Analysis
Kết thúc vấn nạn Bridge Hack
#
Marketing
10 phút đọc
07/09/2023
1
0
0

icon-menu

Tháng trước, giữa tất cả sự phấn khích xung quanh việc hỗ trợ crypto của tổ chức và các chiến thắng về mặt pháp lý, DeFi được nhắc đến một lần nữa về một trong những lỗ hổng lớn nhất của nó – bảo mật cross-chain.

Hoặc có lẽ là DeFi thiếu đi điều đó...

Multichain Bridge, có thời điểm đã tự hào với hơn 10 tỷ đô la TVL, đã trải qua một vụ khai thác lỗ hổng bí ẩn trong đó 130 triệu đô la tiền của người dùng đã bị rút cạn và bị mất. Sự việc đã pushed TVH (Total Value Hacked) trên các bridge đạt con số khổng lồ 2,66 tỷ đô la Mỹ!

Số lượng quỹ bị hack lớn đến mức đáng sợ này đặt ra câu hỏi – tại sao các bridge vẫn dễ bị tổn thương như vậy? Để hiểu rõ, chúng ta hãy nhanh chóng xem lại các nguyên tắc cơ bản về cầu nối là gì và cách chúng hoạt động.

Cầu nối TL;DR

Định nghĩ thông thường về Cầu nối đơn giản nhất là một thành phần kết nối giữa điểm A và điểm B. Cầu nối blockchain cũng không khác – chúng cho phép một sender trên chuỗi A để dễ dàng giao tiếp với một receiver trên chuỗi B.

Những cây cầu này ra đời nhằm đáp ứng nhu cầu về khả năng tương tác giữa các chuỗi khác nhau trong một thế giới đa chuỗi đang phát triển. Theo mặc định, blockchain giống như những hòn đảo bị mắc kẹt không có cơ chế riêng để liên lạc với bên ngoài.

Bridges đã giải quyết vấn đề này bằng cách xây dựng các con đường liên lạc cần thiết, cho phép người dùng chuyển tài sản và giá trị giữa các chuỗi mà không cần triển khai thêm vốn onchain. Chúng cũng cho phép các nhà phát triển ứng dụng xây dựng và triển khai các chức năng cross-chain khác nhau như vay/cho vay, quản trị, v.v.

Khả năng tương tác cross-chain tạo tiền đề cho một bộ ứng dụng và tiện ích onchain mới trong crypto.

Sự đánh đổi an ninh cố hữu

Blockchain dựa vào một tập hợp các thực thể được gọi là trình xác thực để xác minh và thực hiện các giao dịch. Khi người dùng gửi giao dịch của họ để được thực hiện, họ tin tưởng trình xác thực sẽ hành động trung thực và hoàn thành giao dịch.

Các cầu nối hoạt động theo cách tương tự – chúng dựa vào các trình xác thực để xác minh và xử lý các giao dịch cross-chain. Trên thực tế, nhiều cây cầu (mặc dù không phải tất cả) đều đưa ra các layer tin cậy và bảo mật bổ sung, do đó có nhiều rủi ro.

Bây giờ, bên dưới hãy cùng tìm hiểu các hệ thống xác minh phổ biến nhất mà các bridge sử dụng ngày nay để chúng ta có thể theo dõi những ưu điểm và nhược điểm của mỗi hệ thống.

Bridges được xác minh như thế nào? 👷‍♂️

Các cầu nối khác nhau sử dụng các cơ chế khác nhau để tạo điều kiện thuận lợi cho giao tiếp cross-chain – điểm khác biệt chính là bộ trình xác thực nào chịu trách nhiệm xác minh các giao dịch và dữ liệu khác được trao đổi.

Nói chung, các cầu nối được xác minh từ bên ngoài, nguyên bản hoặc cục bộ.

◼️ Xác minh bên ngoài (External)

Các cầu nối được xác minh bên ngoài giới thiệu một bộ trình xác thực bên ngoài chịu trách nhiệm xác minh dữ liệu giao dịch truyền qua các chuỗi. Bất kỳ ai sử dụng những cây cầu này đều phải chịu thêm rủi ro vì bộ trình xác thực mới này mang đến các giả định tin cậy duy nhất của riêng nó bên cạnh chuỗi nguồn và đích.

