BTC
ETH
HTX
SOL
BNB
시장 동향 보기
简中
繁中
English
日本語
한국어
ภาษาไทย
Tiếng Việt
플래시 뉴스
심층 분석
기사
핫스팟
특집
이벤트
관점
도구
다운로드
설정
API
Theme Switch
로그인

최근 크로스체인 절도 사건으로 인한 보안 문제에 대한 반성

MixMarvel
特邀专栏作者
2022-09-14 09:15
이 기사는 약 5815자로, 전체를 읽는 데 약 9분이 소요됩니다
잦은 크로스체인 보안 문제가 크로스체인 기술에 대한 보다 폭넓은 사고와 논의로 이어지기를 바라며, 지속적으로 문제를 해결하는 과정에서 기술이 계속 업그레이드되고 반복될 것입니다.
AI 요약
펼치기
잦은 크로스체인 보안 문제가 크로스체인 기술에 대한 보다 폭넓은 사고와 논의로 이어지기를 바라며, 지속적으로 문제를 해결하는 과정에서 기술이 계속 업그레이드되고 반복될 것입니다.

첫 번째 레벨 제목

크로스 체인 브리지는 해커 공격의 주요 대상이 되었습니다.

Elliptic 통계에 따르면 2022년에 해커는 교차 체인 브리지에서 미화 10억 달러 이상을 훔칠 것입니다. 올해 2월 3일 솔라나와 연결된 크로스체인 프로젝트인 Wormhole이 해킹을 당해 약 3억 2,500만 달러의 손실을 입었습니다. 3월 23일,

Ronin Bridge 사건에서 이더리움과 USDC의 총 가치 6억 달러 이상을 도난당했습니다. 6월 23일 해커들은 Harmony의 레이어 1 블록체인으로 이어지는 Horizon Bridge도 공격했습니다. 8월 2일, 교차 체인 브리지 Nomad가 도난당하여 1억 9천만 달러를 잃었습니다. Wormhole, Sky Mavis 및 Harmony는 모두 올해 블록체인 취약점으로 인해 1억 달러 이상의 손실을 입었습니다.

최근 잦은 보안 사고로 인해 MixMarvel DAO Venture는 일부 기술 보안 문제에 대해 관련 기술 리더와 특별히 인터뷰를 진행했습니다. 기술 담당자는 브릿지 보안이 전체 블록체인 산업의 핵심 이슈가 될 것이라고 믿습니다. 인터뷰 결과에 따르면, 우리는 믹스마블 DAO Venture의 기반 기술에 대한 자체적인 인식과 생각을 결합하여 이 논의를 형성했습니다.

요약하자면, 이러한 공격을 받은 교차 체인 프로젝트의 대부분은 다중 서명 기술을 사용합니다. 멀티시그니처의 보안 이슈에 대해서는 추후 구체적인 분석을 하겠지만, 그 전에 먼저 크로스체인의 역할이 무엇인지, 왜 해커들의 주요 타깃이 되었는지 명확히 짚고 넘어갈 필요가 있다.

해킹 공격이 주로 교차 체인 브리지에서 발생하는 이유

보조 제목

크로스 체인 브리지의 기능은 무엇입니까

MixMarvel DAO Venture는 적어도 두 가지 측면에서 주목해야 한다고 생각합니다.

첫 번째,첫 번째,크로스 체인 브리지는 서로 다른 퍼블릭 체인 간의 거래 어려움으로 형성된 "블록체인 아일랜드" 상태를 깨뜨릴 수 있습니다.

