去中心化金融(DeFi)可能已經成為區塊鏈生態系統中一個令人興奮的類別,但其仍處於新生狀態,使許多參與者面臨這種更加民主化的金融服務迭代所帶來的風險。
Wormhole(Solana 和以太坊之間的區塊鏈橋樑)的最新漏洞突顯了不斷出現並影響 DeFi 用戶的缺陷。 就上下文而言,325 億美元的黑客攻擊實際上是橋樑更新編程設置中存在邏輯缺陷的結果。
通常,通過 Wormhole 流向 Solana 的交易需要有效的交易簽名和監護人(批准的驗證節點)。 如果滿足這兩個條件,交易請求就會被批准。 如果交易簽名無效且監護人無效,則不滿足發起交易的必要條件,導致 Solana 拒絕此請求。 然而,黑客並沒有提出無效交易簽名和有效監護人的無效條件,而是使用無效簽名和非監護人,從而有效地創建了兩個未經批准的條件。
由於需要兩個有效條件才能形成“匹配”來接受交易請求,並且兩個無效條件也可以被視為系統現有邏輯中的“匹配”,因此黑客可以在 Solana 上鑄造包裝以太坊(wETH) 。 無需將 120,000 ETH 存入託管賬戶,黑客就鑄造了 120,000 wETH,然後進行交換,欺騙 Wormhole 解鎖在 Solana 上抵押其他 wETH 的普通以太坊。
儘管蟲洞團隊已經修復了該缺陷,但目前尚不清楚他們打算如何重新利用從橋上竊取的資金,儘管他們已經宣布了這方面的努力。 雖然他們向黑客提出了懸賞提議,但沒有得到任何回應。 儘管如此,這次黑客攻擊凸顯了連接 DeFi 的關鍵互操作性基礎設施中的重大漏洞,更重要的是,那些允許區塊鏈進行通信的基礎設施中存在重大漏洞。
多方計算能否意味著更安全的互操作性?
互操作性,或者在這種情況下,連接斷開的區塊鍊和生態系統的能力,是通過橋樑、預言機等將去中心化金融粘合在一起的粘合劑。 然而,互操作性也可能意味著脆弱性,就像蟲洞的情況一樣,特別是當互操作性負責監督兩個系統之間的安全價值交換時。
要求多方或多方證明(如簽名)來批准某些交易的想法對於區塊鏈技術來說並不陌生,而是某些電子錢包的一個相當常見的功能。 將簽名權分配給多方的想法降低了單點故障的風險。
對於 mutlisig 錢包,這意味著決定共同簽名者是誰以及必須有多少共同簽名者簽署交易。 該模型的問題在於改變共同簽名者和權限,更不用說需要同時提供多個簽名,從而導致共同簽名者對每筆交易的可用性要求。
多方計算(MPC)可以幫助避免這些複雜情況,但它的應用遠遠超出了錢包和密鑰驗證的範圍。 MPC 使用完全可修改的端點,其中包含部分密鑰,但不是全部密鑰。 這些端點一起用於形成共識,並且設置最小數量的端點以在事務上達成共識。
Partisia 區塊鏈總裁兼聯合創始人 Kurt Nielsen 認為 MPC 掌握著在更安全、值得信賴的框架中釋放互操作性真正潛力的關鍵。 尼爾森指出:“通過代幣橋實現的互操作性展現出成為區塊鏈生態系統主要價值創造者的巨大潛力。 然而,正如我們在蟲洞漏洞中看到的,將代幣移出其既定的安全模型會帶來重大的挑戰和漏洞。 我們的答案是更複雜、經過驗證的審計原則和大規模 MPC 安全措施。”
他進一步解釋說:“首先,定期過期的預言機有效且透明地代表了不同區塊鏈上的價值,就像自 14 世紀美第奇銀行以來已經證明其價值的複式記賬法一樣。 其次,大規模的MPC安全措施避免了跨預言機或跨紀元的金融風險積累。 第三,在給定時期運行預言機的節點提供抵押品來支持轉移的價值,最後,通過去中心化的爭議流程來補償客觀的不平衡。”
Partisia 自 2008 年以來一直涉足商業級 MPC 解決方案,現在正在將其敏銳的洞察力應用於基於區塊鏈的應用程序。 Partisia 區塊鏈使用零知識證明計算有效地充當互操作性層。 通過根據節點的信任評分對節點進行評級和排名,DeFi 用戶可以對如何以及由誰在生態系統之間轉移其價值獲得更大的信任。
儘管蟲洞是 2022 年迄今為止最大規模的此類事件,但隨著時間的推移,蟲洞很可能不再是黑客攻擊的唯一目標。 儘管如此,正如 Partisia 所表明的那樣,MPC 作為一種促進網絡之間通信的策略脫穎而出,這些網絡可以監督數據或價值傳輸,而無需確切知道誰正在傳輸什麼以及傳輸到哪裡。
來源:https://zycrypto.com/wormhole-exploit-underlines-case-for-greater-mpc-use-across-blockchain-oracles-bridges/