背景
最初のレベルのタイトル
背景
旧正月を満喫していた2月3日、仮想通貨業界でクロスチェーンプロトコル「ワームホール」がハッキングされ、12万イーサリアム(約3億2,000万米ドル)もの損失を被る高額ハッキング事件が発生した。 ). これは、DeFi史上最大の盗難に次いで2番目に多い盗難額です。
偶然にも、DeFi 史上最大と 2 番目に大きな盗難がクロスチェーン プロジェクトで発生しました。そして、そのような懸念は、少し前に多くの議論を引き起こした「将来はマルチチェーンになるだろう、そして私たちはクロスチェーンアプリケーションについて悲観的である」という V 神の視点を誰もが簡単に思い出させる可能性があります。
今回の盗難事件はどうなったのか、クロスチェーンは本当にV神のようになるのか?ポルカドット生態学の実践者がこの盗難をどう見るかについて話しましょう。
窃盗はクロスチェーンの犯罪ではない、クロスチェーン市場にはまだ明るい未来がある
それで、ワームホールが盗まれたのはどうなったのでしょうか?ワームホールの盗難は「クロスチェーン」市場の終焉を示しているのでしょうか?これら 2 つの質問を説明する前に、ワームホールとは一体何なのかを確認してみましょう。
ワームホールは、イーサリアム初の双方向クロスチェーンブリッジであるソラナです。ワームホールを使用すると、ユーザーは ERC20 トークンをイーサリアム スマート コントラクトにロックし、対応する SPL トークンを Solana 上でミントすることができます。 Solana 上で最大のクロスチェーン ブリッジとして、Wormhole には、現在最も人気のある NFT の 1 つである CryptoPunks を含む、イーサリアムと Solana NFT をチェーン全体に送信できる NFT 認証ツールもあります。
現在、ワームホールにロックされている価値は 10 億米ドルを超えており、Terra、Solana、Ethereum、Binance Smart Chain、Avalanche、Polygon を含む 6 つの主要なパブリック チェーンをサポートしています。この盗難が起こるまでは、注目を集めるスタープロジェクトとして、Wormhole の未来は明るいように見えました。
一夜にして約3億ドル相当の12万wETHが盗まれ、DeFi史上2番目に大規模なハッキング事件となった。
ワームホール事件もポリネットワーク事件もクロスチェーンプロトコルで発生しましたが、クロスチェーンプロトコルが原罪ということでしょうか?イベントの簡単な復元を実行してみましょう。
まず、攻撃者は Solana 上で 0.1 ワームホール ETH を鋳造し、「転送メッセージ」コントラクト内の「post_vaa」関数を取得し、次に外部コントラクトをロードすることで署名チェック コントラクトをバイパスし、ワームホール関数「complete_wrapped」の必須パラメーターを生成しました。そして無限鋳造。これらすべての根本的な原因は、ワームホールがパラメーターで必要なコントラクトの最新のアップグレードを行わずに、古いシステム コントラクトを使用していたことにあります。
一言で言えば、ハッカーは少量の試行で機能を取得し、外部契約を通じてワームホールのプロトコル検証を回避し、120,000 ETH (wETH) を騙し取り、93,750 ETH の送金に成功し、残りの wETH は緊急にソラナにロックされました。そして、これはワームホールに損失をもたらすだけでなく、wETHの減価償却につながり、最終的にはそれに基づく一部のプロジェクトの破産につながる可能性があります。
ワームホール事件は再び私たちに警鐘を鳴らし、クロスチェーンプロトコルのセキュリティ問題を歴史の舞台に押し上げました。コミュニティ内では白熱した議論が巻き起こり、今年初めの「クロスチェーン」に関する神の議論が、またしても古い書類の山から掘り出され、まるで神の予言のようだった。
V God は Reddit リリースで指摘しました、「100Solana-WETH を取得するために 100ETH をソラナの橋に移動し、その後イーサリアムが 51% に攻撃された場合、何が起こるでしょうか?
