Часть II. Мосты. Перечень. Плюсы и минусы. Будущее
Первая часть: hub.forklog.com/chast-i-mosty-perechen-plyusy-i-minusy-budushhee.
Главная проблема мостов
Какая? Централизация ликвидности: не важно, делаете ли вы обмен обёрнутыми активами, или “нативными” — всё одно, если ликвидность централизована. А она, поверьте, централизована на всех современных решениях.
Примеры взломов
Общие вводные:
- Сколько украли? Около $326 000 000
- Когда? Февраль 2022
- Что взломали? “Злоумышленник воспользовался неким багом, чтобы обмануть системы Wormhole и выпустил намного больше токенов, чем предоставил изначально”
- Какова фича взлома? Обход подписи: “корень проблемы был связан с верификацией входных данных, а эксплоит злоумышленника позволял полностью обойти проверку подписи”.
Как видим: подпись была подделана ровно и именно из-за децентрализации.
Общие вводные:
- Сколько украли? Более $600 000 00
- Когда? Март 2022
- Что взломали? Фактически — валидаторов моста
- Какова фича взлома? Социальная инженерия: “Злоумышленник использовал хакнутые приватные ключи для подделки вывода средств”.
Опять же — крайне просто отследить, что централизация ликвидности моста здесь сыграла ключевую роль.
Общие вводные:
- Сколько украли? Более $100 000 000
- Когда? Июнь 2022
- Что взломали? Целевые компьютеры с помощью малвари TraderTraitor
- Какова фича взлома? Самое важное, что о взломе можно было догадаться заранее
Самое важное, что здесь взлом централизованной ликвидности компенсировался децентрализованным решением сообщества о компенсациях, что не отменяет слабости именно ликвидности.
Общие вводные:
- Сколько украли? Около $200 000 000
- Когда? Август 2022
- Что взломали? “Атака произошла из-за неправильной конфигурации основного смарт-контракта проекта, допущенной во время обновления”
- Какова фича взлома? Он был децентрализованный: каждый, кто видел ошибку — забирал себе ликвидность
И это — яркий пример централизации ликвидности. Идём дальше. Для тех, кто хочет вникнуть в технические детали — рекомендую изучить отчёт Certik: https://www.certik.com/resources/blog/28fMavD63CpZJOKOjb9DX3-nomad-bridge-exploit-incident-analysis.
Можно ли решить эту проблему?
Мне видится, что да. Путей несколько. Отмечу три:
- Выход в нормальный ZKP-мир, где централизации будет меньше: на сегодня мне ближе всего вот это решение, но есть масса иных: https://appv1.envelop.is/crossings;
- Децентрализация сначала фронтенда (потому что без этого всё равно будет целая куча атак и не только на кучу, если понимаете отсылку), а уже после — и переход на уровень ниже;
- Важно понять, что вся система с супер-узлами, которые ограничены по количеству, — всегда будет уязвима: и к Сибилла-подобным атакам, и к банальному фишингу и социальной инженерии, и уж тем более — к более сложным нападениям.
Но главная проблема, как и всегда, лежит не в области технологии, а идеологии: VC, инвестирующие в мосты, надеются на создание “самых крупных среди всех”, чтобы всю ликвидность завести на себя.
Поэтому сейчас крайне интересно наблюдать за рождением атомарных свопов 2.0, противостоянием мультичейн-решений (Cosmos, Polkadot, Avalanche, etc. & EVM) и рождением инноваций в области именно мостов: в частности, мы вышли из эпохи обёрнутых активов, чтобы… вернуться к ним уже в стане программируемых ассетов.
Но это — уже иная история, а к теме мостов мы вернёмся ещё и не раз. Пока же всё и
До!
Comments