Web3 wird nicht zum Mainstream, bis es eine nahtlose Blockchain-Integration gibt: Was bedeutet das bei immer mehr Bridge-Angriffen?

Bereits im März 2022 das Kryptowährungsnetzwerk Ronin enthüllte, dass es einem der größten Hacks aller Zeiten zum Opfer gefallen war und eine Verletzung erlitten hatte, die es Angreifern ermöglichte mehr als 540 Millionen Dollar stehlen im Wert von Ethereum- und USD-Münzen. Bei dem Vorfall nutzten Hacker eine Schwachstelle in einem Dienst aus, der als Ronin Bridge bekannt ist. Es ist einer von mehreren erfolgreichen Angriffen auf „Blockchain-Brücken“ in letzter Zeit, die die Aufmerksamkeit auf ihre inhärenten Sicherheitsineffizienzen gelenkt haben.

Blockchain-Brücken, manchmal auch Netzwerkbrücken genannt, sind Dienste, die es Krypto-Inhabern ermöglichen, ihre digitalen Assets von einer Blockchain in eine andere zu verschieben. Sie spielen eine wichtige Rolle, da Kryptowährungen oft isoliert sind und keine Interoperabilität aufweisen, was bedeutet, dass Sie beispielsweise Bitcoin an eine Ethereum-Wallet-Adresse senden können. Aufgrund dieser isolierten Natur haben sich Brücken zu einem Schlüsselmechanismus innerhalb der Kryptoökonomie entwickelt.

Bridge-Dienste übertragen nicht wirklich eine Art von digitalen Assets auf eine andere Kette. Vielmehr „verpacken“ sie Kryptowährungstoken, um sie in einen neuen Vermögenswert auf der anderen Kette umzuwandeln. Wenn ein Benutzer also Bitcoin mit Solana überbrücken möchte, friert die Brücke im Wesentlichen die ursprüngliche BTC ein, indem sie sie in einer Wallet-Adresse sperrt, bevor sie die sogenannte Wrapped BTC (WBTC) ausspuckt, die in der zweiten Kette verwendet werden kann. Man kann es sich als eine Art Geschenkkarte vorstellen, die genau den gleichen Geldwert bietet, der nur in einem bestimmten Geschäft verwendet werden kann.

Aufgrund ihrer Funktionsweise halten Bridges daher erhebliche Reserven an Kryptowährungstoken, die in Smart Contracts eingeschlossen sind, und diese Reserven machen sie für Hacker besonders attraktiv.

Wie Krypto-Experten nur zu gut wissen, ist jeder Wert, der in der Kette gehalten wird, zu jeder Tageszeit Angriffen ausgesetzt. Das Internet geht nie offline, was bedeutet, dass auf die Token, die von jeder Bridge gehalten werden, immer zugegriffen werden kann.

Ronin Hack zeigt die Gefahr der Zentralisierung

 Der Angriff auf das Ronin-Netzwerk war in Bezug auf den Dollarwert einer der größten DeFi-Überfälle aller Zeiten. Ronin ist eine Ethereum-Sidechain, die günstigere Transaktionen mit viel höheren Geschwindigkeiten als das Hauptnetzwerk ermöglicht. Es war die Bridge der Wahl für das beliebte „Play-to-Earn“-Kryptowährungsspiel Axie Infinity, was bedeutet, dass es ständig Millionen von Dollar in Krypto und Stablecoins verarbeitete.

Sidechains sind eine Blockchain-Skalierungslösung, die eine Brücke benötigt, um sich mit anderen Ketten zu verbinden. Mit Ronin sind Benutzer in der Lage, ihre ETH zu sperren und ETH in alternativen Netzwerken zu minzen. Transaktionen werden über einen Proof-of-Authority-Konsensalgorithmus verarbeitet und genehmigt. Bei diesem Modell müssen 5 von 9 Prüfern einer Transaktion zustimmen, damit ein Konsens erzielt wird. Allerdings wurden vier von Ronins Validatoren von einem Unternehmen betrieben – Sky Mavis, dem Entwickler von Ronin.

