Lời nguyền của những cây cầu xuyên chuỗi: Phân tích về sự kiện hack Nomad

Qredo 中国

特邀专栏作者

2022-08-10 07:00

Bài viết này có khoảng 1943 từ, đọc toàn bộ bài viết mất khoảng 3 phút

Bài học từ vụ hack Nomad cho ngành và lợi thế kỹ thuật của Qredo trước các cuộc tấn công như vậy.

tiêu đề phụ

Quá dài để đọc phiên bản:
Vụ hack Nomad là kết quả của một lỗ hổng gây ra bởi một hợp đồng thông minh phức tạp được sử dụng để tạo liên kết giữa hai kiến trúc chuỗi khối khác nhau.

Qredo thực hiện một cách tiếp cận hoàn toàn khác đối với khả năng tương tác của chuỗi khối - thay vì kết nối trực tiếp các chuỗi khối với hợp đồng thông minh, chúng liên kết qua Qredochain dưới dạng mạng lớp 2 có thể tương tác. Tài sản luôn được bảo vệ bởi một MPC phi tập trung.

Trở lại miền Tây hoang dã, vụ cướp lớn nhất là vụ cướp xe lửa.

Tài sản đang vận chuyển cũng đã được chứng minh là một mục tiêu sinh lợi trên biên giới tài chính của tiền điện tử.Chainalysisdựa theo

Trong bài đăng này, chúng tôi giải nén vụ hack chuỗi chéo mới nhất — vụ hack Nomad vào tháng 8 năm 2022 — và giải thích lý do tại sao Qredo cung cấp một mô hình tốt hơn cho khả năng tương tác chuỗi khối.

tiêu đề cấp đầu tiên

loại cầu

Để di chuyển tài sản giữa các chuỗi khối, bạn có thể chọn giữa hai loại cầu nối: đáng tin cậy và không cần tin cậy.
Những cây cầu đáng tin cậy dựa trên các hợp đồng và thuật toán thông minh. Bạn duy trì quyền kiểm soát tài sản của mình nhưng phải dựa vào tính bảo mật của hợp đồng thông minh và chuỗi khối cơ bản.

tiêu đề cấp đầu tiên

Bridges of Distrust: Mục tiêu phổ biến của tin tặc

Những cây cầu đáng tin cậy thường hoạt động bằng cách có các hợp đồng thông minh trên mỗi chuỗi. Các mã thông báo bị khóa trong một hợp đồng thông minh trên một chuỗi và sau đó được phát hành lại trên một chuỗi khác, thường ở dạng "được bao bọc".

Ví dụ: để chuyển 100 mã thông báo từ Solana sang Ethereum, chủ sở hữu mã thông báo sẽ khóa mã thông báo vào hợp đồng thông minh cầu nối trên Solana. Sau đó, hợp đồng cầu nối sẽ đúc 100 mã thông báo tương đương hoặc được gói trên Ethereum.

Những cây cầu này tiếp tục là mục tiêu của những kẻ tấn công vì hai lý do chính:

giá trị

giá trị

Cầu xuyên chuỗi thường nắm giữ một số lượng lớn tài sản trong hợp đồng thông minh của họ.

Sự khác biệt về kỹ thuật trong kiến trúc, thuật toán đồng thuận và ngôn ngữ lập trình có thể khiến việc kết nối các chuỗi khối riêng biệt trở nên rất khó khăn. Rất dễ mắc lỗi - dẫn đến các lỗ hổng mà kẻ tấn công có thể khai thác.

tiêu đề cấp đầu tiên

Vụ hack Nomad đã xảy ra như thế nào

Cây cầu Nomad hỗ trợ chuyển mã thông báo giữa nhiều chuỗi khối bao gồm Avalanche và Ethereum. Trong cuộc tấn công chuỗi chéo mới nhất, nó đã rút hơn 150 triệu đô la tài sản tiền điện tử.

Vì vậy, làm thế nào điều này xảy ra?

