" Не требующие доверия моста позволяют передавать данные между блокчейнами без необходимости в централизованном хранителе, что потенциально делает их более безопасным вариантом для взаимодействия.
Блокчейн-мосты позволяют пользователям децентрализованных финансов (DeFi) использовать одни и те же токены в нескольких блокчейнах. Например, трейдер может использовать USD Coin (USDC) в блокчейнах Ethereum или Solana для взаимодействия с децентрализованными приложениями (DApps) в этих сетях.
Хотя эти протоколы могут быть удобны для пользователей DeFi, они подвержены риску использования их злоумышленниками. Например, в прошлом году был взломан Wormhole bridge — популярный кроссчейн-криптомост между Solana, Ethereum, Avalanche и другими блокчейнами. Злоумышленники украли обернутый Ethereum (wETH) на сумму более 321 млн долларов, что является крупнейшим взломом в DeFi-истории.
Всего через месяц с небольшим, 23 марта 2022 года, был взломан мост Ronin Network — сайдчейн Axie Infinity на базе Ethereum, потери составили более 620 миллионов долларов. А 2 августа был взломан и потерял более 190 миллионов долларов мост Nomad. В общей сложности в период с 2020 по 2022 год из кроссчейн-мостов было украдено более 2,5 миллиардов долларов.
Не требующие доверия мосты, называемые также некастодиальными или децентрализованными, могут повысить безопасность пользователей при межсетевых переводах.
Что такое блокчейн-мост?
Межсетевой мост — это технология, которая позволяет отправлять активы или данные из одной сети блокчейна в другую. Эти мосты позволяют двум или более отдельным сетям блокчейнов общаться друг с другом и обмениваться информацией. Взаимодействие, обеспечиваемое межсетевыми мостами, позволяет перемещать активы из одной сети в другую.
Большинство технологий моста используют смарт-контракты в обеих блокчейнах, чтобы сделать возможными транзакции между ними.
Межсетевые мосты могут перемещать многие активы, такие как криптовалюты, цифровые токены и другие данные. Использование этих мостов упрощает совместную работу различных сетей блокчейна и позволяет использовать уникальные функции и преимущества каждой сети.
Централизованные мосты против децентрализованных
Если говорить о протоколах моста, то существуют два основных типа: централизованные (доверенные или кастодиальные) мосты и децентрализованные (не требующие доверия или некастодиальные). Доверенные мосты управляются централизованными организациями, которые берут на себя хранение токенов после их передачи на мост. Основным риском кастодиальных мостов является единая точка отказа (централизованное хранилище), наличие которой делает их более легкой целью для попыток взлома.
Вместо использования централизованных хранителей для передачи токенов через блокчейны не требующие доверия мосты применяют для завершения процесса смарт-контракты.
Смарт-контракты — это автоматизированные программы, выполняющие определенные действия при выполнении заданных условий. В связи с этим не требующие доверия мосты рассматриваются как более безопасная альтернатива, поскольку каждый пользователь сохраняет свои токены в процессе передачи.
Однако некастодиальные мосты все же могут быть скомпрометированы, если в коде смарт-контракта есть уязвимости, которые не были идентифицированы и исправлены командой разработчиков.
Паскаль Берранг, исследователь блокчейна и основной разработчик Nimiq, платежного протокола на основе блокчейна, говорит, что использование межсетевых мостов сопряжено с дополнительными рисками по сравнению с использованием одного блокчейна, поскольку увеличивается поверхность атаки за счет блокчейнов, потенциальных хранителей и смарт-контрактов.
Он объясняет:
«Существуют различные типы кроссчейн- мостов, которые сопряжены с различными компромиссами с точки зрения этих рисков. Кроссчейн-мосты, естественно, включают два или более блокчейна, обычно с использованием разных механизмов безопасности. Следовательно, безопасность мостовых активов зависит от самого слабого блокчейна, задействованного в мосте. Например, если один из блокчейнов будет атакован, это позволит отменить обмен между блокчейнами в одном из них, но не в другом, что приведет к дисбалансу активов».
