23 февраля 2023

«Шериф обычно в доле»: как ломают и грабят кроссчейн-мосты 

Какие проблемы до сих актуальны для разработчиков кроссчейн-решений и можно ли построить полностью безопасный мост? Разбираемся в новом выпуске подкаста «Пираты и Корпораты». Спикер: Андрей Великий, CEO AllBridge.

Кроссчейн-решения

Чем занимается твоя команда? Какие планы на 2023 год?

Мы делаем мосты, создаем децентрализованную альтернативу, чтобы люди могли не пользоваться централизованными биржами для передачи активов между разными блокчейнами. Разбираем ZK, пытаемся увеличить уровень приватности моста. Хотим сделать дополнительные настройки приватности, например для выплаты зарплаты ончейн, чтобы работники не знали, сколько платят другим. 

Какие проблемы кроссчейна остаются нерешенными? 

На текущем технологическом уровне мы не можем решить глобальные проблемы, например, плохую работу блокчейнов, которая мешает построению кроссчейн-решений. Процесс перевода денег через мосты первого поколения сложный. Можно оптимизировать пользовательский опыт: заворачивать транзакции в единую транзакцию отправки и получения, финализировать транзакцию за пользователя, учитывая клейминг в стоимости исходящей транзакции. 

Наша задача — сделать так, чтобы под капотом все работало, но на пользователе это не должно отражаться. Мосты постоянно взламывают, они лакомый кусочек для хакеров. В 2017 году мы каждую неделю читали о взломе очередной биржи, но рынок адаптировался, научился справляться с хакерами в основных секторах атаки.

Если эти проблемы решат, кто будет пользоваться кроссчейн-решениями? 

Это будет не тот, кто только пришел в крипту, потому что перенос активов между разными сетями — не первоочередная задача. Этот человек должен не доверять централизованным биржам. 

Тебя зацепило падение FTX?

Я пострадал от Terra LUNA, но не хранил активы на FTX. Я недолюбливаю биржи.

Ты разрабатывал мост самостоятельно или организовывал команду?

У нас в команде двадцать два человека, в основном разработчики.

Можешь ли ты сам построить мост?

Нет. Если ChatGPT будет развиваться, смог бы построить мост между EVM-сетями, там контракты несложные. 

Заложил бы всю свою ликвидность в мост, который построила твоя команда?

Да. Когда мы создали новую версию моста с нативными стейблами, то заложили свои деньги, потому что пользователи их не несли. 

Смарт-контракты

Какие задачи выполняют смарт-контракты в кроссчейн-решениях?

Задача мостов, создающих обернутые активы, следующая: принять актив, подтвердить получение, создать актив в сети, на которую переводят деньги. Если это пулы ликвидности на мосту, актив попадает в пул ликвидности чейна А; нужно подтвердить увеличение денег на чейне, сообщить на чейн Б о необходимости отпуска актива. Этот кейс отличается необходимостью балансировать ликвидность.

Есть мнение, что многие смарт-контракты — шаблоны с уязвимостями, из-за которых происходят взломы. Как с этим борются? 

Hacken, Kudelski, Cossack Labs проводят аудит нашего кода, но вероятность взлома остается.

В каких сферах могут применяться смарт-контракты?

1. Децентрализованные биржи: торговля активами без посредников. 

2. Мосты: перенос активов между блокчейнами без посредников. 

3. Лендинг-протоколы: одалживание одних активов за счет других и их ликвидация, если рынок пошел не в ту сторону. 

Главное — соединить эти три проекта, чтобы все было в одном месте. 

ChatGPT выделил следующие сферы использования смарт-контрактов: 

1. Автоматизация финансовых транзакций: платежи по кредитам, расчет с поставщиками.

2. Обеспечение безопасности автоматизированных и прозрачных сделок с активами: недвижимостью, акциями. 

3. Обеспечение честных и автоматизированных онлайн-игр, результаты которых определяются алгоритмами, а не человеческим фактором. 

Что-то добавишь?

Обмены во втором пункте — это и есть децентрализованные биржи. Платежи по кредиту в первом пункте — лендинг-протоколы. В третьем, наверное, используется гемблинг — возможность децентрализованным образом верифицировать, что люди могут рисковать деньгами, играя в азартную игру, но их не кинут. 

Какое будущее ждет смарт-контракты, будут ли они развиваться?

Контракты будут развиваться, все будет идти в сторону конструктора  Lego: будут комбинироваться части, заранее написанные людьми или ChatGPT. Фаундер сможет сам собрать контракт, если это не проект, в котором нужна техническая экспертиза.

Можешь ли написать смарт-контракт?

Да.

Доверился бы смарт-контракту при продаже квартиры?

Нет.

Как смарт-контракты могут быть изменены государственным влиянием?

Ждет ли нас цифровой ГУЛАГ? — Да. Помогут ли смарт-контракты установить государству более жесткий контроль? — Да. 

Какого децентрализованного предложения не хватает на рынке?

Мало удобных децентрализованных бирж с ордербуками. 

Взломы мостов

Если увидишь, что компания бандитов обсуждает ограбление твоих мостов, пойдешь ли жаловаться шерифу или перестреляешь в одиночку?

Нужно стрелять, закапывать, чтобы никто не нашел — шериф обычно в доле. Знаю команды, которые ломали свой мост. Когда слышим новость о пропаже ста миллионов долларов, сложно поверить, что это были хакеры, а не члены команды, но это не наш путь.

Как грабят мосты?

Мост могут ввести в заблуждение относительно передаваемых активов. Так было с Wormhole: мост думал, что ему дали обернутый Ethereum, он в обмен выдал настоящий Ethereum. Могут атаковать валидаторов, которые подписывают транзакцию: транзакция была неправильной, но через взлом валидатора ее подписали как правильную. 

Чего ты боишься как строитель?

Я боюсь всего: что будет проблема с блокчейном, что будет уязвимость, которая не связана с мостом или чейном. 

Какой мост считаешь самым безопасным? Не считая своего.

Мне нравится Stargate. 

Смог бы ограбить собственный мост?

Индустрия криптовалюты незрелая, она динамично развивается. Незадолго до падения UST я встречался с его создателями, они были настолько уверены в будущем проекта, что я отнес им свои деньги, а он обвалился.

Две недели назад ты вживую слушал Чанпэна Чжао, после чего прошла новость про BUSD. Нет вероятности, что у тебя черная карма и BUSD уйдет в ноль? 

Вероятность есть, но Binance как экосистема больше. У BUSD есть обеспечение в виде активов, других стейблкоинов, нет причин депегнуться.

Нам нужны все мосты или можно обойтись одним, но качественным?

Нужны разные мосты.

Можно ли создать абсолютно безопасный мост?

Нет.

Пошел бы грабить мосты? 

Нет.

Для чего нужно больше знаний: чтобы грабить или строить?

Нужно знать больше, чтобы строить. Нам было бы легче кого-то сломать, чем придумывать архитектуру, где нас сложно взломать. Вопрос в долгосрочности стратегии.

Все другие выпуски подкаста Пираты и Корпораты доступны здесь.

Обсудить в Discord!