攻撃者は自分の ETH の束を Solana-WETH に預け、Solana 側がそれを確認するとすぐにそのトランザクションをイーサリアム側で復元します。 Solana-WETH 契約は現在完全にはサポートされていません。おそらく、あなたの 100Solana-WETH は現在 60ETH の価値しかありません。コンセンサスを完全に検証するための完璧な ZK-SNARK ベースのブリッジがあっても、そのような 51% 攻撃による盗難に対して依然として脆弱です。 」
しかし、本当にそうなのでしょうか?しかし実際には、V 神が提起した問題はワームホール事件とは何の関係もありません。
Vitalik氏は、チェーン間で相互依存するDAppsが多数生成されているため、いずれかのチェーンが51%攻撃を受けると、全身感染につながり、経済システム全体の経済を脅かす可能性があると指摘した。彼は、イーサリアム上のアプリケーションは相互に緊密に接続されるべきであり、Avax 上のアプリケーションはクロスチェーンではなく相互に緊密に接続されるべきだと信じています。クロスチェーンは、ブロックチェーン システム全体の攻撃に対する抵抗力を 51% 低下させます。
ワームホール事件には 51% 攻撃はなく、組織的な感染による盗難もなく、契約の抜け穴があるだけです。窃盗はクロスチェーン犯罪ではありません。
ただし、「Solana でイーサリアム ネイティブ資産を保持したり、イーサリアムで Solana ネイティブ資産を保持したりするよりも、イーサリアム ネイティブ資産をイーサリアムで保持したり、Solana ネイティブ資産を Solana で保持したりするほうが常に良い」ということは認めなければなりません。「安全性」。
クロスチェーン資産の盗難の背後にあるのは、クロスチェーンの犯罪ではなく、ロックされたポジションと複雑なプロセスの急速な発展です。膨大な資金と困難なクラッキングプロセスは、ハッカーの注目を集める巨大なケーキのようなものです。
ワームホール事件やポリネットワーク事件は契約の抜け穴によって引き起こされたものであり、プロジェクト関係者にさらなる反省を与えており、クロスチェーン取引イベントの検証や契約権限管理の設計には一層の注意が必要と思われる。
最初のレベルのタイトル
エコロジーはこのクロスチェーン盗難をどのように見ていますか?
Polkadot は最も有名なクロスチェーン プロジェクトの 1 つであるため、誰もが Polkadot の状況を非常に心配しているはずです。私たちは、Acala の共同創設者である Chen Xiliang 氏、Moonbeam 中国語コミュニティの Yuki 氏、Song Mingshi 氏をご招待しました。アスター中国人エリアの責任者に、彼らがこのクロスチェーン盗難をどのように見ているかを見てください。注:以下はあくまで個人的な意見です。
Acala 共同創設者、Chen Xiliang 氏は次のように述べています。
現時点では、将来のブロックチェーン エコロジーはマルチチェーン エコロジーになると一般に考えられています。さまざまなブロックチェーンはそれぞれのアプリケーション シナリオに合わせて最適化できるため、総合的な観点から単一のチェーンが他のすべてのチェーンよりも優れていることは技術的に不可能です。
各チェーンはサーバーのようなものですが、さまざまなアプリケーションを実行できますが、文字通り、各サーバーが直接相互接続されているため、今日のインターネットが存在することができます。
クロスチェーンブリッジは、異なるブロックチェーンが相互に通信できるようにするテクノロジーの 1 つです。ワームホールを含め、主流のブリッジは閾値署名をベースとした半集中型の技術であり、署名者が協力して悪事を行ったり、秘密鍵が漏洩したり、署名検証スキームに抜け穴(このワームホールの抜け穴)がある場合、攻撃者はほぼすべての攻撃を実行できます。クロスチェーン資産の無制限の発行により、重大な損失が発生します。
では、これは何を意味するのでしょうか?ワームホールチームのスキルが足りないからでしょうか?この半集中型クロスチェーンテクノロジーにはこれほど大きなセキュリティリスクがあることを知りながら、ほとんどすべての主流クロスチェーンブリッジが依然としてこのテクノロジーを使用しているのはなぜでしょうか?