, 자산 활용도를 크게 향상시킵니다. BSC, 솔라나, 폴리곤, 헤코 등 새로운 퍼블릭 체인으로 대표되는 멀티체인 시대에 접어들었습니다. 여러 차례의 반복을 거친 후 교차 체인 브리지의 다양성이 점점 더 분명해지고 있습니다. Anyswap(현재 Multichain으로 이름 변경)은 널리 사용되는 크로스 체인 브리지 대표 중 하나로 세 가지 주요 버전 업데이트 및 업그레이드를 완료했습니다.최신 V3 버전은 멀티 체인 라우팅을 사용하여 Native Assets 크로스 체인을 실현하지만 V2도 유지합니다. 사용자에게 보다 다양한 선택권을 부여하기 위해 자산 교차 체인 파괴 계획 버전이 도입되었습니다. 크로스 체인 브리지는 사용자가 체인 간에 자산, 데이터 및 정보를 전송할 수 있도록 하여 멀티 체인 생태계 간의 통신 및 호환성을 크게 촉진합니다.

둘째, 교차 체인 브리지는 기본 인프라 간의 협력을 강화합니다. 데이터 아일랜드 상태가 깨진 후 체인 간의 경쟁과 협력이 점차 강화됩니다. 더 많은 자원을 확보하기 위해 각 블록체인 기반 인프라 프로젝트는 교차 체인 브리지를 통해 서로 협력하여 각자의 생태계를 확장합니다.우리는 크로스체인 공격의 낮은 난이도와 높은 수익이 크로스체인 자산의 빈번한 도난의 근본적인 원인이라고 생각합니다.

크로스 체인 공격은 퍼블릭 체인보다 수익성이 높고 덜 어렵습니다.

텍스트

1. 소득 측면에서: 크로스 체인 브리지를 공격하는 것이 더 유리합니다.

DeFi Llama의 데이터에 따르면 2022년 7월 현재 크로스 체인 브릿지에 락업된 암호화폐는 $10.88B에 달하며, 그 중 WBTC가 TVL $5.2B로 가장 큰 시장 점유율을 차지하고 있으며, Multichain이 2위를 차지하고 있습니다. $1.88B의 TVL로.

이것은 크로스 체인 브리지의 자산 양이 해커에게 상당히 매력적이라는 것을 의미합니다. CertiK 보고서에 따르면 "브리지"가 수억 달러의 보관 자산을 보유하고 2개 이상의 블록체인에서 작동할 때 해킹당할 가능성이 크게 증가합니다.

2. 난이도: 51% 공격

난이도 측면에서 해커는 훔치기가 덜 어려운 크로스체인에 집중할 가능성이 높습니다. 블록체인에는 51% 공격이라는 개념이 있습니다. PoW(Proof of Work)나 PoS(Proof of Stake)를 막론하고 합의 메커니즘에 관해서는 이론적으로 51%의 공격이 가능하다.

PoW 알고리즘에서 해커가 컴퓨팅 파워의 51% 이상을 소유하면 부기 권한을 얻는 데 절대적인 이점이 있습니다. 즉, 블록체인 데이터를 변조할 수 있는 권한이 있습니다.

하지만 컴퓨팅 파워 51% 공격을 하려면 해커가 다른 일반 채굴기보다 강력한 컴퓨팅 파워를 얻기 위해 채굴 장비와 전기를 구입하는 데 많은 돈을 써야 한다. 따라서 해커가 퍼블릭 체인을 공격하려면 51% 컴퓨팅 파워 공격을 수행해야 하는데 비용이 너무 높고 이익이 너무 적어 이익이 이익보다 클 가능성이 높습니다.

PoS 알고리즘의 퍼블릭 체인을 공격하는 것은 PoW 알고리즘의 퍼블릭 체인을 공격하는 것보다 어렵습니다. PoS 알고리즘의 퍼블릭 체인을 공격하려면 공격자가 전체 네트워크에서 약정에 사용된 토큰의 최소 51%를 획득해야 하며 약정된 토큰은 주로 구매를 통해 얻습니다. 따라서 실제로 전체 네트워크에서 지분에 사용되는 토큰의 51%를 얻는 것은 종종

(PoW 알고리즘의 퍼블릭 체인을 공격하기 위해) 컴퓨팅 파워의 51%를 임대하는 것이 훨씬 더 어렵습니다. 이더리움 창시자 비탈릭(Vitalik)이 믿는 것처럼 아무도 단지 100개의 Solana-WETHx를 훔치기 위해 이더리움에 51% 공격을 가하지는 않을 것입니다. 2019년 통계에 따르면 해커는 PoS 알고리즘의 퍼블릭 체인에 대한 51% 공격에 $31,367,656,630, PoW 알고리즘의 퍼블릭 체인에 대한 1시간 51% 공격에 $255,629가 필요합니다.

