Solana hat sich seit seiner ersten offiziellen Einführung im März 2020 zu einem der am schnellsten wachsenden Smart-Contract-Blockchain-Netzwerke entwickelt.
Der gesperrte Gesamtwert (TVL) auf dezentralisierten Finanzprotokollen (DeFi) im Netzwerk wuchs von fast 152 Millionen US-Dollar im März 2021 auf 8,08 Milliarden US-Dollar zum Zeitpunkt des Verfassens dieses Artikels, wie aus Daten von DefiLlama hervorgeht.
Gleichzeitig war das Netzwerk auch mehreren Netzwerkproblemen und -ausfällen ausgesetzt. Zuletzt wurde die Wurmloch-Token-Brücke am 3. Februar von einem Sicherheits-Exploit getroffen, der zum Verlust von 120.000 verpackten Ether (wETH)-Token im Wert von über 375 Millionen US-Dollar zum aktuellen Preis von Ether (ETH) führte.
Dieser Exploit war der bisher größte im Jahr 2022 und der zweitgrößte DeFi-Hack aller Zeiten, nach dem Poly Network-Hack, bei dem über 600 Millionen US-Dollar aus drei verschiedenen Blockchain-Netzwerken gestohlen wurden, als eine Ethereum-Brücke kompromittiert wurde.
Wormhole ist ein Token-Bridge-Protokoll, das mehrere Blockchain-Netzwerke wie Ethereum, Solana, Terra, BNB Smart Chain, Polygon, Avalanche und Oasis verbindet. Es ermöglicht Benutzern, Token zwischen diesen Netzwerken zu senden und zu empfangen, ohne dass ein zentralisierter Austausch oder langwierige Konvertierungsprozesse erforderlich sind. Während Wrapped Ether das einzige Asset war, das von diesem Exploit betroffen war, erwähnte Certik, eine intelligente Vertragsprüfungsfirma, dass die Brücke von Wormhole zum Terra-Blockchain-Netzwerk von der gleichen Schwachstelle betroffen sein könnte wie die Solana-Brücke.
Das Token-Bridging-Protokoll hat einen detaillierten Vorfallbericht veröffentlicht, der die Chronologie des Hacks und alle damit verbundenen Aspekte nachverfolgt, einschließlich Sicherheitsaudits, Bug-Bounties und der Sicherheits-Roadmap. Cointelegraph diskutierte diesen Hack mit Max Galka, dem CEO des Blockchain-Datenanalyseunternehmens Elementus. Er sagte:
„Ungefähr drei Stunden bevor der Ether aus Wormhole genommen wurde, hatte die Wallet, die derzeit die gestohlenen Gelder enthält, eine kleinere Transaktion von Tornado Cash hinterlegt – einem Mixer, der Transaktionen anonymisiert. Es gab eine Überweisung von einem Mixer auf Ethereum zu dieser Brieftasche, in der sich jetzt die gestohlenen Gelder befinden.“
Galka erwähnte weiter, dass es zwar offensichtlich ist, warum der Hacker überhaupt mit Tornado Cash experimentiert hat, aber weniger klar ist, warum sie den Mixer verwenden würden, um Gelder genau in dieselbe Brieftasche einzuzahlen, bevor sie einen großen Exploit ausführen.
Kurz darauf Wurmloch gestartet ein Bug-Bounty-Programm mit Immunefi am 12. Februar mit einer Belohnung von 10 Millionen US-Dollar, das intelligente Verträge, Web-Benutzeroberflächen (UI), Wächterknoten und Wurmloch-Integrationen abdeckt. Damit ist es das größte Bug-Bounty-Programm im Kryptoversum, auf Augenhöhe mit dem Bug-Bounty-Programm von Maker DAO.
Jump Crypto, der Krypto-Investmentarm des Handelsunternehmens Jump Trading und einer der Hauptinvestoren, die Wormhole unterstützen, ist eingesprungen, um „die Community-Mitglieder zu vervollständigen“. Die Risikokapitalfirma hat die 120.000 ETH ersetzt und über einen Twitter-Beitrag am selben Tag des Hacks erklärt, dass die Firma glaubt in einer Multichain-Zukunft und dieses Wurmloch ist eine wesentliche Infrastruktur für diese Zukunft.