主な理由は、ビットコインやイーサリアムを含む多くの L1 が設計時にクロスチェーンの互換性を考慮していなかったため、より安全なクロスチェーン テクノロジーの実装が非常に困難になったことです。
主流の L1 は EVM 環境であり、EVM でサポートされる暗号化アルゴリズムは非常に限られており、多くの計算を必要とする暗号化アルゴリズムを実装するために EVM を直接使用すると、非常に高いガスが発生し、ブロックでサポートされる最大ガスを超えることもあります。このため、シンプルで実装が簡単なマルチシグネチャ ブリッジが最もコスト効率の高い選択肢となります。
Wormhole のようなマルチシグネチャ ブリッジが現時点では最良のソリューションである可能性がありますが、これが長期的に最適なソリューションであるという意味ではありません。
Polkadot の共有セキュリティ設計は、コンセンサス レベルからクロスチェーン メッセージを処理する際の最も困難な問題の 1 つであるロールバック攻撃を解決します。パラチェーンをロールバックしたい場合は、Polkadot メインチェーンをロールバックする必要があり、他のすべてのパラチェーンも同時にロールバックされます。全員が一緒にロールバックすれば、データの不整合は発生しません。
W3F はまた、Polkadot 用の XCM クロスチェーン メッセージの一般的な形式を設計および実装し、クロスチェーン コントラクト コール、2 つ以上のチェーンのクロスチェーン メッセージなど、より複雑なクロスチェーン インタラクションの基礎を築きました。 -チェーンテクノロジー 強固な基盤。
AcalaチームはXCMバージョンの設計とテストに最初に参加し、テストでクロスチェーン転送を初めて実現し、KaruraはKusamaでクロスチェーン機能を実現した最初のネットワークでもありました。
現在、Karura は XCM と Kusama、Statmine、Bifrost およびその他のチェーンを通じて安全なクロスチェーン転送を開始し、また XCM を通じて完全に分散化されたクロスチェーン プレッジ デリバティブ製品 LKSM を実現し、ユーザーは Kusama プレッジを楽しみながら収入を得ることができます。 LKSM を通じて Karura 上のさまざまな DeFi プロトコルに参加できます。
クロスチェーン テクノロジーの成熟と改善により、Polkadot エコシステムではより多くの異なるタイプのクロスチェーン アプリケーションが登場し、Web3 におけるブロックチェーン インターネットのビジョンが真に実現されるでしょう。
Moonbeam 中国語コミュニティマネージャー、Yuki:
ブロックチェーン間の情報の孤島は徐々に弱まりつつあり、開発者はマルチチェーンの世界におけるクロスチェーンブリッジの機会にすぐに気づき始めています。ユーザーはブロックチェーンを越えて資産を利用したいという要求がますます高まっており、クロスチェーンブリッジは、異なる生態を横断し、資産の流れを運ぶ「外交官」として、ユーザーが安全性と低コストを前提にクロスチェーンを取得・利用できるようにする役割を担っています。資産の要素。
Moonbeam エコシステムでは、Nomad、Axelar、Cbridge、Multi-chain、Connext およびその他のチームなど、多くのクロスチェーン ブリッジ開発者がセキュリティと相互運用性のために熱心に取り組んでいることを非常に嬉しく思い、ユーザーの現実に対するさらなるソリューションを期待しています。必要なクロスチェーン ブリッジ プロジェクトにより、異なるチェーン間の相互運用性とセキュリティ パフォーマンスが向上します。
Astar China 代表の Song Mingshi 氏は次のように述べています。
ワームホールのクロスチェーン盗難事件の原因は、ハッカーが保護者の署名をだましてソラナ上でETHを鋳造し、盗まれたETH資産をイーサリアム上でロック解除したことであり、これが再びクロスチェーンのセキュリティに警鐘を鳴らした。
現在、最も一般的なクロスチェーン ソリューションは依然として公証人メカニズムを通じて実現される異種クロスチェーン ブリッジであり、これはチェーン A 上の資産をロックし、1:1 マッピングでチェーン B 上に新しい資産を発行することによって実現されます。 Multichain、cBridge などのチェーン ブリッジはすべて公証人スキームを使用します。
異種クロスチェーン ブリッジのセキュリティ リスクは、本質的に、チェーン A とチェーン B の異なるセキュリティ状態の不一致から生じます。対照的に、Polkadot の XCMP クロスチェーン メカニズムは、そのような問題を完全に排除します。