실제로 대규모 퍼블릭 체인을 공격하는 데는 완료하는 데 최소 몇 시간이 걸립니다. 크로스 체인은 다릅니다.해커가 크로스 체인을 공격하려면 많은 시간과 비용을 들이지 않고 대상 크로스 체인 브리지에서 허점을 찾아 돌파하기만 하면 목표를 달성할 수 있습니다.

첫 번째 레벨 제목

해시 잠금, 공증 체계 및 릴레이는 현재 가장 일반적인 블록체인 교차 체인 기술 솔루션입니다.

보조 제목

해시 잠금

Satoshi는 Hash Time Locked Contracts(Hash Time Locked Contracts)가 Hashlocks와 Timelocks로 구성되어 있다고 생각합니다. Hashlocks는 2단계 인증과 유사합니다. Timelocks는 의도된 자금 수취인이 시간 제한 내에 올바른 비밀 문구를 제공한 다음 지불 . 그렇지 않으면 거래는 송금인에게 자금을 반환합니다.

시간 제한이 있는 조건부 지불 계약으로 볼 수 있는 해시 시간 잠금 계약에는 신뢰할 수 있는 제3자가 필요하지 않습니다. 이러한 프로그래밍 가능한 에스크로 프로토콜은 조건부 P2P 가치 이전을 가능하게 하고 거래 위험을 줄입니다. 또한 해시 잠금 기술은 주로 크로스체인(Atomic Swaps, 크로스체인의 P2P 트랜잭션) 및 비트코인 ​​라이트닝 네트워크(Lighting Network)에서 아토믹 스왑을 실현하는 데 도움이 됩니다.

그러나 해시 잠금에는 특정 제한이 있습니다. 우선 연결 당사자는 특정 거래 위험을 감수해야 합니다. 거래 시 두 개의 코인은 한 거래 당사자의 시간 제한이 다른 거래 당사자의 시간 제한보다 클 경우 배달 시간을 제한합니다. 이로 인해 한 당사자는 합의된 자산을 얻을 수 있지만 다른 당사자는 해당 통화 가치를 얻을 수 없습니다.

따라서 해시 잠금은 교환만 가능하고 자산이나 정보의 전송은 불가능하며 사용 시나리오가 매우 제한적입니다. 적어도 이 단계에서는 널리 사용되지 않았습니다. 다음 교차 체인 불안정 분석에서는 해시 잠금을 직접 건너뛸 것입니다.

보조 제목

계전기

릴레이 기술의 단점은 네트워크 부하가 높을 때 릴레이 버퍼의 저장 공간이 부족하여 오버플로 현상 및 신호 프레임 손실이 발생할 수 있다는 것입니다. 리피터가 실패하면 인접한 두 서브넷의 작업에 영향을 미칩니다.

보조 제목

증인 메커니즘

증인 메커니즘은 주로 단일 서명 증인, 다중 서명 증인 및 분산 서명 증인의 세 가지 범주로 나뉩니다.

단일 서명 증인은 중앙 집중식 증인 메커니즘이라고도 합니다. 증인은 거래 과정에서 거래 확인자 및 분쟁 중재자 역할을 합니다. 이 모델의 기술 아키텍처는 임계값이 낮아 트랜잭션 처리가 효율적이지만 실제로는 중앙 집중식 조직에 의해 제어되며 그 한계는 중앙 집중식 노드의 보안에 있습니다.

