Блог
ru
Русский
en
English
en

Что такое блокчейн-мосты и чем они опасны

Блокчейн-мосты позволяют переносить криптоактивы между разными блокчейн-платформами

Станислав Андреев, Автор
25 июля 2023, 20:07

Ключевые моменты

  • Блокчейн-мосты — это сервисы, которые позволяют двум различным блокчейн-сетям взаимодействовать друг с другом.
  • Блокчейн-мосты бывают кастодиальными и некастодиальными.
  • Работа мостов состоит из четырех основных этапов: запрос на перенос активов с одного блокчейна на другой, подтверждение транзакции на исходном блокчейне и создание доказательства транзакции, передача доказательства на конечный блокчейн, передача активов.
  • Мосты уязвимы из-за возможности централизации контроля, уязвимостей в смарт-контрактах, непрозрачность механизма работы, пересечения блокчейнов с разной безопасностью и недостаточной проверки данных при подтверждении.
  • Блокчейн-мосты не являются безопасными по умолчанию. Они часто сталкиваются со взломами.

Блокчейн-мосты — это сервисы, которые позволяют двум различным блокчейн-сетям взаимодействовать друг с другом. В контексте криптовалют мосты обычно используются для передачи токенов между разными блокчейнами.

Виды мостов

В кастодиальных мостах есть третья сторона (обычно организация или группа управляющих), которая контролирует процесс перехода активов с одной сети на другую. При отправке активов через кастодиальный мост они сначала переходят к посреднику, а затем посредник передает их в нужный блокчейн. Если посредник становится жертвой атаки или действует злонамеренно, активы могут быть потеряны.

Некастодиальные мосты работают без посредника. Вместо этого они используют смарт-контракты или другие децентрализованные механизмы для автоматического перемещения активов между цепочками. Это считается более безопасным вариантом, поскольку нет единой точки отказа. Однако, хотя риск потери активов из-за злонамеренного действия или атаки существенно снижается, все еще существует риск из-за ошибок в коде смарт-контрактов.

Как работают децентрализованные мосты

  1. Запрос на передачу. Когда вы хотите перенести активы с одного блокчейна на другой, вы отправляете запрос на перевод через мост. Это сопровождается замораживанием ваших активов на исходном блокчейне.
  2. Подтверждение и создание доказательства. Затем мост подтверждает транзакцию на исходном блокчейне и создает доказательство транзакции. Доказательство будет использоваться в конечном блокчейне для подтверждения владения активов, которые переносятся на другой блокчейн.
  3. Подтверждение транзакции на конечном блокчейне. Затем мост передает доказательство в конечный блокчейн. Если все в порядке, конечный блокчейн подтверждает транзакцию и блокирует эквивалентное количество активов на своей стороне.
  4. Передача активов. Вы наконец получаете активы на конечном блокчейне и можете использовать их по своему усмотрению.

Пример работы моста

Представьте, что у вас есть 1 ETH на Ethereum и вы хотите обменять его на такой же актив, но в сети Binance Smart Chain (BSC). Вместо продажи токенов в одной сети и покупки их в другой сети, вы можете воспользоваться мостом:

  1. Вы отправляете ETH на специальный адрес в сети Ethereum, который контролирует мост. Здесь токены замораживаются.
  2. Мост создает эквивалентное количество токенов на BSC. Эти токены представляют собой замороженные токены ETH и могут быть свободно использованы в сети BSC.
  3. При возврате токенов обратно в сеть Ethereum процесс происходит в обратном порядке. Токены на BSC сжигаются, а замороженные токены ETH размораживаются и возвращаются вам.

Это простой пример работы блокчейн-мостов. Разные мосты могут работать по-разному в зависимости от их конкретной архитектуры и целей. Также стоит иметь в виду, что мосты могут быть подвержены кибератакам.

