Хакерська атака на міст Wormhole Bridge, який з’єднує Solana з Ethereum, була одним із найсерйозніших інцидентів, які зазнала мережа.

Другий найбільший злом децентралізованих фінансів (DeFi) стався минулого тижня. Чи можна було цього уникнути?
У гіршому випадку це може призвести до справжньої катастрофи, яка похитне основи всього сектору криптовалют. Лише негайна компенсація збитків у розмірі 120 000 ефірів запобігла краху цілих екосистем, як карткового будиночка.

Щоб зрозуміти, що сталося, і мати уявлення про те, що з цього може виникнути, нам потрібно детально розглянути, що таке червоточина і як саме працює платформа.

Що таке червоточина?

Червоточина – це так званий міст, який має лише одне завдання – з’єднати між собою різні блокчейни. Завдяки цьому зв’язку можна здійснювати транзакції між блокчейнами, які самі по собі різні.

Міст — це протокол, який дозволяє користувачам «з’єднувати» або передавати такі активи, як криптовалюти, токени та NFT, через різні блокчейни.

Якщо ви володієте Ethereum і хочете взяти участь у проекті Solana, вам потрібно було конвертувати Ether в SOL через фондову біржу. Цей підхід не є необхідним, коли використовується такий міст, як Червоточина. З одного боку, ви платите в ETH, а з іншого – отримуєте WETH, сумісний із Solana , у співвідношенні 1:1.

Зловмисники скористалися таким режимом роботи між Ethereum і Solana.

Як стався напад?
12 жовтня Солана зрозумів, що існує вразливість системи безпеки. Однак замість того, щоб діяти безпосередньо та інформувати Wormhole про ситуацію, розробники ігор включили патч у звичайне оновлення, яке мало бути надано з версією 1.9.4.

Вони помилково припустили, що ніхто не виявить цю вразливість, хоча код є загальнодоступним. На цьому етапі будь-хто з просунутими навичками програмування може виявити та використати вразливість. Відповідальні люди просто не виправили вразливість за допомогою хотфікса.

Блокчейн-експерт і засновник блокчейн-спільноти Solana SafeCoin Джефф Гелловей прокоментував в інтерв’ю Investing.com наступне:

Беззаперечним фактом є те, що з боку Солани була відома проблема безпеки. Це було оприлюднено з приміткою «Небезпечно, оскільки адресу облікового запису sysvar не перевірено, будь ласка, використовуйте замість цього «load_instruction_at_checked».

Коментуючи інцидент, Джефф Гелловей сказав:

Отже, очевидно, що Солана знав про слабкі місця місяцями і не зробив абсолютно нічого. Скільки відповідальних людей про це знали і чому вони воліли сидіти, склавши руки, і нічого не робити, залишається загадкою.

Подібна проблема була у Ethereum
Як користувачі Windows, ми звикли жити з уразливістю системи безпеки за останні десятиліття, але ми не проводимо операції на сотні мільйонів євро.

Минулого року Ethereum був чудовим прикладом того, як це зробити правильно. Подібний критичний недолік був виявлений у віртуальній машині Ethereum (EVM), але тут він негайно відреагував і ініціював хардфорк.

Wormhole ігнорує вразливість до атак
Після того, як Solana залишався неактивним, розробники Wormhole помітили вразливість 11 січня 2022 року. Знову була можливість негайно вирішити проблему, але нічого не було зроблено.

Є лише дві можливості. Чи відповідальні не розуміли масштабу вразливості, чи не встигли розібратися з проблемою? Тож діра в безпеці залишилася.

2 лютого 2022 року Wormhole випустила загальнодоступний патч безпеки для майбутнього оновлення, а атака сталася менше ніж через 9 годин.

Чи можна було запобігти цій атаці?

Перебіг подій показує, що були різні варіанти втручання. Але натомість здається, ніби минули місяці без жодних дій.

Цю оцінку підтвердив Джефф Гелловей:

Це нормально, коли вразливі місця з’являються під час створення платформи. Але якщо вони не закриті, хоча вони відомі, то це людська помилка. Проблема, яка виникає настільки часто, що її варто враховувати при проектуванні.

Однак величезний тиск на розвиток, який випливав із суто економічних інтересів, зробив це неможливим.

Джефф Гелловей сказав Investing.com наступне:

Якби у Wormhole була загальнодоступна тестова мережа, це, у свою чергу, забезпечило б відповідні заходи безпеки та, швидше за все, запобігло б атаці».

Те, що Джефф Гелловей точно знає, про що говорить, пояснюється тим, що він бере участь у розробці SafeBridge. Платформа, яка стане відправною точкою для розвитку екосистеми на SafeCoin Blockchain.

Він включає перевірки безпеки, щоб переконатися, що кожна транзакція відповідає основним принципам консенсусу всіх учасників ланцюжків. Також існує публічна тестова мережа. Все, чого не вистачає Червоточині.

SafeBridge уже доступний у загальнодоступній тестовій мережі, і його може перевірити кожен.

Щодо розробки SafeBridge, Геловей пояснив:

При об’єднанні кількох проектів цього можна досягти лише за допомогою надлишкової безпеки, використовуючи найнадійніші елементи керування на кожному блокчейні. Це те, над чим ми працюємо. Наскільки я знаю, ми перші в цій сфері.

До речі, ми все ще сподіваємося на Wormhole Public Test Network. Але поки цього не станеться, спільноті пропонується безкоштовно використовувати та тестувати нашу мережу».

Точний спосіб роботи SafeBridge можна побачити на схемі нижче. Це в основному показує, як працює кожен міст. З іншого боку, зони, позначені зеленим, є розширеннями, які має лише SafeBridge.

Щоб допомогти зрозуміти цю думку, ми запитали Джеффа Геловея, чи може він навести нам приклад. Тут він проявив почуття гумору та описав функцію використання атаки Wormhole.

Зрештою, можна сказати, що катастрофа стала результатом людської помилки та браку технічних знань.

Варто додати, що це не поодинокий випадок. Тиск щодо розробки комерційних проектів настільки великий , що нові функції користувача мають перевагу над аспектами безпеки.

Однак це не покращує ситуацію, а навіть навпаки. У світі блокчейн-мереж, де протоколи DeFi здійснюють автоматичні транзакції один з одним, зростає ймовірність суперкатастрофи.

Якщо критична сума капіталу в один момент зникне, весь картковий будиночок може впасти – подібно до банкрутства Lehman Brothers, яке спровокувало глобальну фінансову кризу 2008 року.

Цей погляд за лаштунки був тим важливішим. Велике спасибі Джеффу Геловею з SafeCoin, який знайшов свій дорогоцінний час, щоб надати нам вичерпний огляд ситуації.