다중 서명(Multi-Signature) 감시 메커니즘은 현재 가장 널리 사용되는 기술입니다. 다중 서명 감시 메커니즘은 다중 서명 기술을 사용합니다. 즉, 트랜잭션이 적용되려면 두 개 이상의 서명이 필요합니다. 서로 다른 교차 체인은 각자의 필요에 따라 다중 서명 규칙을 설정합니다.예를 들어 3/6 다중 서명은 6명 중 개인 키를 가진 3명의 검증자가 거래를 성공적으로 완료하기 위해 거래 응용 프로그램에 서명해야 함을 의미합니다. 개인 키를 저장한 하드 드라이브를 도난당하거나 분실하는 등 검증자의 개인 키가 유출되면 크로스 체인 자산에 막대한 손실이 발생할 가능성이 높습니다.

증인 모드와 릴레이 모드의 차이점은 대상 체인이 수신된 메시지를 처리하는 방법에 있습니다.증인 모드는 무조건 신뢰하고 실행하며 보안은 증인 자체에 달려 있습니다.릴레이 모드는 실행 전에 자체적으로 검증해야 합니다. . 보안은 대상 체인에 있는 라이트 지갑의 데이터 동기화 장치(MerkleTree 전송기)에 따라 달라집니다.

크로스체인 기술의 불안전한 요소

텍스트

1. 다중 서명 검증의 보안 위험은 교차 체인 자산 도난의 주요 원인입니다.

다중 서명 검증에는 보안 위험이 있어 빈번한 해커 공격으로 이어지며 일반적으로 다음 세 가지 지점에서 나타납니다.

a) 개인 키 유출로 인해 유효성 검사기가 하이재킹됩니다. 예를 들어 Ronin Network 및 Horizon 공격에서 해커는 유출된 개인 키를 사용하여 서명 검증자를 가로채고 트랜잭션을 완료했습니다. 입금 지시 또는 출금 지시를 식별하기 위해 로닌 네트워크는 9명의 서명 검증자로 보호되며 이 중 5개의 서명만 검증 및 거래에 필요합니다. 해커는 해킹된 개인 키를 사용하여 가스 없는 RPC(거래 수수료 없음) 노드를 통해 백도어를 발견하는 동안 인출을 위조한 다음 이를 악용하여 Axie DAO 장치에서 실행하는 4개의 Ronin 유효성 검사기와 타사 유효성 검사기를 제어했습니다.

b) 검증에 필요한 유효성 검사기 노드의 수가 적기 때문에 해커가 악용할 기회가 있습니다. 예를 들어 Horizon 브리지에는 4개의 다중 서명 검증만 있고 4개의 다중 서명 중 2개는 보호하지 않습니다. 해커는 자산 도용을 완료하기 위해 Horizon의 적은 수의 서명 검증자를 제어하기만 하면 됩니다. 따라서 검증에 필요한 적은 수(보통 50% 미만)의 서명 검증자는 크로스체인 프로세스의 견고성을 보장하기 어려울 수 있습니다.

c) 서명 검증 방식의 취약점도 스마트 컨트랙트 취약점 중 하나이다. 각 블록체인의 개발 모델은 서로 다르기 때문에(예: 서로 다른 통신 프로토콜, 서로 다른 합의 메커니즘 및 서로 다른 거버넌스 모델) 교차 체인 인터페이스를 설정할 때 스마트 계약 취약성의 가능성이 높아집니다. 예를 들어 Wormhole 공격자는 업데이트로 인해 더 이상 사용되지 않는 서명 방법을 사용하여 자체 교차 체인 요청에 서명했습니다. 이 방법은 들어오는 지시를 엄격하게 확인하지 않기 때문에 공격자는 대량의 wETH(즉, 원래의 실제 ETH가 아닌 크로스체인 자산)를 위조하고 가짜 스마트 계약 주소를 업로드하여 인증 서명을 성공적으로 피하고 철회했습니다. 많은 돈. Nomad 크로스 체인 브리지의 절도 초기에 계약 주소에는 여전히 약 1억 달러의 자산이 있었습니다. 이때 Nomad는 어떠한 조치도 취하지 않았으며, 스마트 컨트랙트 취약점을 복구하거나 서명 확인 방법을 변경하지도 않았습니다. 유능한 해커들이 계속해서 Nomad 브리지에서 자산을 훔치고 다른 사람들이 합류했고 multisig는 이러한 거래를 멈추지 않았고 1억 달러가 빠르게 비워졌습니다.