Polkadot 並列チェーン間のセキュリティは共有されます。並列チェーン間のメッセージとアセット転送情報は、並列チェーン コレクターによって入力キューと出力キューにパックされ、リレー チェーン バリデーターによって検証されます。プロセス全体は、によって保証されます。クロスチェーンメッセージの正確性とチェーンのセキュリティは、サードパーティの検証者を信頼する必要はなく、セキュリティの違いも関係しません。この観点から見ると、Polkadot のクロスチェーン メカニズムは、マルチチェーンのコンテキストにおける相互運用性とクロスチェーン セキュリティのジレンマを十分に解決できます。
最初のレベルのタイトル
挫折は歴史の歯車を止めることはできない
クロスチェーンプロジェクトの盗難事件は多発しており、その金額は膨大であり、複数のチェーンやアプリケーションに関わるため広範囲に影響を及ぼしますが、技術進歩や事業展開の観点からはハッカー問題は発生していません。歴史に名を残すこととなり、開発の進歩を妨げます。
ハッキング インシデントは、設計メカニズムまたはコード レベルの抜け穴が原因で発生し、ハッカーによって財産の損失を引き起こすために悪用されます。これは人為的な事故であり、突破できない技術的なボトルネックによるものではないため、このような問題を消化して対処する方法はたくさんあります。主に事前の予防、事後の修復、そして新たな解決策です。
1. 事前の予防
コード監査は、現在のプロジェクト関係者がプロジェクトを正式に開始する前に実行する必要のあるステップとなっており、低レベルのエラーのほとんどを見つけて解決し、以前に発生した抜け穴を回避できるため、コード監査は大幅に改善されます。プロジェクトのセキュリティ。
ただし、コード監査は主に防御を目的としており、経験に依存しています。いくつかの新たな技術的ソリューションに直面すると、攻撃者であるハッカーは、監査されたコード内に新たな抜け穴を見つけることができます。しかし、成熟したテクノロジは、多くの場合、継続的な監査を通じて行われます。より多くの脆弱性が発見され解決され、テクノロジーが十分に成熟すると、ハッキング事件が発生する可能性ははるかに低くなります。
もちろん、最も重要な前提条件の 1 つは、この市場が現実的かつ効果的であり、ハッキング事件によって致命傷を受けることがないということです。そのため、需要が存在する限り、この方向に開発されるアプリケーションは今後も存在するでしょう。前任者に基づいて、それはより良く、より安全になるでしょう。この方法によってのみ、テクノロジーはより成熟することができます。
2. 事後対応
①直接的かつ効果的、お金で解決
事後救済、やや後付けのような気もするが、見方を変えると今からでも遅くはないとも言える。
Alipayの開始当初は、比較的新しい技術と多くの抜け穴のため、盗難が頻繁に発生しましたが、その当時、Alipayは誰もが安心して利用できるように、お金の方法を採用しました。このテクノロジーが初心者の時期を乗り越えて成熟することを保証するために、Alipay は侵入不可能な巨大なセキュリティ要塞を構築しました。
同様に、仮想通貨分野での盗難事件に対しても、自分のビジネスに問題がなく、市場が大きく、抜け穴による損失が発生した場合、その損失を弁済して問題を解決すれば、抜け穴がある場合でも、引き続き運用を続けることができます。
同じ手法は、クロスチェーン プロトコル ワームホールの 3 億 2,000 万ドルのハッキング事件の解決にも使用されました。攻撃の直後、Jump Trading の暗号化投資部門である Jump Crypto が介入し、自腹で 120,000 ETH を補充し、わずか 1 日後にはワームホール ブリッジがオンラインに戻りました。
②技術的手段で解決する
プロジェクト当事者は、ハッカーの成功を防ぐために、ブロックチェーンを攻撃される前の時点にロールバックできます。たとえば、Monero ベースのプライバシー ステーブルコイン プロトコルである Haven プロトコルは、鋳造の抜け穴をロールバックして修復することでハッキングの影響を解決しました。
もう 1 つの例は、最も典型的なイーサリアム「DAO」ハッキング事件です。最終的には、当時のイーサリアムをハードフォークしてトランザクションをロールバックすることで、盗まれた資産は回収されました。しかし、イーサリアムも 2 つの異なるプロジェクトに分割されました。イーサリアム クラシック ( ETC) と今日知られているイーサリアム (ETH) です。
