Nhiều blockchain, chẳng hạn như Bitcoin và Ethereum, được thiết kế để trở thành các hệ thống độc lập. Họ cung cấp một “sổ cái” kỹ thuật số bất biến để ghi lại các giao dịch cũng như các tính năng khác, chẳng hạn như hỗ trợ cho các hợp đồng thông minh.
Tuy nhiên, tất cả các nền tảng blockchain đều có ưu và nhược điểm của chúng và các xu hướng gần đây đã chuyển sang tích hợp. Với CROSS-CHAIN BRIDGE mình tạm dịch là “cầu nối xuyên chuỗi”, người dùng có thể chuyển tài sản của họ giữa các blockchain để tận dụng các lợi ích riêng của mỗi blockchain.
CROSS-CHAIN BRIDGE có những ưu điểm nhưng cũng những mặt trái của chúng. Nhiều vụ hack xảy ra trong những tháng gần đây gần nhất là Horizon và Nomad, cho thấy rằng chúng không chỉ không hoàn toàn an toàn mà mà các sự vụ hack cầu xuyên chuỗi có thể gây ảnh hưởng xấu đến các dự án DeFi khác.
HIỂU RÕ VỀ CROSS-CHAIN BRIDGE
Công nghệ này được thiết kế để tích hợp hai blockchain mà trong hầu hết các trường hợp sẽ không bao giờ được thiết kế để tích hợp.
Ngoại trừ các blockchain được xây dựng bằng giao thức Layer 0 như Cosmos hoặc Polkadot, các blockchains thường được thiết kế như các hệ thống độc lập hỗ trợ tích hợp bên ngoài thông qua API và hợp đồng thông minh.
Các Cross-chain bridge thường được thực hiện bằng cách sử dụng các hợp đồng thông minh. Để chuyển tài sản qua một cây cầu, người dùng sẽ gửi chúng đến một tài khoản cụ thể trên blockchain. Điều này kích hoạt chuyển tiền qua cầu, nếu được chấp thuận,nội dung sẽ được “giải phóng” và gửi đến tài khoản của người dùng trên blockchain khác.
Hacker đã làm thế nào ?
Các cuộc tấn công của các Cross-chain bridge thường được “thiết kế” khiến các token được phát hành trên blockchain này mà không có khoản tiền gửi tương ứng trên blockchain khác. Những cách thức chính để có thể thực hiện được điều này là:
TẠO RA SỰ KIỆN GỬI TIỀN
Thông thường, Cross-chain bridge sẽ theo dõi các sự kiện gửi tiền trên một blockchain để bắt đầu chuyển tiền sang blockchain kia. Nếu Hacker có thể tạo một “sự kiện gửi tiền” mà không cần gửi tiền thực hoặc bằng cách gửi tiền bằng token vô giá trị, thì chúng có thể rút giá trị từ cầu nối ở đầu bên kia. Đây là những gì đã xảy ra trong vụ hack Qubit trong đó chức năng gửi tiền kế thừa trong mã code đã cho phép gửi tiền giả vào hợp đồng cầu nối.
ĐÁNH BẠI QUÁ TRÌNH XÁC THỰC:
Các Cross-chain bridge thực hiện xác thực khoản tiền gửi trước khi cho phép chuyển khoản. Nếu kẻ tấn công có thể tạo một khoản tiền gửi giả xác thực như một khoản tiền thật, thì chúng có thể đánh bại quá trình xác thực. Đây là trường hợp của vụ hack Wormhole, trong đó kẻ tấn công đã khai thác một lỗ hổng trong quá trình xác thực chữ ký số để đánh cắp 326 triệu đô.
TIẾP QUẢN TRÌNH XÁC THỰC:
Một số Cross-chain bridge có một tập hợp các trình xác nhận bỏ phiếu có chấp thuận hay không một chuyển nhượng cụ thể. Nếu kẻ tấn công kiểm soát phần lớn các trình xác thực này, thì chúng có thể phê duyệt chuyển tiền giả mạo và độc hại. Đây là những gì đã xảy ra trong vụ tấn công Ronin Network, trong đó kẻ tấn công đã chiếm 5 trong số 9 trình xác thực của cây cầu.
Ngoài ra phải kể đến 3 vụ tấn công có thiệt hại nghiêm trọng nhất lĩnh vực DeFi trong một năm trở lại đây đều nhắm đến các cầu nối liên chuỗi, có thể kể đến như
Poly Network (diễn ra trong tháng 8.2021, thiệt hại 611 triệu USD)
Wormhole (diễn ra vào tháng 2.2022, thiệt hại 325 triệu USD)
Ronin của Axie Infinity, lấy cắp 622 triệu USD tiền mã hóa vào tháng 3.2022.
TƯƠNG LAI CỦA BẢO MẬT VÀ BẢO HIỂM
Các Cross-chain bridge liên kết các blockchains với nhau thường thông qua việc sử dụng các hợp đồng thông minh. Điều này làm cho việc kiểm tra hợp đồng thông minh trở thành một thành phần quan trọng của quy trình bảo mật cầu nối.
Bằng cách xác định và khắc phục các lỗ hổng trước khi mã code được phát hành vào blockchain, một cuộc kiểm tra bảo mật hợp đồng thông minh có thể đã ngăn chặn nhiều vụ hack lớn nhất của các cây cầu xuyên chuỗi.
Tuy nhiên, việc audit cho các dự án không nên chỉ dừng lại ở mã code. Các Cross-chain bridge tạo ra môi trường phức tạp và sự tương tác giữa các hợp đồng được triển khai trên các nền tảng khác nhau cũng cần được tính đến.
Các dự án cần phối hợp và kết nối với các đơn vị Audit, bảo hiểm phi tập trung để đảm bảo an toàn và hạn chế nhiều nhất các rủi ro.