Những cầu nối này thường áp dụng mô hình lock-and-mint – khóa tài sản gốc của người dùng trong ví trên chuỗi nguồn và minting số tiền tương đương trong tài sản “wrapped” trên chuỗi đích. Những ví đó được kiểm soát và vận hành bởi các trình xác thực bên ngoài, và bản thân cây cầu cũng vậy.

Mặc dù các loại cầu nối này thường tối ưu hóa về tốc độ và khả năng kết nối nhưng chúng dễ bị tấn công vì ví lưu trữ tài sản của người dùng trở thành mục tiêu sinh lợi cho hackers.

Một số sự kiện/thực thể cần lưu ý:

  • Ronin Bridge bị hack trị giá 625 triệu đô la Mỹ sau khi một hacker có thể giành quyền kiểm soát phần lớn các trình xác thực cho ví đa chữ ký – một trường hợp điển hình về khóa riêng tư bị xâm phạm!

  • Multichain đã triển khai mạng lưới Multi-Party Computation (MPC) của riêng mình để xác minh và ký kết các giao dịch. Cầu nối tiêu tốn 130 triệu USD bị cáo buộc rút tiền trái phép, ngay sau đó là việc bắt giữ Giám đốc điều hành. Mặc dù vẫn chưa được xác nhận liệu đây là một vụ hack bên ngoài hay một vụ rug pull nội bộ, nhưng vụ bắt giữ đã làm tổn hại đến các khóa MPC của nền tảng, buộc nhóm phải đóng cửa bridge vô thời hạn.

  • Thorchain là một chuỗi dành riêng cho ứng dụng, cũng đóng vai trò là DEX chuỗi chéo. Điều này có nghĩa là ngoài việc tin cậy các trình xác thực trên chuỗi nguồn và đích, người dùng cũng phải tin tưởng các trình xác thực trên chuỗi trung gian này. Mặc dù trình xác thực phải stake tài sản thế chấp có thể slashed để tham gia, nhưng cơ chế này vẫn không đảm bảo an toàn hơn như Thorchain đã từng bị hack trước đó 8 triệu đô la Mỹ.

◼️ Xác minh nguyên bản (Native)

Các cầu nối được xác minh nguyên bản chỉ dựa vào trình xác thực của các chuỗi cơ bản để xác minh các giao dịch cross-chain. Họ không giới thiệu một bộ trình xác thực mới và do đó không tạo thêm lớp tin cậy và rủi ro.

Những bridge này thường sử dụng hệ thống Light client và Relay. Trình xác thực có trách nhiệm tạo ra “proofs” về dữ liệu giao dịch đến từ chuỗi nguồn. Những bằng chứng này sau đó được truyền hoặc chuyển tiếp đến các hợp đồng thông minh được gọi là Light clients, xác minh nội dung của bằng chứng và cảnh báo trình xác thực trên chuỗi đích để hoàn tất giao dịch.

Mặc dù các hệ thống này nhìn chung an toàn hơn so với các cầu nối đã được xác minh bên ngoài nhưng chúng thường tiêu tốn nhiều tài nguyên vì các nhóm cần xây dựng hợp đồng thông minh trên mỗi chuỗi đích mới. Ngoài ra, toàn bộ quá trình được thực hiện trên chuỗi, điều này phát sinh chi phí cao cho việc thanh toán phí gas.

Giao thức Cosmos Inter-Blockchain Communications (IBC) là một ví dụ điển hình về một cây cầu được xác minh nguyên bản. Bằng cách sử dụng một light client đơn giản để xác minh các tin nhắn xuyên chuỗi, IBC cho phép Cosmos chains giao tiếp với nhau một cách liền mạch.

◼️ Xác minh cục bộ (Local)

Tương tự như các cầu nối được xác minh nguyên bản, các hệ thống được xác minh cục bộ không đưa bất kỳ bộ trình xác thực mới nào vào phương trình cross-chain. Trên thực tế, họ chỉ yêu cầu hai trình xác thực, một trình xác thực từ mỗi chuỗi, thay vì toàn bộ bộ trình xác thực.

