배경
첫 번째 레벨 제목
배경
2월 3일 설 연휴를 즐기던 중 크립토 업계에서 또 한 차례 고가의 해킹 사건이 발생했습니다. ). DeFi 역사상 가장 큰 도난 사건에 이어 두 번째로 많은 금액이 도난당했습니다.
공교롭게도 DeFi 역사상 가장 큰 절도 사건과 두 번째로 큰 절도 사건이 크로스체인 프로젝트에서 발생했는데, 크로스체인이 필요한지, 즉 보안을 위해 존재해서는 안 되는지 걱정하지 않을 수 없습니다. 크로스 체인. 그리고 그러한 걱정은 얼마 전 많은 논의를 불러일으킨 V God의 관점인 "미래는 멀티체인이 될 것이며 우리는 크로스체인 애플리케이션에 대해 비관적입니다."를 떠올리게 할 수 있습니다.
이번 절도 사건은 어떻게 된 건지, 크로스체인은 과연 V 갓과 같을까? Polkadot 생태학의 실무자들이 이 도둑질을 어떻게 볼 것인지에 대해 이야기합시다.
절도는 크로스체인 범죄가 아니며, 크로스체인 시장은 여전히 밝은 미래를 가지고 있습니다.
그렇다면 웜홀이 도난당한 것은 어떻게 되었습니까? Wormhole의 절도는 "크로스 체인" 시장의 종말을 의미합니까? 이 두 가지 질문을 설명하기 전에 Wormhole이 정확히 무엇인지 검토해 봅시다.
웜홀은 이더리움 최초의 양방향 교차 체인 브리지인 솔라나입니다. Wormhole을 통해 사용자는 Ethereum 스마트 계약에서 ERC20 토큰을 잠그고 Solana에서 해당 SPL 토큰을 발행할 수 있습니다. Wormhole은 Solana에서 가장 큰 교차 체인 브리지로서 현재 가장 인기 있는 NFT 중 하나인 CryptoPunks를 포함하여 Ethereum 및 Solana NFT를 체인 전체에 보낼 수 있는 NFT 인증 도구를 보유하고 있습니다.
현재 Wormhole에 잠긴 가치는 미화 10억 달러를 초과하며 Terra, Solana, Ethereum, Binance Smart Chain, Avalanche 및 Polygon을 포함한 6개의 주요 퍼블릭 체인을 지원합니다. 세간의 이목을 끄는 스타 프로젝트로서 Wormhole의 미래는 이 절도가 일어나기 전까지는 밝아 보였습니다.
하룻밤 사이에 약 3억 달러 상당의 120,000 wETH가 도난당했으며 이는 DeFi 역사상 두 번째로 큰 해킹 사건이 되었습니다.
Wormhole 사건과 PolyNetwork 사건 모두 크로스체인 프로토콜에서 발생했는데, 크로스체인 프로토콜이 원죄라는 뜻인가요? 간단한 이벤트 복원을 수행해 보겠습니다.
처음에 공격자는 Solana에서 0.1 Wormhole ETH를 발행하고 "전송 메시지" 계약에서 "post_vaa" 기능을 얻은 다음 외부 계약을 로드하여 서명 확인 계약을 우회하고 Wormhole 기능 "complete_wrapped" 필수 매개변수를 생성했습니다. 그리고 무한 채굴. 이 모든 것의 근본 원인은 Wormhole이 매개변수에 필요한 계약에 대한 최신 업그레이드 없이 오래된 시스템 계약을 사용했기 때문입니다.
한 문장으로 해커는 소량의 시도를 통해 함수를 획득하고 외부 컨트랙트를 통해 Wormhole의 프로토콜 검증을 우회하여 120,000 ETH(wETH)를 사취하고 93,750 ETH를 성공적으로 전송했으며 나머지 wETH는 솔라나에 급히 잠겼습니다. 그리고 이것은 Wormhole에 손실을 가져올 뿐만 아니라 wETH의 가치 하락으로 이어질 수 있으며 결국 이를 기반으로 하는 일부 프로젝트의 파산으로 이어질 수 있습니다.