2. 릴레이 기술은 절대적으로 안전하지 않습니다.

리피터의 위험은 또한 네트워크가 과도하게 로드될 때 리피터 버퍼의 저장 공간이 부족하여 오버플로우 및 드롭된 프레임이 발생할 수 있다는 것입니다. 또한 리피터가 실패하면 인접한 서브넷에도 영향을 미칠 수 있습니다.

다자간 보안 컴퓨팅은 가장 안전한 교차 체인 기술 중 하나입니다.

보조 제목

다자간 보안 컴퓨팅은 다중 서명 기반 방법보다 더 안전합니다.

다자간 보안 컴퓨팅은 검증 방법이 개별 검증자가 아닌 기계에 의존하기 때문에 다중 서명 메커니즘보다 더 안전합니다.다자간 보안 컴퓨팅(MPC)

, 이는 신뢰할 수 있는 타사가 없는 경우 다자간 협업 컴퓨팅을 수행할 수 있음을 의미합니다. MPC에서 상호 불신하는 조직은 이러한 입력을 비공개로 유지하면서 함수를 공동으로 계산하려고 시도합니다. MPC의 두 가지 주요 속성은 정확성과 프라이버시입니다. 정확성은 알고리즘에 의해 생성된 출력이 정확함을 의미합니다. 프라이버시는 한 당사자가 보유한 비밀 입력 데이터가 다른 당사자에게 공개되지 않음을 의미합니다.

첫 번째 레벨 제목

요약하다

요약하다

일부 사람들은 교차 체인 스마트 계약이 dApp의 개발 모델을 뒤엎을 수 있다고 생각하지만 대부분의 블록체인 네트워크가 여전히 본질적으로 고립되어 있다는 사실을 바꾸지는 못할 것입니다. 블록체인 섬의 문제를 해결하기 위해서는 브릿지가 전제되어야 하며, 브릿지의 보안이 핵심입니다.

첫 번째 레벨 제목

믹스마블 DAO 벤처 소개

믹스마블 DAO 벤처 소개

안전
크로스체인
Odaily 공식 커뮤니티에 가입하세요
구독 그룹
https://t.me/Odaily_News
채팅 그룹
https://t.me/Odaily_CryptoPunk
공식 계정
https://twitter.com/OdailyChina
채팅 그룹
https://t.me/Odaily_CryptoPunk
검색
기사 목차
작성자 라이브러리
MixMarvel
기사 인기 순위
일간 순위
주간 순위
칼시는 코인베이스, 로빈후드 등과 함께 예측 시장 컨소시엄을 구성하여 "카지노 이론"을 종식시키는 것을 목표로 하고 있습니다.
칼시는 코인베이스, 로빈후드 등과 함께 예측 시장 컨소시엄을 구성하여 "카지노 이론"을 종식시키는 것을 목표로 하고 있습니다.
Axe Compute(구 POAI)[NASDAQ: AGPU]가 기업 구조조정을 완료하고, 기업용 분산형 GPU 컴퓨팅 솔루션인 Aethir를 공식적으로 주류 시장에 출시했습니다.
니모닉 구문이 없는 Web3: AA × 패스키, 이것이 향후 10년의 암호화폐를 어떻게 정의할까요?
TGA 어워드 전야의 백만 달러 내기: 올해의 게임은 누가 예측했을까?
메타플래닛이 비트코인 보유를 일시 중단하는 이유는 무엇인가요?
Odaily 플래닛 데일리 앱 다운로드
일부 사람들이 먼저 Web3.0을 이해하게 하자
IOS
Android
회사 소개
연락처
채용 정보
파트너 링크
광고 협력
이용약관
개인정보 보호정책
면책 조항
미디어 키트
하이난성 모디 문화 미디어 유한책임회사
琼ICP备 2022000863号