Foto: Depositphotos
A indústria de criptografia evoluiu para um ecossistema que interconecta várias blockchains Layer-1(L1) e soluções de dimensionamento Layer-2(L2) com recursos e compensações exclusivos.
Redes como Fantom, Terra ou Avalanche tornaram-se ricas em atividades DeFi, enquanto dapps como Axie Infinity e DeFi Kingdoms sustentam ecossistemas inteiros como Ronin e Harmony. Essas blockchains surgiram como alternativas sérias às taxas de gás da Ethereum e tempos de transação relativamente lentos. A necessidade de uma maneira fácil de mover ativos entre protocolos em blockchains díspares tornou-se mais crítica do que nunca.
É aqui que entram as pontes blockchain.
Como resultado do cenário multichain, o valor total bloqueado (TVL) em todos os dapps DeFi disparou. No final de março de 2022, o TVL do setor foi estimado em US$ 215 bilhões, 156% superior a março de 2021. A quantidade de valor bloqueado e conectado nesses dapps DeFi atraiu a atenção de hackers maliciosos, e a última tendência sugere que os invasores podem ter encontrou um elo fraco em pontes blockchain.
De acordo com o banco de dados Rekt, US$ 1,2 bilhão em criptoativos foram roubados no primeiro trimestre de 2022, representando 35,8% dos fundos roubados de todos os tempos, de acordo com a mesma fonte. Curiosamente, pelo menos 80% dos ativos perdidos em 2022 foram roubados de pontes.
Um dos ataques mais graves ocorreu há duas semanas, quando a ponte Ronin foi hackeada por US$ 540 milhões. Antes disso, a ponte Solana Wormhole e a ponte Qubit Finance da BNB Chain foram exploradas por mais de US$ 400 milhões em 2022. O maior hack na história da criptomoeda ocorreu em agosto de 2021, quando a ponte PolyNetwork foi explorada por US$ 610 milhões , embora os fundos roubados tenham sido mais tarde devolvida.
As pontes são uma das ferramentas mais valiosas da indústria, mas sua natureza interoperável apresenta um importante desafio para os projetos que as constroem.
Análogas às pontes de Manhattan, as pontes blockchain são plataformas que conectam duas redes diferentes, permitindo uma transferência cruzada de ativos e informações de uma blockchain para outra. Dessa forma, criptomoedas e NFTs não são isoladas em suas cadeias nativas, mas podem ser “ligadas” em diferentes blockchains, multiplicando as opções de utilização desses ativos.
Graças às pontes, o Bitcoin é usado em redes baseadas em contratos inteligentes para fins de DeFi, ou um NFL All Day NFT pode ser conectado do Flow ao Ethereum para ser fracionado ou usado como garantia.
Existem diferentes abordagens quando se trata de transferir ativos. Como o nome sugere, as pontes Lock-and-Mint funcionam bloqueando os ativos originais dentro de um contrato inteligente no lado de envio, enquanto a rede de recebimento cria uma réplica do token original no outro lado. Se o Ether for conectado de Ethereum a Solana, o Ether em Solana é apenas uma representação “embrulhada” da criptomoeda, não o token em si.
Embora a abordagem lock-and-mint seja o método de ponte mais popular, existem outras maneiras de concluir a transferência de ativos, como ‘burn-and-mint’ ou swaps atômicos auto-executados por um contrato inteligente para trocar ativos entre duas redes. Connext (anteriormente xPollinate) e cBridge são pontes que dependem de trocas atômicas.
Do ponto de vista da segurança, as pontes podem ser classificadas em dois grupos principais: confiáveis e não confiáveis. As pontes confiáveis são plataformas que dependem de terceiros para validar as transações, mas, mais importante, para atuar como custodiantes dos ativos em ponte. Exemplos de pontes confiáveis podem ser encontrados em quase todas as pontes específicas de blockchain, como a Binance Bridge, Polygon POS Bridge , WBTC Bridge, Avalanche Bridge, Harmony Bridge, Terra Shuttle Bridge e dapps específicos como Multichain (anteriormente Anyswap) ou Tron’s Just Cryptos.
Por outro lado, plataformas que dependem exclusivamente de contratos inteligentes e algoritmos para custódia de ativos são pontes sem confiança. O fator de segurança em pontes sem confiança está vinculado à rede subjacente onde os ativos estão sendo interligados, ou seja, onde os ativos estão bloqueados. As pontes sem confiança podem ser encontradas em Rainbow Bridge da NEAR , Wormhole de Solana, Snow Bridge de Polkadot, Cosmos IBC e plataformas como Hop, Connext e Celer.
À primeira vista, pode parecer que as pontes sem confiança oferecem uma opção mais segura para transferir ativos entre blockchains. No entanto, pontes confiáveis e não confiáveis enfrentam desafios diferentes.
