Nëse i keni ndjekur ngjarjet në kripto për dy javët e fundit, mund të jeni njohur me shfrytëzimin e rrjetit Ronin që kërcënoi një humbje prej 620 milionë dollarësh në kriptomonedha. Post mortem jozyrtar tregon se hakerët përdorën çelësa privatë të komprometuar për të falsifikuar nënshkrimet e tërheqjes, një çështje që ka ngritur vetullat në të gjithë fushën e kriptove.
Kjo pjesë fokusohet në atë që ndodhi në sulmin e rrjetit Ronin, se si hakerët transferuan fondet dhe zgjidhjet e disponueshme për të parandaluar një hak të tillë multisig në të ardhmen.
Kuptimi i hakimit të Ronin Network
Më 29 Mars, zinxhiri anësor Axie Infinity, rrjeti Ronin lëshoi një paralajmërim të komunitetit se rrjeti ishte nën sulm, me 173,600 ETH dhe 25.5 milionë USDC që u transferuan në portofolin e një hakeri, duke rezultuar në një humbje prej afro 620 milionë dollarësh. Sipas rezultateve jozyrtare pas vdekjes nga ekipi i sigurisë së blockchain SlowMist, hakimi u krye përmes një kompromisi të nyjeve të vleftësimit të rrjetit Ronin.
Në paralajmërimin e komunitetit dërguar nga Sky Mavis, kompania mëmë e rrjetit Ronin, hakimi u përfundua më 23 mars, por kaloi pa u vënë re derisa disa nga përdoruesit raportuan se nuk ishin në gjendje të tërhiqnin disa nga fondet e tyre nga ura. Sipas njoftimit, hakeri përdori çelësa privatë të komprometuar për të hyrë dhe tërhequr fonde nga ura në vetëm dy transaksione.
Për ta kuptuar më mirë, rrjeti Ronin përbëhet nga nëntë nyje verifikuese. Këto nyje vleftësuese verifikojnë depozitat dhe tërheqjet nga zinxhiri Ronin, me pesë nga nëntë nyjet verifikuese të nevojshme për të nënshkruar transaksionet. Sulmuesi arriti të merrte kontrollin mbi katër Ronin Validators të Sky Mavis dhe një verifikues të palës së tretë të drejtuar nga Axie DAO.
I gjithë debakli mund të gjurmohet në nëntor 2021, kur Sky Mavis delegoi Axie Infinity DAO për të ndihmuar në shpërndarjen e transaksioneve falas. Megjithatë, numri i madh i transaksioneve e detyroi Axie DAO të vendosë në listën e bardhë Sky Mavis, duke e lejuar kompaninë të nënshkruajë transaksione të ndryshme për të zvogëluar barrën.
Ndërsa transaksionet u reduktuan, qasja në listën e bardhë nuk u anulua kurrë, gjë që i lejoi sulmuesit të fitonte akses në sistemin Sky Mavis dhe të nënshkruante transaksionet si një vërtetues.
Sipas Sky Mavis, hakeri gjeti një derë të pasme përmes nyjës RPC pa gaz dhe mori nënshkrimin për validatorin Axie DAO, i cili e lejoi atë të tërhiqte mbi 620 milionë dollarë në kriptomonedha.
Platformat Multisig që po hakohen duket se po rriten, me urën Wormhole gjithashtu duke pësuar një hakim kohët e fundit. Ndryshe nga rrjeti Ronin, përdoruesit e urës Wormhole nuk ishin aq me fat sa hakerët ishin në gjendje të vidhnin qindra miliona. Hakimi Wormhole përfshinte një shfrytëzim inteligjent të kontratës që mashtroi urën e bazuar në multisig për të treguar se Ethereum i mbështjellë (wETH) ishte depozituar në kontratën e urës së Solana dhe ishte shlyer në Ethereum.
Pavarësisht hakimeve të fundit, platformat multisig ofrojnë një shtresë të shtuar decentralizimi për të parandaluar sulme të tilla dhe për të ofruar siguri më të mirë. Ndërsa ky nuk është rasti aktualisht, ideja pas kuletave multisig është ende funksionale. Për fat të mirë, bota e kriptove po ndërton gradualisht zgjidhje për të parandaluar këto hakime të fundit të bazuara në shumë shenja, ura LayerCake e Flare duke u bërë më e fundit që ofron zgjidhje për këtë problem.
Zgjidhja e problemit të hakimit Multisig
Rrjeti Flare, një platformë blockchain që lejon ndërveprim të sigurt midis zinxhirëve, synon t'i japë zgjidhje problemit multisig nëpërmjet Modeli LayerCake. Ky model propozon një sistem monetar "Bandwidth Providers (BPs)" që zotëron të drejtat e nënshkrimit për të lëvizur një sasi të caktuar vlere nëpër urë për njësi të kohës.
Për momentin propozohet të bëhet çdo një orë. "Gjerësia e brezit" është sasia e vlerës që ata mund të lëvizin nëpër urë në çdo njësi të kohës, e zbatuar nga kontratat inteligjente, është "Gjerësia e brezit".
Për të parandaluar që nënshkruesit ose dikush që ka akses te nënshkruesit të vjedhë ose kompromentojë sistemin, BP-të duhet të depozitojnë të njëjtën sasi të vlerës së fondeve që lidhen me kontratën inteligjente LayerCake. Kjo siguron që nëse të gjithë BP-të ose nënshkruesit komplotojnë për të mashtruar sistemin (Bandwidth), ka të njëjtën sasi vlere të ruajtur në kontratën inteligjente për të mbuluar humbjen.
Modeli LayerCake prezanton gjithashtu një sistem të hapur dytësor vëzhguesish të stimuluar që gjejnë dhe heqin çdo BP me qëllim të keq nga nënshkrimi i transaksioneve të urës. Prandaj, çdo ofrues me qëllim të keq të gjerësisë së brezit mund të hiqet brenda një njësie të vetme kohore dhe kolaterali i ofruar nga BP-të mbulon gjithmonë fondet e përdoruesve të urës. Nëse të gjitha BP-të janë me qëllim të keq, sistemi mund të funksionojë ende përmes një stafetë midis zinxhirëve, megjithëse më ngadalë.
Së fundi, sistemi mbron gjithashtu përdoruesit nga sulmet e riorganizimit duke kolateralizuar BP-të drejtpërdrejt në Flare për një periudhë kohore në mënyrë që sulmet e riorganizimit të kenë një probabilitet të papërfillshëm. Në një sulm riorganizimi, kolaterali i vendosur nga BP-të përdoret për të rimbursuar fondet e përdoruesve në urë.
Burimi: https://www.cryptonewsz.com/flare-network-prevents-ronin-network-and-multisig-hack-problem/