Son iki haftadır kriptodaki gelişmeleri takip ettiyseniz, kripto para birimlerinde 620 milyon dolarlık bir kaybı tehdit eden Ronin ağ istismarına aşina olabilirsiniz. Resmi olmayan otopsi, bilgisayar korsanlarının para çekme imzaları oluşturmak için güvenliği ihlal edilmiş özel anahtarlar kullandığını gösteriyor ki bu kripto alanında dikkatleri üzerine çeken bir sorun.
Bu parça, Ronin ağ saldırısında neler olduğuna, bilgisayar korsanlarının fonları nasıl aktardığına ve gelecekte böyle bir çoklu oturumu önlemek için mevcut çözümlere odaklanıyor.
Ronin Network Hack'i Anlamak
29 Mart'ta Axie Infinity yan zinciri, Ronin ağı topluluk uyarısı yayınladı 173,600 ETH ve 25.5 milyon USDC'nin bir bilgisayar korsanının cüzdanına aktarılmasıyla ağın saldırı altında olduğunu ve bunun sonucunda 620 milyon dolara yakın bir kayba neden oldu. SlowMist blok zinciri güvenlik ekibinin resmi olmayan otopsi sonuçlarına göre, saldırı, Ronin ağ doğrulayıcı düğümlerinin bir uzlaşması yoluyla gerçekleştirildi.
Ronin ağının ana şirketi Sky Mavis tarafından gönderilen topluluk uyarısında, hack 23 Mart'ta tamamlandı, ancak bazı kullanıcılar köprüden bazı fonlarını çekemediklerini bildirene kadar fark edilmedi. Açıklamaya göre, bilgisayar korsanı yalnızca iki işlemde köprüden para çekmek ve bunlara erişmek için güvenliği ihlal edilmiş özel anahtarlar kullandı.
Daha iyi anlamak için, Ronin ağı dokuz doğrulayıcı düğümden oluşur. Bu doğrulayıcı düğümler, işlemleri imzalamak için gereken dokuz doğrulayıcı düğümden beşi ile Ronin zincirindeki para yatırma ve çekme işlemlerini doğrular. Saldırgan, Sky Mavis'in dört Ronin Doğrulayıcısı ve Axie DAO tarafından yönetilen üçüncü taraf bir doğrulayıcı üzerinde kontrol sahibi olmayı başardı.
Tüm fiyasko, Sky Mavis'in ücretsiz işlemlerin dağıtılmasına yardımcı olması için Axie Infinity DAO'yu devrettiği Kasım 2021'e kadar izlenebilir. Ancak, çok sayıda işlem, Axie DAO'yu Sky Mavis'i beyaz listeye almaya zorladı ve şirketin yükü azaltmak için çeşitli işlemler imzalamasına izin verdi.
İşlemler azaltılırken, beyaz liste erişimi hiçbir zaman iptal edilmedi, bu da saldırganın Sky Mavis sistemine erişmesine ve işlemleri doğrulayıcı olarak imzalamasına izin verdi.
Sky Mavis'e göre, bilgisayar korsanı gazsız RPC düğümü aracılığıyla bir arka kapı buldu ve 620 milyon doların üzerinde kripto para çekmesine izin veren Axie DAO doğrulayıcısının imzasını aldı.
Saldırıya uğrayan çoklu imza platformları büyüyor gibi görünüyor, Solucan deliği köprüsü de son zamanlarda bir saldırıdan muzdarip. Ronin ağının aksine, Wormhole köprüsü kullanıcıları, bilgisayar korsanları yüz milyonlarca çalabildiği için o kadar şanslı değildi. Wormhole hack'i, çoklu imza tabanlı köprüyü, sarılmış Ethereum'un (wETH) Solana köprüleme sözleşmesine yatırıldığını ve Ethereum'da kullanıldığını göstermesi için kandıran bir akıllı sözleşme istismarını içeriyordu.
Son saldırılara rağmen, çoklu imza platformları, bu tür saldırıları önlemek ve daha iyi güvenlik sağlamak için ek bir ademi merkeziyetçilik katmanı sağlar. Şu anda durum böyle olmasa da, multisig cüzdanların arkasındaki fikir hala işlevseldir. Neyse ki, kripto dünyası bu son multisig tabanlı hack'leri önlemek için yavaş yavaş çözümler üretiyor, Flare'in LayerCake köprüsü bu soruna çözümler sunan en son sürüm haline geliyor.
Multisig Hack Problemini Çözme
Zincirler arasında güvenli birlikte çalışabilirliği sağlayan bir blockchain platformu olan Flare network, multisig sorununa çözüm üretmeyi hedefliyor. KatmanKek modeli. Bu model, birim zaman başına köprüden belirli bir miktarda değer taşımak için imza haklarına sahip olan parasal bir "Bant Genişliği Sağlayıcıları (BP'ler)" sistemi önerir.
Şu anda, her bir saatte bir olması önerilmektedir. “Bant Genişliği”, akıllı sözleşmeler tarafından zorunlu kılınan, herhangi bir zamanda köprüden geçebilecekleri değer miktarıdır, “Bant Genişliği” dir.
İmza sahiplerinin veya imza sahiplerine erişimi olan birinin sistemi çalmasını veya tehlikeye atmasını önlemek için, BP'lerin LayerCake akıllı sözleşmesine köprülenen aynı miktarda fon yatırması gerekir. Bu, tüm BP'ler veya imza sahipleri sistemi (Bant Genişliği) kandırmak için birlik olursa, kaybı karşılamak için akıllı sözleşmede depolanan aynı miktarda değer olmasını sağlar.
LayerCake modeli ayrıca, herhangi bir kötü amaçlı BP'yi köprü işlemlerini imzalamaktan kaldıran ve teşvik edilen gözlemcilerden oluşan açık bir ikincil sistem sunar. Bu nedenle, herhangi bir kötü niyetli bant genişliği sağlayıcısı tek bir zaman birimi içinde kaldırılabilir ve BP'ler tarafından sağlanan teminat her zaman köprü kullanıcı fonlarını kapsar. Tüm BP'ler kötü amaçlıysa, sistem daha yavaş da olsa zincirler arasındaki bir röle aracılığıyla çalışabilir.
Son olarak, sistem ayrıca, yeniden yapılandırma saldırılarının ihmal edilebilir bir olasılığa sahip olduğu bir süre boyunca BP'leri doğrudan Flare üzerinde teminat altına alarak kullanıcıları yeniden yapılandırma saldırılarından korur. Yeniden yapılanma saldırısında, BP'ler tarafından belirlenen teminat, kullanıcıların köprüdeki fonlarını geri ödemek için kullanılır.
Kaynak: https://www.cryptonewsz.com/flare-network-prevents-ronin-network-and-multisig-hack-problem/