Sicherheitsbedenken bei Cross-Chain-Aktivitäten
Vitalik Buterin, ein Mitbegründer von Ethereum, schrieb auf einer Reddit AMA-Sitzung zusammen mit dem Forschungsteam der Ethereum Foundation, wo er sagte, dass die Zukunft der Blockchain-Technologie Multichain und nicht Cross-Chain sei. Buterin hat begründet dies mit Sicherheitsbedenken von Bridges und nicht-nativen Token-Assets mit einem Fokus auf die Wahrscheinlichkeit von 51% Angriffen. Er sagte: „Es ist immer sicherer, Ethereum-native Vermögenswerte auf Ethereum oder Solana-native Vermögenswerte auf Solana zu halten, als Ethereum-native Vermögenswerte auf Solana oder Solana-native Vermögenswerte auf Ethereum zu halten.“
Mein Argument dafür, warum die Zukunft *multi-chain* sein wird, aber nicht *cross-chain*: Es gibt grundlegende Grenzen für die Sicherheit von Brücken, die über mehrere „Zonen der Souveränität“ hüpfen. Von https://t.co/3g1GUvuA3A: pic.twitter.com/tEYz8vb59b
— vitalik.eth (@VitalikButerin) 7. Januar 2022
Jagdeep Sidhu, Chief Technology Officer von Syscoin, einem Proof-of-Work (PoW)-Blockchain-Netzwerk, das mit Bitcoin „merged-mined“ ist, sprach mit Cointelegraph weiter über diese Erzählung. Er sagte: „Er meint einfach, dass es dort, wo es eine Blockchain gibt, eine Zone der Souveränität innerhalb dieser Kette gibt, die einen freien Willen zur Sicherheit dieser Blockchain hat. Jedes Mal, wenn Blöcke zurückgesetzt werden, werden beispielsweise alle Systeme, die von der Sicherheit dieser Kette abhängen, ebenfalls zurückgesetzt. Aus diesem Grund müssen Sie beim Erstellen von Cross-Chain-Bridges entweder von einem neuen Konsenssystem ausgehen, das Rollbacks überwacht und darauf reagiert, oder vorsichtig die Möglichkeiten eines Rollbacks abwarten, je nach Wert der Transaktion.“
Sidhu sagte weiter, dass der Wurmloch-Hack die Komplexität der Erstellung von Cross-Chain-Austausch und -Überbrückung offenbarte, da der Angriff nur aufgrund einer Externalität des Solana-Teams ermöglicht wurde, die eine bestimmte Operation im Vermächtnis des Konsenscodes bewirkte. Diese Operation öffnete eine Lücke in der Logik von Wormhole, die vom Hacker ausgenutzt wurde.
Obwohl sich dieser spezielle Hack auf eine Cross-Chain-Brücke auswirkte, ist es bemerkenswert, dass es sich technisch gesehen um einen Smart-Contract-Exploit handelte, der schon so lange existiert, wie das Konzept von Smart Contracts existiert. Galka erklärte:
„Die Geschichte der Smart Contracts umfasst einen ziemlich konstanten Strom von Schwachstellen und Hacks, die bis in die frühen Tage von Ethereum zurückreichen, als The DAO im Jahr 2016 angegriffen wurde. Im Allgemeinen haben Cross-Chain-Bridge-Verträge große Salden, was sie zu Hauptzielen macht. Historisch gesehen gab es immer Hacks auf Smart Contracts. Ich würde erwarten, dass das so weitergeht.“
Cointelegraph diskutierte diesen Aspekt des Hacks auch mit Anton Bukov, Mitbegründer des 1-Zoll-Netzwerks, einem DEX-Aggregator, der erwähnte, dass die Ursache, die zu diesem Hack führte, ein Low-Level-Smart-Contract-Bug war. Es hing mit dem Mechanismus zusammen, den Solana für vorkompilierte Smart-Contract-Aufrufe verwendete. Er stellte fest, dass die Fehlerbehebung öffentlich war erhältlich mehr als zwei Wochen vor dem Hack im GitHub-Repository des Interoperabilitätsprotokolls.