웜홀 사건은 우리에게 다시 한 번 경종을 울렸고, 크로스체인 프로토콜의 보안 문제를 역사의 무대로 밀어붙였습니다. 커뮤니티에서 열띤 토론을 촉발시켰고, 연초 '크로스체인'에 대한 신의 주장이 다시 한 번 낡은 종이 더미에서 파헤쳐져 마치 신의 예언처럼 보인다.
V God은 자신의 Reddit 릴리스에서 "100Solana-WETH를 얻기 위해 100ETH를 Solana의 브리지로 이동하고 이더리움이 51%의 공격을 받는다고 상상해 보십시오.
공격자는 자신의 ETH를 Solana-WETH에 예치한 다음 Solana 측에서 확인하는 즉시 이더리움 측에서 해당 트랜잭션을 복원합니다. Solana-WETH 계약은 현재 더 이상 완벽하게 지원되지 않습니다. 아마도 귀하의 100Solana-WETH는 현재 60ETH의 가치밖에 되지 않을 것입니다. 컨센서스를 완전히 검증하기 위한 완벽한 ZK-SNARK 기반 브리지가 있더라도 이러한 51% 공격으로 인한 도난에 여전히 취약합니다. "
하지만 정말 그렇습니까? 하지만 사실 브이갓이 제기한 문제는 웜홀 사건과 무관하다.
Vitalik은 체인 전반에 걸쳐 많은 상호 의존적 DApp의 생성으로 인해 어떤 체인이 51%의 공격을 받으면 전신 감염으로 이어져 전체 경제 시스템의 경제를 위협할 수 있다고 지적했습니다. 그는 이더리움의 애플리케이션은 서로 긴밀하게 연결되어야 하고 Avax의 애플리케이션은 크로스체인이 아닌 서로 긴밀하게 연결되어야 한다고 믿습니다. 크로스 체인은 전체 블록체인 시스템이 51% 공격에 저항하는 능력을 감소시킵니다.
웜홀 사건에는 51% 공격도 없고, 조직적 감염으로 인한 절도도 아니고 계약 허점일 뿐이다. 절도는 연쇄 범죄가 아닙니다.
우리는 "Ethereum 고유 자산을 Ethereum에 보유하거나 Solana 고유 자산을 Solana에 보유하는 것이 Ethereum 고유 자산을 Solana에 보유하거나 Solana 고유 자산을 Ethereum에 보유하는 것보다 항상 더 낫다"는 점을 인정해야 합니다.
교차 체인 자산 절도의 배후에는 교차 체인 범죄가 아니라 잠긴 위치와 복잡한 프로세스의 급속한 발전이 있습니다. 엄청난 양의 자금과 도전적인 크래킹 과정은 해커들의 관심을 끄는 거대한 케이크와 같습니다.
Wormhole 사건과 PolyNetwork 사건은 계약의 허점으로 인해 발생했으며, 이는 프로젝트 당사자에게 더 많은 생각을 하게 만들었습니다.크로스 체인 거래 이벤트의 검증 및 계약 권한 관리 설계에 더 많은 주의가 필요해 보입니다.
첫 번째 레벨 제목
생태학은 이 교차 체인 절도를 어떻게 봅니까?
Polkadot은 가장 잘 알려진 교차 체인 프로젝트 중 하나이므로 Polkadot의 상황에 대해 모두가 매우 우려하고 있을 것입니다.Acala의 공동 창립자 Chen Xiliang, Moonbeam 중국 커뮤니티의 Yuki 및 Song Mingshi를 친절하게 초대했습니다. Astar 중국 지역의 수장, 그들이 이 교차 사슬 절도를 어떻게 보는지 보십시오. 참고: 다음은 개인적인 의견입니다.