Уязвимости мостов

  1. Централизация и контроль над мостом. Один из ключевых рисков блокчейн-мостов — возможность централизации контроля. В случае, если мостом управляет централизованная организация или группа лиц, возникает риск манипуляции с активами, пересылаемыми через мост. Это может привести к потере средств.
  2. Уязвимости в смарт-контрактах. Блокчейн-мосты используют смарт-контракты для переноса активов между различными блокчейнами. Уязвимости в смарт-контрактах могут быть использованы для воровства денег. Это могут быть уязвимости в коде, отсутствие проверки входных данных и уязвимости, связанные с обработкой времени.
  3. Неизвестность и непрозрачность. Некоторые мосты могут не раскрывать достаточной информации о своей архитектуре, алгоритмах или методах обеспечения безопасности. Это оставляет пользователей в неведении относительно рисков, связанных с использованием таких мостов, и может привести к непредсказуемым последствиям.
  4. Пересечение блокчейнов с разной безопасностью. Блокчейн-мосты предназначены для соединения разных блокчейн-платформ, которые могут иметь различные уровни безопасности. Если один блокчейн менее безопасен или подвержен атакам, это может стать слабым звеном в цепи и создать возможности для компрометации активов, передаваемых через мост. Кроме того, несоответствие в механизмах консенсуса или в алгоритмах шифрования между блокчейнами может создать уязвимости и возможность атак.
  5. Недостатки проверки данных. Блокчейн-мосты требуют проверки данных для подтверждения существования и принадлежности переносимых активов. Недостатки в процессе проверки данных могут привести к возможности подделки активов или переноса несуществующих активов. Это может привести к финансовым потерям и потере доверия пользователей.

Блокчейн-мосты не являются безопасными по умолчанию. К сожалению, случаев взлома мостов известно много. Выделим наиболее заметные из них.

Известные случаи взлома блокчейн-мостов

  1. Мост Binance Smart Chain (BSC). В октябре 2022 года мост BSC был атакован, после чего последовала попытка кражи около $600 млн. Благодаря своевременным действиям команды BSC удалось сберечь часть средств. Злоумышленники вывели немногим больше $100 млн. Работа валидаторов была приостановлена на время расследования инцидента. В настоящее время, по утверждению главы Binance, проблема устранена.
  2. Мост Wormhole. Это мост между Ethereum и Solana, который стал жертвой взлома в феврале 2022 года. Злоумышленник обошел проверку подписи и украл токены на $236 млн. Уязвимость была быстро устранена, но случившееся серьезно пошатнуло доверие к мосту.
  3. Мост Nomad. В августе 2022 года мост Nomad был атакован на сумму более $190 млн в WETH и USDC. Большая часть средств была украдена, но некоторые возвращены белыми хакерами. Атака произошла из-за уязвимости смарт-контракта, и, когда это стало известно, некоторые разработчики смогли воспроизвести атаку и продолжить вывод денег с моста.
  4. Мост Harmony’s Horizon. В июне 2022 года мост Harmony был атакован на сумму $100 млн после компрометации приватных ключей. С тех пор схема мультиподписи моста была обновлена. Теперь требуется одобрения четырех из пяти валидаторов. К расследованию инцидента подключили ФБР.
  5. Мост Ronin. В марте 2022 года произошел другой крупнейший взлом, который приписывают северокорейской группе хакеров Lazarus Group. В результате украли около $600 млн.
  6. Thorchain. Первая атака произошла в июле 2021 года. Тогда украли примерно 4000 ETH (около $8 млн)​​. В ходе второй атаки 23 июля из Thorchain вывели еще $8 млн. В октябре 2022 года Thorchain вынужденно приостановил работу из-за сбоя в программном обеспечении. Во время первой и второй атаки хакер использовал уязвимость в контракте Bifrost, который поддерживает мост Thorchain, чтобы украсть криптовалюту. В ответ на эту атаку команда решила приостановить сеть​​. 

Актуальную информацию о взломах мостов и похищенных средствах можно получить на сайте DefiLama.

Как минимизируются риски

  • Обновление кода. Часто атаки происходят из-за уязвимостей в коде моста. Регулярное обновление и тестирование кода могут помочь обнаружить и исправить эти уязвимости.
  • Больше валидаторов. В некоторых случаях атаки возможны из-за того, что требуется одобрение только от небольшого числа валидаторов. Увеличение числа валидаторов и требование одобрения большего числа из них может уменьшить риск атак.
  • Белые хакеры. В некоторых случаях «белые шляпы» могут помочь вернуть украденные средства. Поощрение таких белых хакеров может помочь снизить ущерб от атак.
  • Образование. Многие пользователи не осознают риски, связанные с использованием мостов. Образовательные программы и ресурсы могут помочь пользователям лучше понимать риски и способы защиты.
  • Безопасные практики. Использование сильных паролей, двухфакторной аутентификации и других безопасных практик может помочь защитить аккаунты пользователей от атак.

Самые крупные мосты по версии DeFiLama:

  1. Stargate
  2. Polygon PoS Bridge
  3. Arbitrum Bridge
  4. Celer cBridge
  5. Multichain