Протокол MAP приостанавливает мост между MAPO ERC-20 и основной сетью после эксплойта

Протокол MAP отключил свой мост, соединяющий токены MAPO ERC-20 и основную сеть MAPO, после сообщения об эксплойте, нацеленном на Butter Bridge V3.1. Пауза, стандартная мера сдерживания инцидентов с криптобезопасностью, предназначена для предотвращения дальнейшего ущерба, пока команда исследует масштабы нарушения.

Межцепочные мосты остаются одной из наиболее подвергаемых атакам частей инфраструктуры во всей криптовалюте. И этот последний инцидент является напоминанием о том, что работа, соединяющая разные блокчейны, все еще, мягко говоря, находится в стадии разработки.

Что случилось

Протокол MAP, который управляет одноранговым межсетевым инфраструктурным уровнем, подтвердил, что он приостановил операции моста между своим токеном ERC-20 (версия MAPO на основе Ethereum) и собственным токеном основной сети. Эксплойт был связан с Butter Bridge V3.1, компонентом системы межцепочной передачи протокола.

Подробности реализации эксплойта не разглашаются. На данный момент также неясны масштабы финансовых потерь, если таковые имеются. Были ли средства пользователей напрямую скомпрометированы, остается открытым вопросом.

Вот что касается эксплойтов с мостами: они, как правило, делятся на несколько предсказуемых категорий. Обычно подозреваются недостатки в проверке сообщений, слабая аутентификация контракта или несанкционированные функции чеканки. Представьте себе мост как курьерскую службу между двумя странами. Если кто-то поймет, как подделать учетные данные курьера, он сможет уйти с тем, что перевозится. Конкретный метод подделки в данном случае пока публично не назван.

Полностью приостанавливая мост, протокол MAP эффективно блокирует двери, пока выясняет, какое окно было разбито. Это считается лучшей практикой в ​​отрасли, даже если это временно доставляет неудобства пользователям, которым необходимо перемещать токены между Ethereum и основной сетью MAPO.

Реклама

Мосты: вечное слабое место криптовалюты

Если вы занимаетесь криптовалютой больше года, вы видели этот фильм раньше. Перекрестные мосты стали причиной некоторых из крупнейших и наиболее разрушительных атак в истории отрасли.

Взлом Nomad Bridge в 2022 году привел к потере более 186 миллионов долларов из-за ошибки аутентификации, которая фактически позволяла любому подделывать транзакции. Это не была изощренная атака национального государства. Это было настолько легко воспроизвести, что после первого эксплойта появились сотни подражателей, превратив его в общедоступный.

И Номад был далеко не единичным случаем. Эксплойт на мосту Ронина в том же году, взлом «Червоточины» и многочисленные более мелкие инциденты в совокупности обошлись отрасли в миллиарды долларов. Мосты являются привлекательными объектами по простой причине: они держат большие пулы заблокированных активов в одной цепочке, которые соответствуют выпущенным токенам в другой. Скомпрометируйте логику моста, и вы сможете либо слить заблокированные средства, либо выпустить необеспеченные токены. Любой исход катастрофичен.

Основная проблема заключается в том, что мосты должны проверять информацию в двух отдельных средах блокчейна, каждая из которых имеет свой собственный механизм консенсуса, модель безопасности и правила окончательности транзакций. Это все равно, что пытаться заставить почтовые системы двух разных стран договориться о том, что представляет собой действительная посылка, в режиме реального времени, когда на кону стоят миллиарды долларов.

В подходе протокола MAP используется одноранговая модель с легкой проверкой клиента, которая разработана так, чтобы быть более безопасной, чем мосты, которые полагаются на доверенных сторонних валидаторов. Теория заключается в том, что, проверяя межсетевые сообщения криптографически на уровне протокола, а не через комитет по мультиподписи, вы уменьшаете поверхность атаки. Сохранилось ли это теоретическое преимущество в данном случае – это именно то, что предстоит определить следствию.

Что это значит для инвесторов

Для держателей MAPO непосредственный практический эффект очевиден: вы не можете перемещать токены между версией Ethereum и версией основной сети, пока мост не будет вновь открыт. Если вы держите токены MAPO ERC-20 на Ethereum, они пока остаются на Ethereum. Если у вас есть родной MAPO в основной сети, та же история.

Большую озабоченность вызывает то, что происходит с доверием рынка. Эксплойты мостов, даже если их быстро локализовать, имеют тенденцию отпугивать поставщиков и пользователей ликвидности. Если эксплойт окажется незначительным и будет быстро исправлен, ущерб репутации протокола MAP может быть ограничен. Если это повлекло за собой значительные потери средств, процесс восстановления, как технически, так и с точки зрения доверия пользователей, становится существенно сложнее.

Послушайте, криптоиндустрия разработала несколько предсказуемый сценарий для таких ситуаций. Приостановите операции, расследуйте, опубликуйте вскрытие, исправьте уязвимость, потенциально предложите вознаграждение за обнаружение ошибки или вознаграждение за ошибку, если злоумышленник будет сотрудничать, и возобновите работу. То, как протокол MAP выполняется на каждом из этих шагов, будет иметь большее значение, чем сам эксплойт.

Стоит обратить внимание на то, был ли эксплойт специфичен для реализации Butter Bridge V3.1 или он выявляет более глубокую архитектурную проблему. Ошибка в одной версии