Acala 공동 창립자 Chen Xiliang:
현재 일반적으로 미래의 블록체인 생태계는 다중 체인 생태계가 될 것이라고 믿어집니다. 서로 다른 블록체인이 각각의 애플리케이션 시나리오에 맞게 최적화될 수 있기 때문에 단일 체인이 전반적인 관점에서 다른 모든 체인보다 우월하다는 것은 기술적으로 불가능해야 합니다.
각 체인은 다양한 애플리케이션을 실행할 수 있지만 서버와 같습니다. 하지만 각 서버가 직접 상호 연결되어 있기 때문에 문자 그대로 오늘날의 인터넷을 가질 수 있습니다.
크로스 체인 브리지는 서로 다른 블록체인이 서로 통신할 수 있게 해주는 기술 중 하나입니다. 웜홀을 비롯한 주류 브릿지는 임계값 서명을 기반으로 한 준중앙집중화 기술로, 서명자들이 협력하여 악을 행하거나 개인키가 유출되거나 서명 검증 방식에 허점이 있는 경우(이 웜홀 허점) 공격자는 거의 크로스체인 자산의 무제한 발행으로 심각한 손실 발생.
그래서 이것은 무엇을 의미합니까? 웜홀팀의 실력이 부족해서일까요? 거의 모든 주류 크로스체인 브릿지가 이 반중앙 집중식 크로스체인 기술이 그렇게 큰 보안 위험을 가지고 있음을 알면서도 여전히 이 기술을 사용하는 이유는 무엇입니까?
주된 이유는 비트코인과 이더리움을 비롯한 많은 L1이 설계 시 크로스체인 호환성을 고려하지 않았기 때문에 보다 안전한 크로스체인 기술을 구현하기가 매우 어려웠기 때문입니다.
주류인 L1은 EVM 환경이고 EVM이 지원하는 암호화 알고리즘은 매우 제한적이며 EVM을 직접 사용하여 많은 계산이 필요한 암호화 알고리즘을 구현하면 블록이 지원하는 최대 가스를 초과하는 매우 높은 가스가 발생합니다. 이것은 간단하고 구현하기 쉬운 다중 서명 브리지를 가장 비용 효율적인 선택으로 만듭니다.
Wormhole과 같은 다중 서명 브리지가 현재로서는 최상의 솔루션일 수 있지만 이것이 장기적으로 가장 적합한 솔루션이라는 의미는 아닙니다.
Polkadot의 공유 보안 설계는 합의 수준에서 교차 체인 메시지를 처리할 때 가장 어려운 문제 중 하나인 롤백 공격을 해결합니다. Parachain을 롤백하려면 Polkadot 메인 체인을 롤백해야 하며 다른 모든 Parachain은 동시에 롤백됩니다.모두 함께 롤백하면 데이터 불일치가 없습니다.
W3F는 또한 Polkadot용 XCM 크로스 체인 메시지의 일반 형식을 설계하고 구현하여 크로스 체인 계약 호출, 2개 이상의 체인의 크로스 체인 메시지 등을 포함하여 보다 복잡한 크로스 체인 상호 작용을 위한 토대를 마련했습니다. -체인 기술 견고한 기반.
Acala 팀은 XCM 버전의 설계 및 테스트에 가장 먼저 참여했으며 테스트에서 크로스 체인 전송을 처음으로 구현했으며 Karura도 Kusama에서 크로스 체인 기능을 구현한 첫 번째 네트워크입니다.
현재 Karura는 XCM 및 Kusama, Statemine, Bifrost 및 기타 체인을 통해 안전한 교차 체인 전송을 시작했으며 XCM을 통해 완전히 분산된 교차 체인 서약 파생 제품인 LKSM을 실현하여 사용자가 Kusama 서약을 즐길 수 있도록 합니다. LKSM을 통해 Karura의 다양한 DeFi 프로토콜에 참여할 수 있습니다.
크로스체인 기술의 성숙과 개선으로 우리는 Polkadot 생태계에서 더 다양한 유형의 크로스체인 애플리케이션을 보게 될 것이며 Web3에서 블록체인 인터넷의 비전을 진정으로 실현할 것입니다.
