Mosty – aktuálně největší Achillova pata DeFi

Ilustrační obrázek | zdroj CoinBank.cz

Kyberzločinci nezahálejí a neustále vymýšlí nové a nové způsoby, jak připravit důvěřivé uživatele o jejich finanční prostředky. Aktuálně se jim povedlo najít relativně jednoduchý způsob, jak okrást investory do kryptoměn. Tím jsou blockchainové, neboli cross-chain mosty, které chatrně propojují sítě a umožňují rychlou výměnu tokenů.

Jak mosty fungují

Most je software, který někomu umožňuje posílat tokeny z jedné blockchainové sítě a přijímat je v blockchainové síti jiného řetězce. Při výměně tokenu z jednoho řetězce do jiného vkládá investor tokeny do chytré smlouvy. Tyto tokeny se pak "vytěží" na novém blockchainu v podobě tzv. zabaleného tokenu, který představuje nárok na původní mince. S takovým tokenem je pak možné obchodovat v nové síti. Blockchainové mosty získávají na popularitě jako způsob, jakým mohou uživatelé kryptoměn provádět transakce. Jejich používáním však uživatelé obcházejí centralizovanou burzu a používají systém, který je do značné míry nechráněný a lehce napadnutelný hackery. Mosty používají převážně tací uživatelé, kteří chtějí ušetřit na vysokých transakčních poplatcích a zároveň jsou netrpěliví a nechce se jim čekat, než jejich transakce bude na blockchainu Etherea zpracovaná. Přece jen blockchain Etherea je znám svou velmi malou škálovatelností, když za vteřinu zvládne ověřit jen kolem 20 transakcí.

Za zranitelností mostů často mohou chyby v inženýrství

Podle údajů společnosti Chainalysis představuje částka odcizená při bridge heistech až 64 % ze všech odcizených kryptoměn při hackerských útocích, které byly dosud v roce 2022 zrealizovány. Při odcizení více než 3 mld. dolarů při hackerských útocích v tomto roce, představují krádeže přes cross-chain mosty částku kolem 2 mld. dolarů (1,93 mld. dolarů).

Graf ročních hackerských útoků a počtu hacků (upraveno autorem) | zdroj Chainalysis.com

Že se jedná o relativně snadnou věc, dokazují již letos uskutečněné útoky. Při červnovém hackerském útoku na most Horizon od společnosti Harmony se útočníkům podařilo ukrást kryptoměny v hodnotě 100 mil. dolarů. Zato, že jejich útok byl úspěšný, mohl velmi malý počet validátorů transakcí. Schvalování transakcí se účastnilo pouze pět validátorů. Při tak nízkém počtu validátorů stačilo kompromitovat pouze dva z celkem pěti účtů, aby získali hesla potřebná pro výběr peněz.

Podobná situace nastala i u mostu Ronin, který podporuje populární hru Axie Infinity s non-fungible tokeny, a která zároveň uživatelům umožňuje vydělávat peníze během hraní. I zde za krádež mohl velmi malý počet validátorů transakcí, kterých tvůrci hry a mostu angažovali pouze devět. Hackerům tak stačilo přesvědčit pět z devíti validátorů v síti, aby jim předali své soukromé klíče, díky čemuž získali přístup ke kryptografickým údajům uzamčeným uvnitř systému. Ze systému pak letos v březnu odcizili 615 milionů dolarů.

V neposlední řadě je zapotřebí zmínit snad až odstrašující případ, kdy cross-chain most vytvořený společností Nomad byl pro hackery jednoduše zmanipulovatelný. Útočníci totiž mohli do systému zadat libovolnou hodnotu a poté si vybrat prostředky, a to i přesto, že v mostu nebyl uložen dostatek aktiv. Nepotřebovali k tomu žádné programátorské dovednosti a jejich zneužití vedlo k tomu, že se začali hromadit napodobitelé, což vedlo k osmé největší kryptografické krádeži všech dob. K útoku došlo na přelomu července a srpna a skrze tento most bylo odcizeno téměř 200 milionů dolarů. Společnost Nomad nyní nabízí všem, kdo tímto způsobem něco odcizili, odměnu až 10 % za navrácení odcizených prostředků. Zároveň tvrdí, že se zdrží právních kroků proti všem útočníkům, kteří vrátí 90 % aktiv, které vzali.

Za čtvrtý největší kryptoměnový hack všech dob byl označen hack sítě Wormhole Network. Tuto síť podporuje firma Jump Trading, která se zabývá vysokofrekvenčním obchodováním na Wall Street. Při tomto útoku došlo k odcizení 320 milionů dolarů.

Proč vůbec mosty vznikají

Mosty jsou dnes již základním nástrojem v odvětví decentralizovaných financí (DeFi). DeFi je totiž obdobou bankovního systému pro kryptoměnový trh. V DeFi namísto centralizovaných hráčů, kteří rozhodují, řídí výměny peněz programovatelný kus kódu nazvaný chytrá smlouva. Tento kontrakt je zapsán na veřejném blockchainu, jako je Ethereum nebo Solana, a vykoná se, když jsou splněny určité podmínky. Díky tomu odpadá potřeba centrálního zprostředkovatele. 

Protože jednotlivé kryptoměny nelze zapisovat do cizích blockchainových systémů, vznikly jako prostředník k takovým transakcím cross-chain mosty. Je to obdobné, jako když např. platíte za zboží v korunách, ale prodejce na účet obdrží ekvivalent v dolarech. Kryptoměny nelze jednoduše mezi blockchainy přesouvat, a proto tuto funkci plní blockchainové mosty. Tyto mosty jsou neřízené a bohužel zároveň i velmi zranitelné. A to nejen vůči hackerům, ale mohou být také snadno zneužity k praní špinavých peněz. Vzhledem k miliardovým hodnotám, které skrze tyto mosty proudí, je úroveň zabezpečení cross-chain mostů velmi chabé, až by se dalo říct tristní. 

Pokud má mít taková funkcionalita budoucnost, tak se musí výrazně zlepšit a posílit zabezpečení takových mostů. Případně tuto funkcionalitu mohou implementovat do svého vývoje samotní vývojáři blockchainů či DeFi, aby byl zajištěn hladký a bezpečný tok aktiv a dat mezi sítěmi.