Merkezi olmayan finans (DeFi), blockchain ekosisteminde heyecan verici bir kategori olarak ortaya çıkmış olabilir, ancak henüz yeni oluşan durumu, birçok katılımcıyı bu daha demokratikleştirilmiş finansal hizmetlerin yinelenmesinin beraberinde getirdiği risklere maruz bıraktı.
The latest exploit of Wormhole, a blockchain bridge between Solana and Ethereum, underscores the flaws that continue to crop up and impact DeFi users. For context, the hack of $325 million was effectively the result of flawed logic in the bridge’s programming set for an update.
Normalde Solucan Deliği üzerinden Solana'ya akan bir işlem, geçerli bir işlem imzası ve koruyucusu (onaylı doğrulama düğümü) gerektirir. Bu iki koşulun karşılanması halinde işlem talepleri onaylanır. Geçersiz işlem imzası ve geçerli vasi olması durumunda, işlemi başlatmak için gerekli koşullar yerine getirilmediğinden Solana bu talebi reddeder. Ancak bilgisayar korsanı, geçersiz bir işlem imzasının ve geçerli bir vasinin olduğu geçersiz koşullar sunmak yerine, geçersiz bir imza ve veli olmayan bir kişi kullanarak etkin bir şekilde iki onaylanmamış koşul oluşturdu.
İşlem isteklerini kabul etmek amacıyla bir "eşleşme" oluşturmak için iki geçerli koşula ihtiyaç duyulduğundan ve iki geçersiz koşulun da sistemin mevcut mantığı içinde bir "eşleşme" olarak görülebilmesinden dolayı, bu, bilgisayar korsanının Solana'da sarılmış Ethereum (wETH) basmasına izin verdi . Bilgisayar korsanı, emanet hesabı işlevi gören bir hesaba 120,000 ETH yatırmak zorunda kalmadan 120,000 wETH bastı ve bu daha sonra takas edildi ve Wormhole'u Solana'daki diğer wETH'leri teminat altına alan sıradan Ethereum'un kilidini açması için kandırdı.
Her ne kadar Solucan Deliği ekibi o zamandan bu yana açığı kapatmış olsa da, bu yöndeki çabalarını duyurmasına rağmen köprüden çalınan fonları nasıl yeniden sermayelendirmeyi planladıkları belirsiz. Bilgisayar korsanına ödül teklifinde bulunmalarına rağmen yanıt vermemeleri sağır edici oldu. Yine de bu hack, DeFi'yi birbirine bağlayan kritik birlikte çalışabilirlik altyapılarındaki ve daha da önemlisi blockchainlerin iletişim kurmasına izin veren altyapılardaki önemli güvenlik açıklarını vurguluyor.
Çok Taraflı Hesaplama Daha Güvenli Birlikte Çalışabilirlik Anlamına Gelebilir mi?
Birlikte çalışabilirlik veya bu bağlamda bağlantısız blok zincirlerini ve ekosistemleri birbirine bağlama yeteneği, çeşitli köprüler, oracle'lar ve daha fazlası aracılığıyla merkezi olmayan finansı bir arada tutan yapıştırıcıdır. Bununla birlikte, birlikte çalışabilirlik, Solucan Deliği'nde olduğu gibi, özellikle de birlikte çalışabilirliğin iki sistem arasındaki güvenli değer alışverişini denetlemekten sorumlu olduğu durumlarda, güvenlik açığı anlamına da gelebilir.
Belirli işlemleri onaylamak için birden fazla taraf veya kanıt (imza gibi) talep etme fikri, blockchain teknolojisine yabancı değil, belirli e-Cüzdanların oldukça yaygın bir özelliğidir. İmza yetkisini birden fazla tarafa dağıtma fikri, tek bir başarısızlık noktası riskini azaltır.
Mutlisig cüzdanları için bu, ortak imzacıların kim olacağına ve kaç ortak imza sahibinin bir işlemi imzalaması gerektiğine karar vermek anlamına gelir. Bu modeldeki sorun, ortak imzalayanların ve izinlerin değişmesidir; ayrıca birden fazla imzanın aynı anda sunulması gerekmesi, bunun sonucunda da ortak imzalayanların her işlem için kullanılabilirlik talepleri ortaya çıkmasıdır.
Çok partili hesaplama (MPC) bu komplikasyonları önlemeye yardımcı olabilir, ancak uygulaması cüzdanların ve anahtar doğrulamanın çok ötesine uzanır. MPC, gizli anahtarların tamamını değil, bir kısmını içeren tamamen değiştirilebilir uç noktalar kullanır. Bu uç noktalar birlikte bir fikir birliği oluşturmak için kullanılır ve bir işlemde bu fikir birliğine ulaşmak için minimum sayıda uç nokta belirlenir.
Kurt Nielsen, the President and Co-founder of Partisia blockchain, believes that MPC holds the key to unlocking the true potential of interoperability in a more secure, trustworthy framework. Nielsen notes, “Interoperability via token bridges exhibits immense potential to become a main value creator in the blockchain ecosystem. However, as we saw in the Wormhole exploit, moving tokens outside of their established security model poses significant challenges and vulnerabilities. Our answer is more sophisticated, proven audit principles and large scale MPC security measures.”
Ayrıca şöyle açıklıyor: "İlk olarak, süresi düzenli olarak dolan bir Oracle, 14. yüzyıldaki Medici Bank'tan bu yana değerini kanıtlamış olan çift girişli defter tutma gibi farklı blok zincirlerindeki değerleri etkili ve şeffaf bir şekilde temsil eder. İkincisi, büyük ölçekli MPC güvenlik önlemleri, Oracle'lar veya dönemler arasında finansal riskin birikmesini önler. Üçüncüsü, belirli bir dönemde Oracle'ı işleten düğümler, aktarılan değerleri desteklemek için teminat sağlar ve son olarak nesnel dengesizlikler, merkezi olmayan bir anlaşmazlık süreci yoluyla telafi edilir.
Partia, 2008'den beri ticari sınıf MPC çözümlerinde yer alıyor ve şimdi zekasını blockchain tabanlı uygulamalara uyguluyor. Partia Blockchain, Sıfır Bilgi kanıtı hesaplamalarını kullanarak etkili bir şekilde birlikte çalışabilirlik katmanı olarak hareket eder. Düğümlerin güven puanlarına göre derecelendirilmesi ve sıralanmasıyla DeFi kullanıcıları, değerlerini ekosistemler arasında nasıl ve kimin taşıdığı konusunda daha fazla güven kazanabilir.
Her ne kadar 2022'deki bu türden en büyük olay olsa da Solucan Deliği, yıl ilerledikçe muhtemelen bilgisayar korsanlarının hedef aldığı tek DeFi protokolü, köprü veya blockchain olmaktan uzak olacak. Bununla birlikte, Partia'nın da gösterdiği gibi MPC, neyin kim tarafından ve nereye aktarıldığını tam olarak bilmeden verileri veya değer aktarımını denetleyen ağlar arasındaki iletişimi teşvik eden bir strateji olarak öne çıkıyor.
Kaynak: https://zycrypto.com/wormhole-exploit-underlines-case-for-greater-mpc-use-across-blockchain-oracles-bridges/