Yuki, Moonbeam 중국 커뮤니티 매니저:
블록체인 간의 정보 섬은 점차 약화되고 있으며 개발자는 다중 체인 세계에서 교차 체인 브리지의 기회를 빠르게 인식하고 있습니다. 사용자는 블록체인 전반에 걸쳐 자산을 사용하기를 점점 더 요구하고 있습니다.크로스 체인 브리지는 서로 다른 생태계를 가로지르고 자산 흐름을 전달하는 "외교관"으로서 사용자가 안전과 저비용을 전제로 크로스 체인을 획득하고 사용할 수 있도록 보장하는 것입니다. 자산의 요소.
Moonbeam 생태계에서 우리는 Nomad, Axelar, Cbridge, Multi-chain, Connext 및 기타 팀과 같이 보안 및 상호 운용성을 위해 노력하는 많은 교차 체인 브리지 개발자를 보게 되어 매우 기쁘게 생각하며 사용자 현실에 대한 더 많은 솔루션을 기대합니다. 미래에 필요한 교차 체인 브리지 프로젝트는 서로 다른 체인 간의 상호 운용성과 보안 성능을 향상시킵니다.
Astar China 대표 Song Mingshi:
Wormhole 크로스체인 절도 사건의 원인은 해커가 가디언의 서명을 속여 솔라나에서 wETH를 발행하고 이더리움에서 도난당한 ETH 자산을 잠금 해제함으로써 다시 한 번 크로스체인 보안에 대한 경종을 울렸습니다.
현재 가장 일반적인 크로스체인 솔루션은 여전히 공증 메커니즘을 통해 구현된 이종 크로스체인 브릿지이며, 이는 체인 A에 자산을 잠그고 체인 B에 1:1 매핑으로 새로운 자산을 발행함으로써 실현됩니다. 체인 브리지에는 Multichain, cBridge 등이 포함되며 모두 공증 체계를 사용합니다.
이기종 교차 체인 브리지의 보안 위험은 본질적으로 체인 A와 체인 B의 서로 다른 보안 상태의 불일치에서 비롯됩니다. 대조적으로 Polkadot의 XCMP 교차 체인 메커니즘은 이러한 문제를 완전히 제거합니다.
Polkadot 병렬 체인 간의 보안은 공유됩니다. 병렬 체인 간의 메시지 및 자산 전송 정보는 병렬 체인 수집기에 의해 입력 및 출력 대기열에 압축된 다음 릴레이 체인 유효성 검사기에 의해 확인됩니다. 전체 프로세스는 다음을 통해 보장됩니다. 동일한 검증자 그룹이 동시에 교차 체인 메시지의 정확성과 체인의 보안은 제3자 검증자를 신뢰할 필요가 없으며 보안상의 차이점도 포함하지 않습니다. 이러한 관점에서 Polkadot의 교차 체인 메커니즘은 다중 체인 컨텍스트에서 상호 운용성과 교차 체인 보안의 딜레마를 잘 해결할 수 있습니다.
첫 번째 레벨 제목
좌절은 역사의 수레바퀴를 멈출 수 없다
크로스 체인 프로젝트 절도 사건이 많이 발생했고 그 양이 엄청나고 여러 체인과 애플리케이션을 포함하기 때문에 광범위한 영향을 미치지만 기술 진보와 비즈니스 개발의 관점에서 볼 때 해커 문제는 없었습니다. 역사에서 그리고 발전의 진행을 방해합니다.
해킹 사건은 설계 메커니즘 또는 코드 수준의 허점으로 인해 해커가 이를 악용하여 재산 손실을 유발합니다. 돌파할 수 없는 기술적인 병목 현상 때문이 아니라 사람이 만든 사고이기 때문에 이런 문제를 소화하고 대처하는 방법은 많다. 주로 사전 예방, 이벤트 후 개선 및 새로운 솔루션.
1. 사전예방
코드 감사는 이미 현재 프로젝트 당사자가 프로젝트를 공식적으로 시작하기 전에 거쳐야 하는 필수 단계로, 대부분의 낮은 수준의 오류를 찾아 해결하고 이전에 나타난 허점을 피하여 코드를 크게 개선할 수 있습니다. 프로젝트의 보안.