A ponte Ronin opera como uma plataforma confiável centralizada. Esta ponte usa uma carteira multisig para custódia dos ativos em ponte. Resumindo, uma carteira multisig é um endereço que requer duas ou mais assinaturas criptográficas para aprovar uma transação. No caso de Ronin, a sidechain tem nove validadores que precisam de cinco assinaturas diferentes para aprovar depósitos e saques.
Outras plataformas usam a mesma abordagem, mas diversificam melhor o risco. Por exemplo, o Polygon conta com oito validadores e requer cinco assinaturas. As cinco assinaturas são controladas por diferentes partes. No caso de Ronin, quatro assinaturas foram realizadas apenas pela equipe Sky Mavis, criando um único ponto de falha. Depois que o hacker conseguiu controlar as quatro assinaturas do Sky Mavis de uma só vez, apenas mais uma assinatura foi necessária para aprovar a retirada dos ativos.
Em 23 de março, o atacante ganhou controle sobre a assinatura do Axie DAO, a peça final necessária para completar o ataque. 173.600 ETH e 25,5 milhões de USDC foram drenados do contrato de custódia de Ronin em duas transações diferentes no segundo maior ataque de criptografia de todos os tempos. Também vale a pena notar que a equipe do Sky Mavis descobriu o hack quase uma semana depois, mostrando que os mecanismos de monitoramento do Ronin eram no mínimo deficientes, revelando outra falha nessa plataforma confiável.
Embora a centralização apresente uma falha fundamental, as pontes sem confiança são propensas a explorações devido a bugs e vulnerabilidades em seu software e codificação.
O Solana Wormhole, uma plataforma que permite transações de ponte cruzada entre Solana e Ethereum, sofreu uma exploração em fevereiro de 2022, onde US$ 325 milhões foram roubados devido a um bug nos contratos de custódia de Solana. Um bug nos contratos do Wormhole permitiu que o hacker criasse os validadores de cadeia cruzada. O invasor enviou 0,1 ETH do Ethereum para Solana para acionar um conjunto de “mensagens de transferência” que enganaram o programa para aprovar um suposto depósito de 120.000 ETH.
O hack do Wormhole aconteceu depois que a Poly Network foi explorada por US$ 610 milhões em agosto de 2021 devido a falhas na taxonomia e estrutura dos contratos. As transações de cadeia cruzada neste dapp são aprovadas por um grupo centralizado de nós chamados “guardiões” e validadas na rede receptora por um contrato de gateway. Nesse ataque, o hacker conseguiu obter privilégios como guardião e, assim, enganou o gateway definindo seus próprios parâmetros. O invasor repetiu o processo no Ethereum, Binance, Neo e outras blockchains para extrair mais ativos.
O Ethereum continua sendo o ecossistema DeFi mais dominante do setor, respondendo por quase 60% do TVL do setor. Ao mesmo tempo, o surgimento de diferentes redes como alternativas para os dapps DeFi da Ethereum desencadeou a atividade cross-chain das pontes blockchain.
A maior ponte do setor é a ponte WBTC, que é custodiada pela BitGo, Kyber e Republic Protocol, a equipe por trás do RenVM. Como os tokens Bitcoin não são tecnicamente compatíveis com blockchains baseados em contratos inteligentes, a ponte WBTC “embrulha” o Bitcoin nativo, bloqueia-o no contrato de custódia da ponte e cunha sua versão ERC-20 no Ethereum. Esta ponte tornou-se tremendamente popular no DeFi Summer e agora detém cerca de US$ 12,5 bilhões em Bitcoin. O WBTC permite que o BTC seja usado como garantia em dapps como Aave, Compound e Maker, ou para render farm ou ganhar juros em vários protocolos DeFi.
Multichain, anteriormente conhecido como Anyswap, é um dapp que oferece transações de cadeia cruzada para mais de 40 blockchains com uma ponte integrada. A Multichain detém US$ 6,5 bilhões em todas as redes conectadas. No entanto, a ponte Fantom para o Ethereum é de longe o maior pool com US$ 3,5 bilhões bloqueados. Durante o segundo semestre de 2021, a rede Proof-of-Stake se estabeleceu como um destino DeFi popular com fazendas de rendimento atraentes envolvendo FTM, várias stablecoins ou wETH como as encontradas no SpookySwap.
Ao contrário do Fantom, a maioria das blockchains L1 usa uma ponte direta independente para conectar redes. A ponte Avalanche é principalmente custodiada pela Fundação Avalanche e é a maior ponte L1<>L1. Avalanche possui uma das paisagens DeFi mais robustas com dapps como Trader Joe, Aave, Curve e Platypus Finance.
A ponte Binance também se destaca com US$ 4,5 bilhões em ativos bloqueados, seguida de perto por Solana Wormhole com US$ 3,8 bilhões. A Shuttle Bridge da Terra garante apenas US$ 1,4 bilhão, apesar de ser a segunda maior blockchain em termos de TVL.
