Часть II. Мосты. Перечень. Плюсы и минусы. Будущее

Первая часть: hub.forklog.com/chast-i-mosty-perechen-plyusy-i-minusy-budushhee. 

Главная проблема мостов

Какая? Централизация ликвидности: не важно, делаете ли вы обмен обёрнутыми активами, или “нативными” — всё одно, если ликвидность централизована. А она, поверьте, централизована на всех современных решениях. 

Примеры взломов

Wormhole

Общие вводные:

1. Сколько украли? Около $326 000 000
2. Когда? Февраль 2022
3. Что взломали? “Злоумышленник воспользовался неким багом, чтобы обмануть системы Wormhole и выпустил намного больше токенов, чем предоставил изначально”
4. Какова фича взлома? Обход подписи: “корень проблемы был связан с верификацией входных данных, а эксплоит злоумышленника позволял полностью обойти проверку подписи”. 

Как видим: подпись была подделана ровно и именно из-за децентрализации. 

Ronin

Общие вводные:

1. Сколько украли? Более $600 000 00
2. Когда? Март 2022
3. Что взломали? Фактически — валидаторов моста
4. Какова фича взлома? Социальная инженерия: “Злоумышленник использовал хакнутые приватные ключи для подделки вывода средств”. 

Опять же  — крайне просто отследить, что централизация ликвидности моста здесь сыграла ключевую роль. 

Horizon (Harmony)

Общие вводные:

1. Сколько украли? Более $100 000 000
2. Когда? Июнь 2022
3. Что взломали? Целевые компьютеры с помощью малвари TraderTraitor
4. Какова фича взлома? Самое важное, что о взломе можно было догадаться заранее

Самое важное, что здесь взлом централизованной ликвидности компенсировался децентрализованным решением сообщества о компенсациях, что не отменяет слабости именно ликвидности. 

Nomand

Общие вводные:

1. Сколько украли? Около $200 000 000
2. Когда? Август 2022
3. Что взломали? “Атака произошла из-за неправильной конфигурации основного смарт-контракта проекта, допущенной во время обновления”
4. Какова фича взлома? Он был децентрализованный: каждый, кто видел ошибку — забирал себе ликвидность

И это — яркий пример централизации ликвидности. Идём дальше. Для тех, кто хочет вникнуть в технические детали — рекомендую изучить отчёт Certik: https://www.certik.com/resources/blog/28fMavD63CpZJOKOjb9DX3-nomad-bridge-exploit-incident-analysis. 

Можно ли решить эту проблему?

Мне видится, что да. Путей несколько. Отмечу три:

1. Выход в нормальный ZKP-мир, где централизации будет меньше: на сегодня мне ближе всего вот это решение, но есть масса иных: https://appv1.envelop.is/crossings;
2. Децентрализация сначала фронтенда (потому что без этого всё равно будет целая куча атак и не только на кучу, если понимаете отсылку), а уже после — и переход на уровень ниже;
3. Важно понять, что вся система с супер-узлами, которые ограничены по количеству, — всегда будет уязвима: и к Сибилла-подобным атакам, и к банальному фишингу и социальной инженерии, и уж тем более — к более сложным нападениям. 

Но главная проблема, как и всегда, лежит не в области технологии, а идеологии: VC, инвестирующие в мосты, надеются на создание “самых крупных среди всех”, чтобы всю ликвидность завести на себя. 

Поэтому сейчас крайне интересно наблюдать за рождением атомарных свопов 2.0, противостоянием мультичейн-решений (Cosmos, Polkadot, Avalanche, etc. & EVM) и рождением инноваций в области именно мостов: в частности, мы вышли из эпохи обёрнутых активов, чтобы… вернуться к ним уже в стане программируемых ассетов. 

Но это — уже иная история, а к теме мостов мы вернёмся ещё и не раз. Пока же всё и 

До!