그러나 코드 감사는 주로 방어 및 경험에 의존합니다.일부 새로운 기술 솔루션에 직면하여 종종 공격자인 해커는 감사된 코드에서 새로운 허점을 찾을 수 있습니다.그러나 성숙한 기술은 종종 지속적인 연마 및 반복 점점 더 많은 취약점이 발견되고 해결되고 기술이 충분히 성숙되면 해킹 사건의 가능성이 훨씬 낮아집니다.
물론 가장 중요한 전제 조건 중 하나는 이 시장이 현실적이고 효과적이며 해킹 사건으로 인해 죽지 않을 것이기 때문에 수요가 여전히 있는 한 이 방향으로 발전하는 응용 프로그램이 여전히 있을 것입니다. 전임자를 기반으로 더 좋고 안전합니다. 그래야만 기술이 더 성숙해질 수 있습니다.
2. 사후 조치
① 직접적이고 효과적이며 돈으로 해결
사건 이후의 구제책은 조금 뒷전처럼 느껴지지만 다른 각도에서 보면 아직 만회해도 늦지 않았다고 볼 수 있다.
알리페이 초기에는 상대적으로 새로운 기술과 많은 허점으로 인해 도난이 자주 발생했습니다. 당시 알리페이는 돈의 방식을 채택하여 누구나 안심하고 사용할 수 있습니다. 손실이 있으면 완전히 돈을 사용하는 것과 동일한 보상을 받습니다.이 기술이 초심자 기간을 살아남고 성숙할 수 있도록 Alipay는 뚫을 수 없는 거대한 보안 요새를 구축했습니다.
마찬가지로 Crypto 분야의 도난 사건에 직면하여 자신의 사업에 문제가없고 시장이 크고 허점으로 인한 손실이 발생하면 이러한 손실을 지불하고 수리하면 계속 운영할 수 있습니다.
크로스체인 프로토콜 Wormhole의 3억 2천만 달러 해킹 사건을 해결하는 데에도 동일한 방법이 사용되었습니다. 공격 직후, Jump Trading의 암호화 투자 부문인 Jump Crypto가 개입하여 자체 주머니에서 120,000 ETH를 보충했고, 불과 하루 후 Wormhole 브리지가 다시 온라인 상태가 되었습니다.
② 기술적 수단으로 해결
프로젝트 당사자는 해커의 성공을 방지하기 위해 공격을 받기 전의 시간으로 블록체인을 롤백할 수 있습니다. 예를 들어 Monero 기반 프라이버시 스테이블코인 프로토콜인 Haven Protocol은 롤백을 통해 해킹의 영향을 해결하고 채굴 허점을 복구했습니다.
또 다른 예로는 가장 고전적인 이더리움 "The DAO" 해킹 사건이 있다. ETC) 및 오늘날 알려진 이더리움(ETH).
③ 거버넌스를 통해
현재 모든 퍼블릭 체인은 체인의 향후 개발을 관리하고 관련 업무를 처리하기 위해 분산형 거버넌스로 이동하고 있습니다. 예를 들어, EOS는 한때 도난당한 자금을 처리하기 위해 ECAF 조직(EOS 핵심 중재 포럼, EOS 핵심 중재 조직)을 설립했습니다.
따라서 온체인 거버넌스는 탐색할 가치가 있는 방향이 될 것이며, 미래 블록체인 분야의 중요한 부분이 될 것입니다. 분산된 방식으로 일부 행동을 중재하고 일부 나쁜 행동에 적극적으로 개입하여 생태계의 건강한 발전을 보장하는 방법은 큰 문제가 될 것이지만 일단 성공적이고 실행 가능한 계획이 있으면 빠르게 퍼질 것입니다. 다양한 블록체인으로 각 체인의 발전을 에스코트합니다.