Da mesma forma, soluções de dimensionamento como Polygon, Arbitrum e Optimism também estão entre as pontes mais significativas em termos de ativos bloqueados. A Polygon POS Bridge, o principal ponto de entrada entre o Ethereum e sua sidechain, é a terceira maior ponte com quase US$ 6 bilhões custodiados. Enquanto isso, a liquidez nas pontes de plataformas L2 populares, como Arbitrum e Optimism, também está aumentando.
Outra ponte que merece destaque é a ponte Near Rainbow, que visa resolver o famoso trilema da interoperabilidade . Essa plataforma que conecta Near e Aurora com Ethereum pode apresentar uma oportunidade valiosa para obter segurança em pontes sem confiança.
Ambas as pontes confiáveis e não confiáveis, as duas abordagens para ativos com ponte de custódia, são propensas a fraquezas fundamentais e técnicas. Ainda assim, existem maneiras de prevenir e diminuir o impacto causado por invasores maliciosos que visam pontes de blockchain.
No caso de pontes confiáveis, fica claro que é necessário aumentar a proporção de assinantes necessários, além de manter os multisigs distribuídos em diferentes carteiras. E mesmo que as pontes sem confiança removam os riscos relacionados à centralização, bugs e outras restrições técnicas apresentam situações de risco, como mostram os exploits Solana Wormhole ou Qubit Finance. Assim, é necessário implementar ações off-chain para proteger ao máximo as plataformas cross-chain.
A cooperação entre os protocolos é necessária. O espaço Web3 é caracterizado por sua comunidade unida, portanto, ter as mentes mais brilhantes da indústria trabalhando juntas para tornar o espaço um local mais seguro seria o cenário perfeito. Animoca Brands, Binance e outras marcas da Web3 arrecadaram US$ 150 milhões para ajudar a Sky Mavis a diminuir o impacto financeiro do hack da ponte do Ronin. Trabalhar em conjunto para um futuro multicadeia pode levar a interoperabilidade para o próximo nível.
Da mesma forma, a coordenação com plataformas de análise de blockchain e trocas centralizadas (CEXs) deve ajudar a rastrear e sinalizar tokens roubados. Essa condição pode desincentivar os criminosos no médio prazo, pois a porta de entrada para sacar criptomoedas por fiat deve ser controlada por procedimentos KYC em CEXs estabelecidos. No mês passado, alguns jovens de 20 anos foram legalmente sancionados depois de enganar pessoas no espaço NFT. É justo pedir o mesmo tratamento para hackers identificados.
Auditorias e recompensas de bugs são outra forma de melhorar a saúde de qualquer plataforma Web3, incluindo pontes. Organizações certificadas como Certik, Chainsafe, Blocksec e várias outras ajudam a tornar as interações Web3 mais seguras. Todas as pontes ativas devem ser auditadas por pelo menos uma organização certificada.
Enquanto isso, os programas de recompensas por bugs criam uma sinergia entre o projeto e sua comunidade. Hackers brancos desempenham um papel vital na identificação de vulnerabilidades antes que invasores maliciosos o façam. Por exemplo, a Sky Mavis lançou recentemente um programa de recompensas de bugs de US$ 1 milhão para fortalecer seu ecossistema.
O surgimento de soluções L1 e L2 como ecossistemas holísticos de blockchain que desafiam os dapps Ethereum criaram a necessidade de plataformas de cadeia cruzada para mover ativos entre redes. Essa é a essência da interoperabilidade, um dos pilares da Web3.
No entanto, o atual cenário interoperável depende de protocolos de blockchain cruzada em vez de uma abordagem multichain, um cenário sobre o qual Vitalik facilitou as palavras de cautela no início do ano. A necessidade de interoperabilidade no espaço é mais do que evidente. No entanto, são necessárias medidas de segurança mais robustas neste tipo de plataforma.
Infelizmente, o desafio não será superado facilmente. Ambas as plataformas confiáveis e não confiáveis apresentam falhas em seu design. Essas falhas de cadeia cruzada inerentes tornaram-se perceptíveis. Mais de 80% dos US$ 1,2 bilhão perdidos em hacks em 2022 vieram de pontes exploradas.
Além disso, à medida que o valor da indústria continua aumentando, os hackers também estão ficando mais sofisticados. Ataques cibernéticos tradicionais, como engenharia social e ataques de phishing, se adaptaram à narrativa da Web3.
A abordagem multichain em que todas as versões de token são nativas de cada blockchain ainda está longe. Portanto, as plataformas cross-chain devem aprender com os eventos anteriores e fortalecer seus processos para reduzir ao máximo o número de ataques bem-sucedidos.
*Traduzido com autorização do The Defiant
Leia também: Mineradora de Bitcoin da Rússia é incluída na lista de sanções dos EUA
Leia também: Binance divulga emoji que lembra suástica e é “cancelada” no Twitter
Leia também: Investidores em Bitcoin têm baixa alfabetização financeira, diz pesquisa
This website uses cookies.