Берранг также отмечает уязвимости, связанные с блокировкой мостовых активов в мосте:
«Средства обычно хранятся или запираются в центральном месте, что составляет единую точку отказа. В зависимости от типа моста эти средства подвержены различным рискам: в мосте на основе смарт-контрактов ошибки в этих контрактах могут сделать активы моста бесполезными. Примером может быть ошибка, которая позволяет бесконечно чеканить новые мостовые токены. Мосты, которыми управляют доверенные кастодианы, подвержены контрагентским рискам, если кастодианы неправомерно себя ведут или их ключи украдены».
Джереми Мусиги, глава отдела развития Balancer, автоматизированного маркет-мейкера, считает, что дополнительные риски связаны со сложностью мостов блокчейна:
«Мосты между цепями сопряжены с несколькими значительными рисками. Безопасность — один из самых больших рисков; из-за сложности и сложности реализации межсетевых мостов они подвержены ошибкам и уязвимостям, которые злоумышленники могут использовать для кражи активов или выполнения других вредоносных действий».
Мусиги также отмечает, что проблемы с масштабируемостью создают дополнительные риски для процесса моста:
«Еще один риск — это масштабируемость, поскольку мосты между сетями могут не справиться с большими объемами трафика, что приведет к задержкам и увеличению затрат для пользователей».
Защита мостов от эксплойтов
Разработчики могут предотвратить взлом межсетевых мостов, внедрив несколько мер безопасности, которые помогают обеспечить конфиденциальность, целостность и подлинность передаваемых активов.
Одной из наиболее важных мер является обеспечение безопасности и отсутствия уязвимостей кода смарт-контракта, составляющего основу межсетевых мостов. Этого можно достичь с помощью регулярных проверок безопасности, программ вознаграждения за обнаружение ошибок и проверок кода, которые помогают выявлять и устранять потенциальные проблемы безопасности.
Еще одна мера, которую могут предпринять разработчики, — это использование криптографических алгоритмов, таких как цифровые подписи и хеш-функции, для обеспечения передачи активов и информации между различными сетями блокчейнов. Это помогает обеспечить защиту передаваемых активов и предотвратить вмешательство злоумышленников в процесс передачи.
Регулярный мониторинг сети необходим для обнаружения подозрительной активности и предотвращения атак. Контролируя сеть, разработчики могут обнаруживать любые проблемы безопасности и предпринимать соответствующие действия для их устранения до того, как они причинят какой-либо вред.
Наконец, для разработки и развертывания безопасных мостов между блокчйенами требуется следовать передовым методам, таким как методы безопасного кодирования, тестирование и отладка, а также методы безопасного развертывания. При этом разработчики могут помочь обеспечить безопасность и стабильность кроссчейн-мостов.
Для предотвращения взлома межсетевых мостов требуется сочетание безопасного кода, криптографических алгоритмов, надежных механизмов консенсуса, мониторинга сети и следования рекомендациям.
Являются ли не требующие доверия мосты лучшим решением?
Не требующие доверия мосты могут обеспечить более безопасное решение для соединения активов между блокчейнами только в том случае, если код смарт-контракта прошел полную проверку на предмет отсутствия уязвимостей.
Основное преимущество безопасности не требующих доверия мостов заключается в том, что пользователи сохраняют свои токены в течение всего процесса, а смарт-контракты заботятся о процессе передачи. Кроме того, отсутствие центрального органа для блокировки токенов затрудняет атаку на мосты, поскольку нет единой точки отказа.
Мусиги говорит:
«Я считаю не требующие доверия мосты более безопасными, чем доверенные, поскольку они работают прозрачно и полагаются на децентрализованную сеть для проверки и облегчения передачи активов между блокчейнами, тогда как доверенные мосты полагаются на централизованную третью сторону, что означает, что есть единая точка отказа и концентрированная поверхностью атаки для хакеров».
«Не требующие доверия мосты легче подвергать аудиту, и их преимущества заключаются в минимизации доверия. Поскольку многие централизованные мосты также используют (более простые) смарт-контракты, не требующие доверия мосты можно считать менее рискованным, но все же не безрисковым вариантом», — говорит Берранг.
По мере развития децентрализованного финансового пространства разработчики должны принимать дополнительные меры для обеспечения безопасности кроссчейн-мостов. Однако по мере того, как криптопользователи все больше интересуются самостоятельным хранением и децентрализацией, популярность не требующих доверия мостов может расти.