Cầu Nomad có hai thành phần: hợp đồng thông minh trên mỗi chuỗi và các proxy ngoài chuỗi đảm bảo an toàn và chuyển tiếp trạng thái giữa các chuỗi.

Để hiểu chính xác điều này xảy ra như thế nào, chúng ta cần làm quen với một cấu trúc dữ liệu cụ thể được gọi là cây Merkle (cây băm AKA).

tiêu đề cấp đầu tiên

Cây băm là gì?

Cây băm là cấu trúc dữ liệu được sử dụng trong mật mã và khoa học dữ liệu để tạo số nhận dạng duy nhất cho bộ dữ liệu. Trong chuỗi khối, cây băm được sử dụng để mã hóa, tóm tắt và xác minh tất cả dữ liệu trong một khối. Theo cách này, chúng hoạt động giống như một dấu vân tay kỹ thuật số nhanh chóng xác minh rằng tất cả dữ liệu trong một khối đã hoàn tất, không bị sửa đổi và không thay đổi khi dữ liệu được truyền giữa các mạng ngang hàng. Yếu tố chính của cây băm là Merkle Root. Đây là hàm băm của tất cả các giao dịch được băm (được gọi là "các lá") biểu thị tính toàn vẹn của tất cả dữ liệu có trong khối.

Vậy chuyện gì đã xảy ra với cây cầu Nomad?

Thông thường, hàm băm giao dịch khởi tạo được liên kết với hàm băm gốc Merkle của khối chứa giao dịch. Điều này cho phép người xác thực kiểm tra xem các giao dịch đã được chứng minh hay chưa và cập nhật trạng thái của chuỗi khối.

Gốc Merkle của thư chưa được chứng nhận sẽ là 0x00 vì thư sẽ chưa được khởi tạo.

Hóa ra là trong quá trình nâng cấp định kỳ, nhóm Nomad đã vô tình khởi tạo gốc của niềm tin thành 0x00. Điều này có nghĩa là cây Merkle không chứng minh rằng giao dịch là hợp lệ.

Sau khi những kẻ tấn công ban đầu chứng minh rằng điều đó là có thể, những kẻ khác sẽ sớm tham gia — tạo ra cái được gọi là vụ trộm phi tập trung đầu tiên.

tiêu đề cấp đầu tiên

Cách tiếp cận của Qredo đối với khả năng tương tác chuỗi chéo

Giống như gần như mọi vụ hack cầu khác gần đây, vụ hack Nomad là kết quả của một lỗ hổng trong một hợp đồng thông minh phức tạp được sử dụng để tạo liên kết giữa hai kiến trúc chuỗi khối khác nhau.

Qredo thực hiện một cách tiếp cận khác - thay vì kết nối trực tiếp các chuỗi khối với hợp đồng thông minh, chúng liên kết qua Qredochain dưới dạng mạng lớp 2 có thể tương tác.Bằng cách này, tài sản được giữ trên Qredo luôn được giữ an toàn trên chuỗi cơ bản và nhận đượcMPC phi tập trung

Qredochain lớp 2 sau đó hoạt động như một cơ quan đăng ký tài sản, cho phép tài sản được giao dịch ngay lập tức giữa các ví trên mạng Qredo vàMetaMask InstitutionalVàWalletConnectVà

tích hợp được triển khai cho các chuỗi khối khác nhau.

Tại mọi thời điểm, tài sản được giữ trong ví Qredo của bạn đều nằm dưới sự kiểm soát của bạn và chỉ có thể được quản lý thông qua chính sách quản trị của bạn.

Liên kết gốc:

Liên kết gốc:https://www.qredo.com/blog/nomad-hack

Trang tiếng Trung Qredo:qredo.com/zh-cn

Qredo

chuỗi chéo

Chào mừng tham gia cộng đồng chính thức của Odaily

Nhóm đăng ký

https://t.me/Odaily_News

Nhóm trò chuyện

https://t.me/Odaily_CryptoPunk

Tài khoản chính thức

https://twitter.com/OdailyChina