Em março de 2022, a rede de criptomoedas Ronin revelou que havia sido vítima de um dos maiores hacks de todos os tempos, sofrendo uma violação que permitia aos invasores roubar mais de US$ 540 milhões no valor de moedas Ethereum e USD. O incidente viu hackers explorarem uma vulnerabilidade em um serviço conhecido como Ronin Bridge. É um dos vários ataques bem-sucedidos em “pontes de blockchain” recentemente que chamaram a atenção para suas ineficiências de segurança inerentes.
As pontes de blockchain, às vezes chamadas de pontes de rede, são serviços que possibilitam aos detentores de criptomoedas mover seus ativos digitais de uma blockchain para outra. Eles fornecem um papel importante, porque as criptomoedas geralmente são isoladas e carecem de interoperabilidade, o que significa que você pode enviar Bitcoin para um endereço de carteira Ethereum, por exemplo. Devido a essa natureza isolada, as pontes surgiram como um mecanismo-chave dentro da economia criptográfica.
Os serviços de ponte na verdade não transferem um tipo de ativo digital para outra cadeia. Em vez disso, o que eles fazem é “empacotar” tokens de criptomoeda para convertê-los em um novo ativo na outra cadeia. Portanto, se um usuário quiser conectar o Bitcoin a Solana, a ponte basicamente congelará o BTC original, bloqueando-o em um endereço de carteira, antes de cuspir o que é conhecido como BTC encapsulado (WBTC) que pode ser usado na segunda cadeia. Pode ser pensado como uma espécie de vale-presente que fornece exatamente o mesmo valor monetário, que só pode ser usado em uma loja específica.
Devido à maneira como funcionam, as pontes, portanto, mantêm reservas significativas de tokens de criptomoeda bloqueados em contratos inteligentes, e essas reservas as tornam especialmente atraentes para hackers.
Como os especialistas em criptomoedas sabem muito bem, qualquer valor mantido na cadeia está sujeito a ataques a qualquer hora do dia. A internet nunca fica offline, o que significa que os tokens mantidos por qualquer ponte sempre podem ser acessados.
Ronin Hack mostra o perigo da centralização
Foi uma configuração fortemente centralizada que resultou da decisão do Axie Dao de configurar um nó RPC sem gás em novembro de 2021 para tentar corrigir o congestionamento da rede. O DAO permitiu que as chaves Sky Mavis assinassem transações em seu nome. Era para ser apenas um arranjo temporário, mas a lista de permissões nunca foi revogada. este criou uma abertura para os atacantes – que dizem ser o Grupo Lazarus, patrocinado pela Coreia do Norte – que usou técnicas de engenharia social para comprometer as quatro chaves do Sky Mavis. Os hackers então descobriram uma vulnerabilidade no código do RPC, dando a ele o controle de um quinto validador e permitindo que ele fizesse uma retirada ilícita.
O principal problema foi que o sistema de assinatura múltipla do Ronin para assinar transações foi comprometido devido à falta de descentralização. Ele ilustra a fraqueza dos mecanismos de segurança onde a maior parte da governança está concentrada nas mãos de uma única entidade.
Persistem as vulnerabilidades do contrato inteligente
O Qubit Bridge foi hackeado devido ao que foi dito ser um “erro lógico” dentro do código de seu contrato inteligente. A vulnerabilidade permitiu que o hacker manipulasse a ponte usando dados maliciosos, para que ele pudesse retirar tokens BSC sem fazer nenhum depósito no Ethereum. Um autópsia do ataque descobriu que o contrato inteligente QBridge não verificou corretamente se a quantidade necessária de ETH estava bloqueada. Em vez disso, o hacker conseguiu mostrar uma prova falsa de um depósito inexistente.
O incidente serviu para destacar como as vulnerabilidades de contratos inteligentes continuam sendo um problema persistente em DeFi e especialmente para pontes de blockchain. A grande maioria dos ataques de ponte tem como alvo bugs em contratos inteligentes, que são contratos automatizados que se auto-executam quando certas condições são atendidas.
As pontes são a chave para expandir o alcance das criptomoedas
Construindo pontes melhores
A boa notícia é que existem pessoas no setor que reconhecem a importância da conectividade segura do blockchain. Uma perspectiva empolgante é AllianceBlock's altamente promissor Ponte da Aliança, que suporta as principais redes, incluindo Ethereum, Binance Smart Chain, Avalanche, Polygon, Arbitrum, Optimism e Energy Web com uma infraestrutura exclusiva que é mais descentralizada e oferece desempenho mais rápido e seguro.
Ao contrário das pontes centralizadas, que dependem de uma única ou apenas algumas entidades para verificar se as transações são legítimas, as pontes descentralizadas são baseadas nos mesmos princípios do próprio blockchain. Existem vários operadores que utilizam mecanismos de consenso bem estruturados para estabelecer a validade das transações. AllianceBridge é uma ponte descentralizada que desenvolveu um método único para garantir que o consenso seja alcançado.
Tal como acontece com outros, AllianceBridge bloqueia os tokens que recebe em um contrato inteligente e, em seguida, emite tokens encapsulados no blockchain de destino. Esses tokens encapsulados existirão na segunda cadeia até que o usuário decida resgatá-los na rede original. Nesse ponto, os tokens encapsulados são queimados, o que significa que eles deixam de existir, enquanto os tokens originais na cadeia nativa são desbloqueados.
A diferença da AllianceBridge é que ela emprega uma rede de operadores de ponte compatível com EVM. Além disso, ele aproveita o robusto sistema de terceiros Serviço de Consenso Hedera Hashgraph que é alimentado por um inovador “fofoca-sobre-fofoca” algoritmo de consenso.
Usando o serviço HCS, os aplicativos e redes blockchain podem enviar mensagens para o livro-razão público da Hedera, onde são carimbadas e ordenadas com total transparência. Isso possibilita que a AllianceBridge chegue a um consenso sem manter a sincronização entre seus operadores de ponte. Isso significa desempenho mais rápido com alto grau de descentralização, enquanto o HCS fornece uma camada extra de confiança que torna a ponte mais segura.
Os contratos inteligentes da AllianceBridge, que são usados para bloquear os ativos originais e cunhar e queimar tokens encapsulados, fornecem ainda mais segurança. Toda a base de código do contrato inteligente foi escrita para ressoar com o padrão EIP-2535 e foi totalmente auditado pela Omniscia. Durante a auditoria, a Omniscia apontou uma série de problemas potenciais que foram prontamente corrigidos pela AllianceBlock antes que o código fosse lançado.
A segurança e a confiabilidade do AllianceBridge desempenharam um papel fundamental na expansão da utilidade do conjunto de ofertas DeFi do AllianceBlock, incluindo Terminal DeFi, que fornece uma maneira fácil para os projetos lançarem campanhas de mineração de liquidez e staking em várias redes e dApps suportados. Com seu protocolo de interoperabilidade de blockchain seguro, a AllianceBlock está construindo a base robusta que um ecossistema Web3 rico e interconectado precisa para crescer e evoluir.
- Propaganda -
Source: https://thecryptobasic.com/2022/09/21/web3-wont-go-mainstream-until-there-is-seamless-blockchain-integration-with-more-and-more-bridge-attacks-what-does-this-mean/?utm_source=rss&utm_medium=rss&utm_campaign=web3-wont-go-mainstream-until-there-is-seamless-blockchain-integration-with-more-and-more-bridge-attacks-what-does-this-mean