید میشوند. در این حمله، هکر توانست به عنوان نگهبان امتیاز کسب کند و با تنظیم پارامترهای گیت، گیت را فریب دهد. هکر این فرآیند را برای استخراج دارایی های بیشتر در اتریوم، نئو، بایننس و سایر بلاک چین ها تکرار کرد.
بهبود امنیت زنجیره ای متقابل و کاهش میزان هک پل های بلاک چین
پل های میانی و غیرواسطه دارای ضعف های فنی و اساسی هستند. البته راه های زیادی برای جلوگیری و کاهش اثرات مضر هکرها که پل های بلاک چین را هدف قرار می دهند وجود دارد. در زیر به روش هایی برای کاهش هک پل های بلاک چین خواهیم پرداخت.
افزایش نسبت امضاکننده مورد نیاز میتواند برای پلهای میانی موثر باشد، اما امضاهای متعدد در کیفپولهای مختلف توزیع میشوند. اگرچه خطرات مرتبط با متمرکزسازی در پلهای بدون واسطه حذف میشوند، اما موقعیتهای خطرناک به دلیل باگها و سایر محدودیتهای فنی رخ میدهند و همچنان امکان هک پلهای بلاک چین وجود دارد. بنابراین لازم است تا حد امکان اقدامات خارج از زنجیره برای حفاظت از پلتفرم های روی زنجیره اجرا شود.
همکاری بین پروتکل ها لازم است. این یک سناریوی عالی برای باهوش ترین ذهن های این صنعت خواهد بود که با یکدیگر همکاری کنند تا فضا را به مکانی امن تر تبدیل کنند. Animoca، Binance و سایر برندهای وب 3 150 میلیون دلار برای کمک به Sky Mavis در کاهش تأثیر مالی هک پل رونین جمع آوری کردند. همکاری برای Multichain آینده می تواند قابلیت همکاری را به سطح بعدی برساند. بنابراین، هماهنگی با صرافیهای متمرکز و پلتفرمهای تجزیه و تحلیل زنجیرهای باید به ردیابی توکنهای سرقتشده کمک کند. این وضعیت ممکن است در میان مدت مجرمان را دلسرد کند، زیرا دروازه نقدینگی ارز دیجیتال به فیات باید توسط رویههای KYC در صرافیهای متمرکز کنترل شود.
راه دیگری برای بهبود سلامت پلتفرم های وب 3، از جمله پل زدن و دریچه گاز هک پل های بلاک چین، بررسی و پاداش برای یافتن اشکالات. Chainsafe، Certik، Blocksec و غیره می توان از جمله سازمان های مورد اعتمادی نام برد که تعاملات وب 3 را ایمن تر می کنند. حداقل یک سازمان معتبر باید تمام پل های فعال را بازرسی کند.
برنامههای پاداش باگ بین جامعه و پروژه میتوانند هم افزایی ایجاد کنند. هکرهای یقه سفید نقش حیاتی در شناسایی آسیب پذیری ها قبل از حملات مخرب دارند. به عنوان مثال، Sky Mavis اخیراً یک برنامه جایزه باگ 1 میلیون دلاری را برای پشتیبانی از اکوسیستم خود راه اندازی کرده است. امکان حملات هکری از زمان ایجاد قابلیت های جدید و به دلیل وجود نقص در این پل ها افزایش یافته است. بنابراین، برای کاهش میزان هک پل های بلاک چین، اقدامات امنیتی سخت گیرانه تری در این نوع پلتفرم ها مورد نیاز است.