④공동체의 힘을 결집
예를 들어 일부 암호화된 자산은 USDT와 같은 중앙 집중식 기관의 보증을 통해 발행되며 도난당한 자금은 이러한 기관에 연락하여 동결될 수 있습니다. 또는 경찰 및 기타 행정 세력과 같은 원 외부의 거버넌스 세력을 사용하여 해커에게 압력을 가하고 심지어 추적하여 해커가 자금을 반환하거나 해커를 체포하도록 강요합니다.
DeFi 역사상 가장 큰 도난 사건인 PolyNetwork는 커뮤니티의 힘 덕분에 성공적으로 해결할 수 있습니다.
보조 제목
기존 솔루션에는 문제가 있지만 기술은 여전히 발전하고 있으며 아마도 이전 문제는 새로운 기술의 도입으로 더 이상 어렵지 않을 것입니다. 예를 들어, Polkadot이 시작한 보다 분산된 교차 체인 상호 작용 방법은 따를 가치가 있습니다.
또 다른 예는 메커니즘 설계 측면에서 "분권화 이론"에만 의존할 필요가 없으며 고려할 수 있는 반분권화 기술 솔루션이 많이 있거나 여러 공개 체인의 거버넌스 당사자가 결합할 수 있다는 것입니다. 일부 거버넌스 펀드를 설정하여 일부 보험 기금 풀 메커니즘을 구축하거나 유사한 공동 처리 계획을 수립하는 설계(예: 교차 체인 절도가 발생하는 동시에 롤백).
다시 말하지만 시장이 존재하는 한 역사의 수레바퀴 진행을 멈출 수는 없다. 해커 문제는 블록체인 분야만의 문제가 아니라 새로운 기술이 있는 한 함께 갈 것이지만 바로 이러한 사건들 때문에 우리가 반복 기술에 더 적극적이 될 것이라고 믿습니다. 블록체인 세계도 반드시 난공불락의 성숙한 기술로 발전할 것입니다.
추신
첫 번째 레벨 제목
추신
불과 며칠 전 Gavin은 XCM의 새로운 업그레이드에 대해 언급했습니다. 우리는 그 발전에 세심한 주의를 기울여야 합니다.
지난 주 Polkadot 창립자 Gavin Wood는 Twitter에서 Polkadot의 최신 기술 진보를 공유했습니다.그는 XCM v3 브리지의 인프라가 거의 준비되었으며 이는 Polkadot의 파라체인이 서로 XCM을 보낼 수 있음을 의미합니다. 쿠사마.
따라서 Polkadot의 크로스체인은 크로스체인의 발전에 새로운 이야기를 가져올 수 있습니다.결국 현재 크로스체인에서 무시할 수 없는 몇 가지 보안 문제가 실제로 있지만, 우리는 XCM, 크로스체인 프로세스 또한 변화가 있을 것입니다.이것은 Crypto 시장 자체에 국한되지 않고 블록체인 기술의 발전에서 우리가 주목하고 기대해야 할 것입니다.결국 종종 시간이 걸립니다. 가치와 가격의 균형을 맞추다.
*폴카닷생태연구소에서 제공하는 정보는 어떠한 투자 힌트도 아닙니다.게재된 기사는 개인적인 의견일 뿐이며 참고용입니다.중국에는 디지털 자산과 관련된 정책 및 규정이 없으므로 중국 본토 사용자에게 요청합니다. Crypto의 개발에 세심한주의를 기울입니다.
*폴카닷생태연구소에서 제공하는 정보는 어떠한 투자 힌트도 아닙니다.게재된 기사는 개인적인 의견일 뿐이며 참고용입니다.중국에는 디지털 자산과 관련된 정책 및 규정이 없으므로 중국 본토 사용자에게 요청합니다. Crypto의 개발에 세심한주의를 기울입니다.
https://t.me/polkadot_eri
Polkadot Ecological Research Institute의 미러 주소를 방문해 주신 모든 분들을 환영합니다.
https://mirror.xyz/0x9A259b3a2316281Cc948cE2Cf1Ac610a79844f05
IOS
Android