Es war ein stark zentralisiertes Setup, das aus der Entscheidung von Axie Dao resultierte, im November 2021 einen gasfreien RPC-Knoten einzurichten, um zu versuchen, Netzwerküberlastungen zu beheben. Die DAO hat Sky Mavis-Schlüssel auf die Positivliste gesetzt, um Transaktionen in ihrem Namen zu signieren. Es sollte nur eine vorübergehende Vereinbarung sein, aber die Zulassungsliste wurde nie widerrufen. Dies eine Öffnung geschaffen für die Angreifer – angeblich die von Nordkorea gesponserte Lazarus Group – die Social-Engineering-Techniken einsetzte, um die vier Schlüssel von Sky Mavis zu kompromittieren. Die Hacker entdeckten dann eine Schwachstelle im Code des RPC, die ihm die Kontrolle über einen fünften Validator verschaffte und ihm erlaubte, eine illegale Auszahlung vorzunehmen.

Das Hauptproblem war, dass Ronins Multi-Signatur-System zum Signieren von Transaktionen aufgrund mangelnder Dezentralisierung kompromittiert wurde. Es veranschaulicht die Schwäche von Sicherheitsmechanismen, bei denen die Mehrheit der Governance in den Händen einer einzigen Einheit konzentriert ist.

Smart Contract-Schwachstellen bestehen fort

 Der Ronin-Hack war kein Einzelfall, sondern nur der jüngste in einer Reihe hochkarätiger Angriffe auf Blockchain-Brücken, die zu einem Wertverlust in Millionenhöhe geführt haben. Einen Monat zuvor hatten sich Angreifer nach einem Angriff auf die Qubit Bridge erfolgreich mit Ethereum im Wert von rund 80 Millionen Dollar davongemacht.

Es handelt sich um einen von der Qubit Finance-Plattform betriebenen Dienst, der es Benutzern ermöglicht, digitale Assets über die Ethereum- und Binance-Smart-Chain-Netzwerke zu verleihen und zu leihen. So ist es beispielsweise möglich, einen ERC-20-Token zu hinterlegen und dafür einen BEP-20-Coin zu erhalten, der dann in der Binance-Kette verwendet werden kann.

Qubit Bridge wurde aufgrund eines angeblich „logischen Fehlers“ im Code seines Smart Contracts gehackt. Die Schwachstelle ermöglichte es dem Hacker, die Brücke mit bösartigen Daten zu manipulieren, sodass er oder sie BSC-Token abheben konnte, ohne eine Einzahlung auf Ethereum zu tätigen. Ein Autopsie des Angriffs festgestellt, dass der QBridge Smart Contract nicht richtig verifiziert hat, dass die erforderliche Menge an ETH gesperrt war. Stattdessen konnte der Hacker einen gefälschten Beweis für eine nicht vorhandene Einzahlung vorweisen.

Der Vorfall verdeutlichte, dass Schwachstellen in Smart Contracts nach wie vor ein anhaltendes Problem in DeFi und insbesondere für Blockchain-Bridges sind. Die überwiegende Mehrheit der Bridge-Angriffe zielt auf Fehler in Smart Contracts ab, bei denen es sich um automatisierte Verträge handelt, die sich selbst ausführen, wenn bestimmte Bedingungen erfüllt sind.

Brücken sind der Schlüssel zur Erweiterung der Reichweite von Crypto

 Kryptoplattformen sind einem endlosen Strom von Angriffen ausgesetzt, seit die aufstrebende Industrie populär wurde. Anhänger von DeFi sagen, dass es eine zugänglichere und gerechtere Alternative zu traditionellen Finanzdienstleistungen bieten kann, aber mit der Entwicklung des Raums wurde es im Wesentlichen einer Feuerprobe unterzogen. Angriffe auf Brücken sind so alltäglich geworden wie der Austausch von Kryptowährungen und Überfälle auf das DeFi-Protokoll. Das Problem ist, dass Bridges, wie Börsen und Protokolle, High-Stakes-Plattformen sind, die einen enormen Wert haben, und jede von ihnen könnte anfällig für Fehler in ihrem zugrunde liegenden Code sein.

Es ist ein weit verbreiteter Glaube, dass Krypto und DeFi ohne eine angemessene Lösung für das Risiko von Angriffen niemals eine breite Akzeptanz erreichen werden. Der überwiegende Teil des Werts der Welt wird von institutionellen Anlegern wie Investmentbanken und großen Hedgefonds gehalten. Solche Organisationen räumen der Einhaltung und der Sicherheit ihrer Gelder Vorrang vor potenziellen Gewinnen ein. Daher ist es unwahrscheinlich, dass DeFi und Krypto viel mehr als eine Nischen-Investmentbranche werden, bis ihre Sicherheitsprobleme gelöst werden können.