③ ガバナンスによる
現在、すべてのパブリック チェーンは、チェーンの将来の発展を管理し、関連業務を処理するために分散型ガバナンスに移行しています。たとえば、EOSはかつて、盗まれた資金に対処するためにECAF組織(EOSコア仲裁フォーラム、EOSコア仲裁組織)を設立しました。
したがって、オンチェーンガバナンスは検討する価値のある方向性であり、将来のブロックチェーン分野の重要な部分になるでしょう。生態系の健全な発展を確保するために、分散的な方法で一部の行動を仲裁し、一部の悪い行動に積極的に介入する方法は大きな問題となるが、成功し実現可能な計画があれば、すぐに広まるだろう。さまざまなブロックチェーンに連携し、各チェーンの発展を伴走します。
④地域の力を結集する
たとえば、一部の暗号化資産は USDT などの中央機関の承認を通じて発行されており、これらの機関に連絡することで盗まれた資金を凍結できます。あるいは、警察やその他の行政機関など、外部の統治機関を利用してハッカーに圧力をかけ、さらには追跡することで、ハッカーに資金を返還させたり、ハッカーを逮捕したりすることもできます。
DeFi 史上最大の盗難事件である PolyNetwork は、コミュニティの力のおかげで無事に解決されました。
副題
古いソリューションには問題がありますが、テクノロジーはまだ進歩しており、新しいテクノロジーの導入によって以前の問題はもはや難しくなくなるかもしれません。たとえば、Polkadot によって開始された、より分散化されたクロスチェーン インタラクション手法は、従う価値があります。
また、仕組み設計においては「分散化理論」だけに頼る必要はなく、半分散化した技術的解決策も数多く考えられたり、複数のパブリックチェーンのガバナンス主体を統合したりすることも可能です。共同で行う設計 いくつかのガバナンス基金を設立して、保険基金プールメカニズムを構築するか、同様の共同治療計画を確立します(クロスチェーン盗難が発生したときに同時にロールバックするなど)。
繰り返しになりますが、市場が存在する限り、歴史の歯車の進行を止めることはできません。ハッカー問題はブロックチェーン分野だけの問題ではなく、新しい技術がある限り常に問題はつきまといますが、今回のような事件があるからこそ、技術の継承がより積極的に行われることになると思います。ブロックチェーンの世界も、間違いなく難攻不落の成熟した技術に発展するでしょう。
追記
最初のレベルのタイトル
追記
つい数日前に Gavin が XCM の新しいアップグレードについて言及しましたが、私たちはその開発に細心の注意を払う必要があります。
先週、Polkadot の創設者である Gavin Wood 氏は Twitter で Polkadot の最新の技術的進歩を共有し、XCM v3 ブリッジのインフラストラクチャはほぼ準備ができていると述べ、これは Polkadot 上のパラチェーンが相互に XCM を送信できることを意味し、また、Polkadot 上のパラチェーンに送信できることを意味すると述べました。草間さん。
したがって、Polkadot のクロスチェーンは、クロスチェーンの発展に新たな物語をもたらす可能性があります。結局のところ、現段階では確かにクロスチェーンには無視できないセキュリティ上の問題がいくつかありますが、クロスチェーンの改善により、それを信じる理由があります。 XCM、クロスチェーンプロセスも変化するでしょう、これは仮想通貨市場そのものに限らず、ブロックチェーン技術の発展において注目し、期待しなければならないことです。価値と価格のバランスをとるために。
※ポルカドット生態研究所が提供する情報は投資のヒントを示すものではありません、掲載記事はあくまで個人的な意見であり、参考としてご提供ください 中国ではデジタル資産に関する政策や規制がないため、中国本土のユーザーはご利用ください暗号通貨の発展に細心の注意を払う必要があります。
※ポルカドット生態研究所が提供する情報は投資のヒントを示すものではありません、掲載記事はあくまで個人的な意見であり、参考としてご提供ください 中国ではデジタル資産に関する政策や規制がないため、中国本土のユーザーはご利用ください暗号通貨の発展に細心の注意を払う必要があります。
https://t.me/polkadot_eri
みなさん、ポルカドット生態研究所のミラーアドレスへようこそ:
https://mirror.xyz/0x9A259b3a2316281Cc948cE2Cf1Ac610a79844f05
IOS
Android