23 Mart’ta, popüler NFT güdümlü oyunun temelini oluşturan Ronin blok zinciri ağı eksen sonsuz Saldırganların göz kamaştıran 625 milyon dolarlık kripto parayla uzaklaştığını gören bir hack ile vuruldu.
Ronin hack’i, bir blok zincirini diğerine bağlayan ve aralarında değerin gönderilebilmesi için “köprü” adı verilen hizmet türünden çalınan en büyük para miktarıydı. Ne yazık ki, bir köprüyü vuran tek hack olmaktan çok uzaktı: iki aydan kısa bir süre önce, Wormhole adlı başka bir köprü platformu 325 milyon dolara yakın bir şekilde istismar edildi ve bundan yaklaşık altı ay önce, başka bir çaprazdan 600 milyon dolardan fazlası çalındı. Poly denilen zincir köprü. (Şaşırtıcı bir şekilde, bilgisayar korsanı daha sonra Poly’nin çalınan fonlarını iade etti.)
Kısacası, köprüler birçok kripto para sisteminde zayıf noktadır ve bilgisayar korsanları onları bir yıldan biraz fazla bir sürede 1 milyar dolardan fazla. Bu yüzden tam olarak ne olduklarını, neden önemli olduklarını ve kripto şirketlerinin ceplerindeki milyar dolarlık açığı nasıl kapatmaya çalışabileceklerini ortaya koymaya değer.
Devamını okumak için zamanınız yoksa, ilk bölümün kısa cevabı “evet, savunmasızlar ama zamanla belki daha az savunmasızlar” olacaktır. İkinci kısım için hikaye daha karmaşıktır.
(Blockchain’in ne olduğunu zaten bildiğinizi varsayıyoruz; yoksa buradan başlayabilirsiniz.)
Esasen, farklı blok zincirlerini birbirine bağlamak için bir sistemdir ve kullanıcıların bir tür madeni parayı veya jetonu bir başkasıyla değiştirmesine olanak tanır. Her kripto para kendi blok zincirinde çalışır: Bitcoin, Ethereum ve Tether, Ripple, Solana vb. gibi daha yeni para birimleri vardır. Bu farklı blok zincirlerinin etkileşim kurmasının basit bir yolu yoktur – hepsi para birimi işlemlerini göndermek ve almak için “adresler” kavramını kullanabilir, ancak ETH’yi doğrudan bir Solana adresine gönderemezsiniz.
Bir blockchain köprüsü, geliştiricilerin bu geçişi biraz daha pürüzsüz hale getirmek için inşa ettikleri şeydir. ETH tutuyorsanız ve bir oyuna kaydolmak için Solana’nın SOL’sine ihtiyacınız varsa, ETH’nizi bir köprüye gönderebilir, karşılığında SOL alabilir ve oynamayı bitirdiğinizde geri dönüştürmek için aynı yöntemi kullanabilirsiniz.
Kısa cevap, çok sayıda karmaşık talebi ele almaları ve çok fazla para tutmaları – ve blok zincirlerin aksine, her şeyi nasıl güvende tutmaları gerektiğine dair bir standart yok.
Bir blok zinciri köprüsünü iki ada arasında gerçek bir köprü olarak hayal edin. Her adanın kullanabileceğin araba türüyle ilgili farklı kuralları vardır (belki bir EV adası ve normal bir benzin adası vardır), bu yüzden arabanı bir taraftan diğerine doğrudan sürmene izin vermezler. Aslında, köprünün bir tarafına gidiyorsunuz, aracınızı bir kapalı otoparka bırakıyorsunuz, karşıdan karşıya yürüyorsunuz ve diğer taraftan kiralık bir araba alıyorsunuz. Daha sonra, diğer adanın etrafında dolaşmayı bitirdiğinizde, kiralık aracınızı köprüye geri getirirsiniz, karşıya geçersiniz ve onlar size arabanızın anahtarlarını verirler.
Bu, adanın etrafında dolaşan her kiralık araba için garajda park etmiş başka bir araba olduğu anlamına gelir. Bazıları saatlerce, bazıları günlerce, diğerleri aylarca saklanır, ama hepsi orada öylece oturuyorlar ve köprüyü işleten şirketin hepsini güvende tutması gerekiyor. Bu arada, diğer vicdansız insanlar, garajda tam olarak kaç araba olduğunu biliyor ve onları çalmanın yollarını arıyorlar.
İşlevsel olarak bu, köprülerin bir tür kripto para biriminde gelen işlemleri aldığı, depozito olarak kilitlediği ve başka bir blok zincirinde eşdeğer miktarda kripto para birimi serbest bıraktığı anlamına gelir. Köprüler saldırıya uğradığında, saldırgan köprünün bir tarafından diğer tarafına hiçbir şey koymadan para çekebilir.