Brückensicherheit ist von besonderer Bedeutung. Die isolierte Natur von Blockchains ist ein schwerwiegendes Handicap, das die potenzielle Reichweite jeder dezentralisierten Anwendung einschränkt. Eine auf Ethereum aufgebaute dApp kann nicht mit anderen auf Basis unterschiedlicher Blockchains kommunizieren. Es kann nicht mit Bitcoin handeln, der wertvollsten und am weitesten verbreiteten Kryptowährung der Welt, was bedeutet, dass BTC-Inhaber keine Möglichkeit haben, mit dem DeFi-Ökosystem zu interagieren. Wenn Krypto jemals allgegenwärtig werden soll, müssen Benutzer eine sichere Möglichkeit haben, mit verschiedenen Ketten zu kommunizieren.

Bessere Brücken bauen

 Die gute Nachricht ist, dass einige in der Branche die Bedeutung einer sicheren Blockchain-Konnektivität erkennen. Eine spannende Aussicht ist AllianceBlocks vielversprechend AllianceBridge, das große Netzwerke wie Ethereum, Binance Smart Chain, Avalanche, Polygon, Arbirtrum, Optimism und Energy Web mit einer einzigartigen Infrastruktur unterstützt, die stärker dezentralisiert ist und eine schnellere und sicherere Leistung bietet.

Im Gegensatz zu zentralisierten Bridges, die sich auf eine einzelne oder nur wenige Einheiten verlassen, um zu überprüfen, ob Transaktionen legitim sind, basieren dezentrale Bridges auf denselben Prinzipien wie die Blockchain selbst. Es gibt mehrere Betreiber, die gut strukturierte Konsensmechanismen verwenden, um die Gültigkeit von Transaktionen festzustellen. AllianceBridge ist eine dezentrale Brücke, die eine einzigartige Methode entwickelt hat, um sicherzustellen, dass ein Konsens erreicht wird.

Wie bei anderen sperrt AllianceBridge die Token, die es erhält, in einen Smart Contract und gibt dann verpackte Token auf der Ziel-Blockchain aus. Diese verpackten Token werden in der zweiten Kette existieren, bis der Benutzer entscheidet, sie im ursprünglichen Netzwerk einzulösen. An diesem Punkt werden die verpackten Token verbrannt, was bedeutet, dass sie nicht mehr existieren, während die ursprünglichen Token in der nativen Kette entsperrt werden.

Der Unterschied zwischen AllianceBridge besteht darin, dass es ein EVM-kompatibles Netzwerk von Bridge-Betreibern verwendet. Darüber hinaus nutzt es die robusten Drittanbieter Hedera Hashgraph-Konsensdienst das von einem innovativen „Klatsch-über-Klatsch” Konsensalgorithmus.

Mithilfe des HCS-Dienstes können Blockchain-Anwendungen und -Netzwerke Nachrichten an das öffentliche Hauptbuch von Hedera senden, wo sie mit Zeitstempel versehen und mit voller Transparenz geordnet werden. Dies ermöglicht es AllianceBridge, einen Konsens zu erreichen, ohne die Synchronisation zwischen seinen Bridge-Betreibern aufrechtzuerhalten. Dies bedeutet eine schnellere Leistung mit einem hohen Grad an Dezentralisierung, während HCS eine zusätzliche Vertrauensebene bietet, die die Brücke sicherer macht.

Die intelligenten Verträge von AllianceBridge, die verwendet werden, um die ursprünglichen Assets zu sperren und verpackte Token zu prägen und zu verbrennen, bieten noch mehr Sicherheit. Die gesamte Smart-Contract-Codebasis wurde geschrieben, um mit dem EIP-2535-Standard in Einklang zu stehen, und war es auch vollständig von Omniscia geprüft. Während des Audits wies Omniscia auf eine Reihe potenzieller Probleme hin, die von AllianceBlock umgehend behoben wurden, bevor der Code live ging.

Die Sicherheit und Zuverlässigkeit von AllianceBridge hat eine Schlüsselrolle bei der Erweiterung des Nutzens der DeFi-Angebotssuite von AllianceBlock gespielt, einschließlich DeFi-Terminal, das Projekten eine einfache Möglichkeit bietet, Liquiditätsabbau- und Staking-Kampagnen über mehrere unterstützte Netzwerke und dApps hinweg zu starten. Mit seinem sicheren Blockchain-Interoperabilitätsprotokoll baut AllianceBlock die robuste Grundlage auf, die ein reichhaltiges, vernetztes Web3-Ökosystem benötigt, um zu wachsen und sich weiterzuentwickeln.

- Werbung -