Decentraliseret finans (DeFi) kunne være dukket op som en spændende kategori i blockchain-økosystemet, men dens stadig begyndende tilstand har efterladt mange deltagere udsat for de medfølgende risici ved denne mere demokratiske iteration af finansielle tjenester.
Den seneste udnyttelse af Wormhole, en blockchain-bro mellem Solana og Ethereum, understreger de fejl, der fortsætter med at dukke op og påvirker DeFi-brugere. Til kontekst var hacket på $325 millioner i virkeligheden resultatet af mangelfuld logik i broens programmeringssæt til en opdatering.
Normalt kræver en transaktion, der flyder gennem Wormhole til Solana, en gyldig transaktionssignatur og værge (godkendt valideringsnode). Hvis disse to betingelser er opfyldt, godkendes transaktionsanmodninger. I tilfælde af en ugyldig transaktionssignatur og gyldig værge, er de nødvendige betingelser for at starte en transaktion ikke opfyldt, hvilket får Solana til at afvise denne anmodning. Men i stedet for at præsentere ugyldige betingelser, hvor der var en ugyldig transaktionssignatur og gyldig værge, brugte hackeren en ugyldig signatur og en ikke-værge, hvilket reelt skabte to ikke-godkendte betingelser.
Fordi to gyldige betingelser er nødvendige for at danne et "match" for at acceptere transaktionsanmodningerne, og to ugyldige betingelser også kunne ses som et "match" inden for systemets eksisterende logik, tillod det hackeren at præge indpakket Ethereum (wETH) på Solana . Uden at skulle indbetale 120,000 ETH på, hvad der fungerer som en deponeringskonto, prægede hackeren 120,000 wETH, som derefter blev udvekslet, hvilket narrede Wormhole til at låse op for almindelig Ethereum, der stillede sikkerhed for andet WETH på Solana.
Selvom Wormhole-teamet siden har lukket fejlen, er det uklart, hvordan de har til hensigt at rekapitalisere de midler, der er stjålet fra broen, på trods af at de har annonceret indsats i den retning. Mens de har fremsat dusør til hackeren, har ikke-svaret været øredøvende. Alligevel fremhæver dette hack de betydelige sårbarheder inden for de kritiske interoperabilitetsinfrastrukturer, der forbinder DeFi, og endnu vigtigere, dem, der tillader blockchains at kommunikere.
Kan Multi-Party Computation betyde sikrere interoperabilitet?
Interoperabilitet, eller i denne sammenhæng, evnen til at forbinde afbrudte blockchains og økosystemer, er den lim, der holder decentral økonomi sammen via en spredning af broer, orakler og mere. Interoperabilitet kan dog også betyde sårbarhed, som det var tilfældet med Wormhole, især når interoperabilitet er ansvarlig for at overvåge den sikre udveksling af værdi mellem to systemer.
Ideen om at kræve flere parter eller beviser (som signaturer) for at godkende visse transaktioner er ikke fremmed for blockchain-teknologi, men et ret almindeligt træk ved visse eWallets. Ideen om at distribuere signaturkraft til flere parter mindsker risikoen for et enkelt fejlpunkt.
For mutlisig tegnebøger betyder det, at man skal beslutte, hvem medunderskriverne skal være, og hvor mange medunderskrivere, der skal underskrive en transaktion. Problemet med denne model er at ændre medunderskrivere og tilladelser, for ikke at nævne, at flere signaturer skal præsenteres samtidigt, hvilket resulterer i tilgængelighedskrav fra medunderskrivere for hver transaktion.
Multi-party computation (MPC) kan hjælpe med at undgå disse komplikationer, men dens applikation strækker sig langt ud over tegnebøger og nøglebekræftelse. MPC bruger fuldstændigt modificerbare slutpunkter, der indeholder en del af de hemmelige nøgler, men ikke deres helhed. Tilsammen bruges disse endepunkter til at danne en konsensus, og et minimum antal endepunkter er sat for at nå denne konsensus om en transaktion.
Kurt Nielsen, præsident og medstifter af Partisia blockchain, mener, at MPC har nøglen til at frigøre det sande potentiale for interoperabilitet i en mere sikker, troværdig ramme. Nielsen bemærker, "Interoperabilitet via token-broer udviser et enormt potentiale til at blive en væsentlig værdiskaber i blockchain-økosystemet. Men som vi så i Wormhole-udnyttelsen, udgør flytning af tokens uden for deres etablerede sikkerhedsmodel betydelige udfordringer og sårbarheder. Vores svar er mere sofistikerede, gennemprøvede revisionsprincipper og MPC-sikkerhedsforanstaltninger i stor skala."
Han forklarer yderligere: "For det første repræsenterer et regelmæssigt udløbende Oracle effektivt og gennemsigtigt værdierne på tværs af de forskellige blockchains, såsom dobbelt bogholderi, der har bevist sit værd siden Medici Bank i det 14. århundrede. For det andet undgår storstilede MPC-sikkerhedsforanstaltninger akkumulering af finansiel risiko på tværs af Oracles eller epoker. For det tredje giver de noder, der driver Oracle i en given epoke, sikkerhed for at støtte de overførte værdier, og endelig kompenseres objektive ubalancer gennem en decentraliseret tvistproces."
Partisia har været involveret i MPC-løsninger af kommerciel kvalitet siden 2008 og anvender nu sin skarpsindighed til blockchain-baserede applikationer. Partisia Blockchain fungerer effektivt som et interoperabilitetslag ved hjælp af Zero-Knowledge-sikre beregninger. Med noder, der vurderes og rangeres i henhold til deres tillidsscore, kan DeFi-brugere få større tillid til, hvordan og hvem der flytter deres værdi mellem økosystemer.
Selvom den hidtil største hændelse af denne type i 2022, vil Wormhole sandsynligvis være langt fra den eneste DeFi-protokol, bro eller blockchain, som hackere har målrettet efter, som året skrider frem. Ikke desto mindre, som Partisia viser, skiller MPC sig ud som én strategi til at fremme kommunikation mellem netværk, der overvåger data eller værdioverførsel uden at vide præcis, hvad der overføres af hvem og hvorhen.
Kilde: https://zycrypto.com/wormhole-exploit-underlines-case-for-greater-mpc-use-across-blockchain-oracles-bridges/