Der öffentlich verfügbare Fix könnte der Hinweis für den Exploiter gewesen sein, den Hack zu identifizieren. Bukov stimmte auch Buterins Bedenken in Bezug auf Cross-Chain-Operationen zu und erklärte, dass „Cross-Chain-Operationen viel gefährlicher und anfälliger sind als alle anderen Blockchain-Operationen“.
Mindestens 5 Brücken wurden seit Mitte 2021 gehackt, Angreifer konnten mehr als 1 Milliarde Dollar stehlen. Unterschätzen Sie niemals die Bedeutung von Sicherheitsaudits. Vor drei Hacks @VitalikButerin hat uns vor Cross-Chain-Gefahren gewarnt: https://t.co/jvmLOIEQlE pic.twitter.com/bQoht0FNve
— Anton Bukow ⚖️ (@k06a) 3. Februar 2022
Zero-Knowledge-Rollups
Trotz des schnellen Wachstums von Solana in der kurzen Zeit seit seiner Einführung ist das Netzwerk zunehmend anfällig für Probleme geworden, da immer mehr Benutzer an Bord kommen. Das Netzwerk hatte einen schlechten Start in das Jahr, als es konfrontiert sechs Netzwerkausfälle im Januar, die in der Community für viel Frustration sorgten.
Verwandt: Skalierbarkeit oder Stabilität? Solana-Netzwerkausfälle zeigen, dass noch Arbeit erforderlich ist
Sidhu wies darauf hin, dass Solana wie alle anderen alternativen Smart-Contract-Netzwerke eine monolithische Architektur verwendet, die keine Skaleneffekte bietet. Aus diesem Grund werden die Gebühren und die Ressourcen, um das Netzwerk stabil, sicher und dezentralisiert zu halten, steigen, wenn mehr Benutzer in das Netzwerk kommen.
Als er eine Alternative zu diesem neuen Problem vorschlug, sagte er: „Der beste Weg, den wir kennen, um zu skalieren, ist durch eine modulare Architektur. Das ist es, worauf Ethereum und einige andere Blockchains wie Syscoin aufgrund der Schaffung großartiger Skalierungslösungen wie optimistischer und wissensfreier Proof-basierter Rollups umsteigen.“
Sidhu bewies eine detaillierte Lösung für dieses Problem und erwähnte, dass die beste Lösung für das Cross-Chaining von Vermögenswerten die Verwendung von Zero-Knowledge (ZK)-Beweisen als bessere Alternative dazu ist, dass der Geldpool auf einem externen Konsens wie einem Mehrparteiensystem sitzt Protokoll, das eine ehrliche Mehrheitsübernahme von externen Validatoren erfordert. Diese Verwendung von ZK-Beweisen würde den externen Konsens durch mathematische Gültigkeitsbeweise ersetzen.
Nichtsdestotrotz fügte er hinzu, dass keine der Lösungen so sicher sei wie die Verwendung einer zuverlässigen Schicht 1. Er fügte hinzu: „Eine ZK-Bridge ist eine vielversprechende Verbesserung gegenüber Cross-Chain-Bridging, aber ich denke nicht, dass sie als generisches Cross verwendet werden sollte -chain-DeFi-Ökosystem, da es per Definition nicht so viel Sicherheit bieten kann wie die einfache Verwendung einer sicheren Ebene 1.“
Bukov wies auf die Möglichkeiten hin, dass dieser Hack auch mit Bridges in anderen Blockchain-Netzwerken repliziert werden könnte:
„Historisch gesehen gab es Fälle, in denen eine Partei Code ausnutzte und dann Nachahmer diesen ersten Exploit nutzten. Im Jahr 2017 wurde der zugrunde liegende Code einer Reihe von Multisignatur-Ethereum-Geldbörsen gehackt. In diesem Fall wurden mehrere Folge-Hacks von anderen Akteuren durchgeführt, die dieselbe Schwachstelle ausnutzten.“
Dieser Hack könnte ein Zeichen für Core-Entwickler von interoperablen Bridging-Protokollen und anderen Smart-Contract-Blockchain-Netzwerken sein, bei kettenübergreifenden Smart-Contracts und Assets vorsichtig vorzugehen und an regelmäßigen Updates, Audits, Bug Bountys usw. zu arbeiten, um kostspielige Schlupflöcher zu schließen diese in ihrem Betrieb.