Những trình xác thực này chịu trách nhiệm trao đổi bằng chứng cho chuỗi tương ứng của riêng họ – nếu cả hai bằng chứng đều hợp lệ thì trình xác thực có thể trao đổi tài sản và hoàn tất quy trình giao dịch.

Lưu ý rằng mô hình này được giới hạn ở việc chuyển giao tài sản và không cho phép truyền thông điệp tổng quát, điều này cho phép thực hiện các chức năng chuỗi chéo phức tạp hơn như vay/cho vay, quản trị, canh tác lợi nhuận, v.v. Ngoài ra, việc trao đổi bằng chứng có thể dẫn đến kết quả ở hiệu suất chậm hơn.

Một ví dụ về kiểu thiết kế cầu này là Connext. Người dùng có thể cung cấp thanh khoản trên các chuỗi được hỗ trợ cho cầu nối và một tập hợp các hợp đồng thông minh và đại lý ngoài chuỗi tạo điều kiện thuận lợi cho việc trao đổi tài sản bằng cách sử dụng nhóm thanh khoản nói trên.

Vào cuối ngày, tất cả chúng ta đều chỉ muốn ngừng trở nên gồ ghề...

Xây dựng các giải pháp cross-chain an toàn 🔐

Các giao thức cross-chain tiếp tục là chủ đề gây tranh cãi trong cộng đồng crypto vì các cầu nối vẫn là mục tiêu dễ bị khai thác – đến mức một số người tin rằng một thế giới đa chuỗi phân mảnh vẫn lớn hơn các rủi ro bảo mật của khả năng tương tác cross-chain.

Ví dụ, Vitalik Buterin trước đây từng giải thích tại sao anh ấy không quá lạc quan về các giao thức cross-chain:

… thực sự có một vài cộng đồng riêng biệt với các giá trị khác nhau và tốt hơn là họ nên sống riêng biệt hơn là tất cả đều tranh giành ảnh hưởng lên cùng một thứ… hoạt động cross-chain có tác dụng chống lại mạng lưới: mặc dù không có nhiều điều xảy ra trên, nó khá an toàn, nhưng càng xảy ra nhiều thì rủi ro càng tăng lên.

Mặt khác, một số người khác tin rằng việc hợp nhất thế giới đa chuỗi bị phân mảnh là chìa khóa để áp dụng hàng loạt và nắm bắt giá trị cho các blockchain và khả năng tương tác giữa các chuỗi sẽ cho phép điều này.

Quan trọng để có được quyền!

Dù bạn đứng về khả năng tương tác ở đâu, rõ ràng là chúng ta đang nhìn vào một tương lai multi-chain theo một nghĩa nào đó.

Chúng tôi đã chứng kiến ​​sự thăng trầm của nhiều L1 trong vài năm qua. Ngày nay, rollups đang là chủ đề bàn tán và tiền đề cho sự phát triển, với EIP-4844 được thiết lập để mang lại mức phí thấp hơn và thông lượng lớn hơn cho nhiều lần triển khai và các giao thức như Celestia mở đường cho thế giới của các mô-đun rollup.

Cho dù người dùng muốn vay/cho vay/canh tác trên các chuỗi, DAO đang muốn tham gia quản trị chuỗi chéo hay các doanh nghiệp đang mong muốn kết nối chuỗi riêng của họ với chuỗi công khai, thì nhu cầu về cơ sở hạ tầng chuỗi chéo sẽ tiếp tục tăng.

Việc thực thi các biện pháp bảo mật chặt chẽ hơn sẽ là một phần quan trọng trong việc phát triển giao tiếp cross-chain an toàn và cơ sở hạ tầng để hỗ trợ chức năng này sẽ rất quan trọng đối với tương lai của blockchain.

 

Bài viết được FXCE Crypto biên tập từ "Stopping Bridge Hack" của Bankless với mục đích cung cấp thông tin và phi lợi nhuận. Chúng tôi không khuyến nghị đầu tư và không chịu trách nhiệm cho các quyết định đầu tư liên quan đến nội dung bài dịch.

#Analysis
ic-comment-blueBình luận
#