Köprüler, tüm karmaşık kodlar nedeniyle özellikle cazip hedeflerdir ve sömürülebilir hatalar için birçok fırsat yaratır. CertiK’in kurucusu Ronghui Gu’nun açıkladığı gibi: “N farklı kripto para birimi arasında bir köprü oluşturmaya çalışıyorsanız, bunun karmaşıklığı N karedir” – bu da N’in daha fazla hata girme şansı anlamına gelir.
En önemlisi, bu farklı kripto para birimleri yalnızca farklı para birimleri değildir: farklı programlama dillerinde yazılırlar ve farklı sanal ortamlarda dağıtılırlar. Bu şeylerin nasıl etkileşime girmesi gerektiğini bulmak, özellikle birden fazla farklı madeni para arasında dönüşüm yapan zincir üstü köprüler için çok zordur.
Muhtemelen değil. Saldırganlar, sistemdeki en zayıf nokta oldukları için şu anda köprüleri hedefliyorlar – ancak bunun nedeni kısmen endüstrinin geri kalanını güvence altına almak için iyi bir iş çıkarmış olması. Chainalysis’in araştırma direktörü Kim Grauer, DeFi hırsızlıkları üzerine araştırma üretti – söylenmiş Sınır Coincheck, BitMart veya Mt Gox gibi borsalara karşı önceki nesil zarar verici hack’lerin yerini köprü hack’lerinin aldığını.
“Birkaç yıl önce ekosistemimize bakarsanız, merkezileştirilmiş borsalar hack’lerin ana hedefiydi. Her hack’ti, ‘Merkezileştirilmiş borsa tekrar çöküyor’ ve endüstri, bu hack problemlerinin üstesinden gelmemize izin veren çözümlere sahip olmak için çok çalıştı” diyor. “Birçok DeFi korsanlığı görüyoruz, ancak bence hızı aslında yavaşlıyor. Kesinlikle bu bilgisayar korsanlığının devam etme hızı, endüstrinin büyümesi için devam edemez.”
Sorun şu ki, birçok köprü blok zincirinde hiç yok. Ronin köprüsü, blok zinciri ile arayüz oluşturan ancak bunun parçası olmayan sunucularda bulunan bir sistem olarak çalışan “zincir dışı” çalışmak üzere kuruldu. Bu sistemler hızlı, esnek ve nispeten hafiftir – “N kare” karmaşıklık zorluklarından bazılarını azaltır – ancak internette herhangi bir yerde web hizmetlerini etkileyen aynı tür hack’lerle karşılaşabilirler. (“Bu gerçekten blockchain değil” diyor Gu. “Bunlar ‘Web2’ sunucuları.”)
İşlemleri halletmek için blok zinciri olmadan, Ronin köprüsü, kod hackleri ve şifrelerin bir kombinasyonu yoluyla tehlikeye atılan dokuz doğrulayıcı düğüme güveniyordu. belirtilmemiş sosyal mühendislik.
Akıllı sözleşmeler olarak çalışan başka köprü sistemleri de var – temelde “zincir üstü” alternatif. Bir saldırganın sosyal mühendislik yoluyla zincir üstü bir sistemin kodunu altüst etmesi daha az olasıdır ve ağ üzerinde çoğunluk gücü elde etmesi pek olası değildir. Dezavantajı, akıllı sözleşmelerin kendilerinin oldukça karmaşık olmasıdır ve eğer hatalar varsa, sistemi zamanında güncellemek zor olabilir. (Solucan deliği bir zincir üstü sistem kullandı ve büyük hırsızlık, bilgisayar korsanlarının GitHub’a yüklenen ancak canlı akıllı sözleşmeye dağıtılmamış güvenlik güncellemelerini tespit etmesinden sonra gerçekleşti.)
Zor. Tekrar tekrar gelen cevap “kod denetimi” idi. Bir projenin geliştirme ekibinin farklı programlama dilleri ve bilgi işlem ortamları üzerinde çalışıyor olabileceği yukarıda açıklanan türde, dışarıdan uzmanlık getirmek, şirket içi yeteneklerin gözden kaçırabileceği kör noktaları kapatabilir. Ancak şu anda, şaşırtıcı derecede fazla sayıda projede herhangi bir denetçi listelenmiyor.
Uzman güvenlik denetimi şirketi Trail of Bits’in güvence uygulaması direktörü Nick Selby, bunun kısmen pazarın ne kadar hızlı canlanmasından kaynaklandığını söyledi. Çoğu şirket, rakiplerini savuşturmak için büyümek, ölçeklendirmek ve yeni özellikler oluşturmak için büyük bir baskı altındadır – bu bazen özenli güvenlik çalışmaları pahasına olabilir.
Selby, “İçerideyiz, buna mutlaka balon diyemem ama kesinlikle altına hücum” diyor. “Sanırım çoğu zaman, alanda yenilik yapmaya çalışan yöneticiler, istenen özellik sonucuna bakıp ‘Pekala, bu [product] istediğim özelliklere sahip. Bu nedenle, iyi.’ Ve bakmadıkları pek çok şey var, bu yüzden onları görmüyorlar, işte burada kod denetimi devreye giriyor.”