Las finanzas descentralizadas (DeFi) podrían haber surgido como una categoría emocionante en el ecosistema de blockchain, pero su estado aún incipiente ha dejado a muchos participantes expuestos a los riesgos que acompañan a esta iteración de servicios financieros más democratizados.
El último exploit de Wormhole, un puente de cadena de bloques entre Solana y Ethereum, subraya las fallas que continúan apareciendo e impactando a los usuarios de DeFi. Por contexto, el hackeo de $325 millones fue efectivamente el resultado de una lógica defectuosa en el conjunto de programación del puente para una actualización.
Por lo general, una transacción que fluye a través de Wormhole a Solana requiere una firma de transacción válida y un tutor (nodo de validación aprobado). Si se cumplen estas dos condiciones, se aprueban las solicitudes de transacción. En caso de firma de transacción inválida y tutor válido, no se cumplen las condiciones necesarias para iniciar una transacción, lo que lleva a Solana a denegar esta solicitud. Sin embargo, en lugar de presentar condiciones no válidas donde había una firma de transacción no válida y un tutor válido, el pirata informático utilizó una firma no válida y un no tutor, creando efectivamente dos condiciones no aprobadas.
Debido a que se necesitan dos condiciones válidas para formar una "coincidencia" para aceptar las solicitudes de transacción, y dos condiciones no válidas también podrían verse como una "coincidencia" dentro de la lógica existente del sistema, permitió que el pirata informático acuñara Ethereum envuelto (wETH) en Solana . Sin tener que depositar 120,000 120,000 ETH en lo que funciona como una cuenta de depósito en garantía, el hacker acuñó XNUMX XNUMX wETH, que luego se intercambió, engañando a Wormhole para que desbloqueara Ethereum ordinario que garantizaba otros wETH en Solana.
Aunque el equipo de Wormhole cerró la falla desde entonces, no está claro cómo pretenden recapitalizar los fondos robados del puente a pesar de anunciar esfuerzos en ese sentido. Si bien han hecho ofertas de recompensas al hacker, la falta de respuesta ha sido ensordecedora. Aún así, este truco destaca las vulnerabilidades significativas dentro de las infraestructuras críticas de interoperabilidad que conectan DeFi y, lo que es más importante, aquellas que permiten que las cadenas de bloques se comuniquen.
¿Puede la computación multipartita significar una interoperabilidad más segura?
La interoperabilidad, o en este contexto, la capacidad de conectar cadenas de bloques y ecosistemas desconectados, es el pegamento que mantiene unidas las finanzas descentralizadas a través de una serie de puentes, oráculos y más. Sin embargo, la interoperabilidad también puede significar vulnerabilidad, como fue el caso de Wormhole, especialmente cuando la interoperabilidad es responsable de supervisar el intercambio seguro de valor entre dos sistemas.
La idea de requerir múltiples partes o pruebas (como firmas) para aprobar ciertas transacciones no es ajena a la tecnología blockchain, sino una característica bastante común de ciertas billeteras electrónicas. La idea de distribuir el poder de firma a múltiples partes disminuye el riesgo de un único punto de falla.
Para monederos mutlisig, esto significa decidir quiénes serán los co-firmantes y cuántos co-firmantes deben firmar una transacción. El problema con este modelo es cambiar los cofirmantes y los permisos, sin mencionar que se deben presentar varias firmas simultáneamente, lo que genera demandas de disponibilidad de los cofirmantes para cada transacción.
La computación multipartita (MPC) puede ayudar a evitar estas complicaciones, pero su aplicación se extiende mucho más allá de las billeteras y la verificación de claves. MPC utiliza puntos finales completamente modificables que contienen una parte de las claves secretas, pero no la totalidad. Juntos, estos puntos finales se utilizan para formar un consenso, y se establece un número mínimo de puntos finales para llegar a este consenso en una transacción.
Kurt Nielsen, presidente y cofundador de Partisia blockchain, cree que MPC tiene la clave para desbloquear el verdadero potencial de la interoperabilidad en un marco más seguro y confiable. Nielsen señala: “La interoperabilidad a través de token bridges exhibe un inmenso potencial para convertirse en el principal creador de valor en el ecosistema blockchain. Sin embargo, como vimos en el exploit Wormhole, mover tokens fuera de su modelo de seguridad establecido plantea importantes desafíos y vulnerabilidades. Nuestra respuesta son principios de auditoría probados y más sofisticados y medidas de seguridad de MPC a gran escala”.
Él explica además: “Primero, un Oracle que vence regularmente representa de manera efectiva y transparente los valores en las diferentes cadenas de bloques, como la contabilidad de doble entrada que ha demostrado su valor desde el Medici Bank en el siglo XIV. En segundo lugar, las medidas de seguridad de MPC a gran escala evitan la acumulación de riesgos financieros entre oráculos o épocas. En tercer lugar, los nodos que operan Oracle en una época determinada proporcionan garantías para respaldar los valores transferidos y, por último, los desequilibrios objetivos se compensan a través de un proceso de disputa descentralizado”.
Partisia ha estado involucrada en soluciones MPC de grado comercial desde 2008 y ahora está aplicando su perspicacia a las aplicaciones basadas en blockchain. Partisia Blockchain actúa efectivamente como una capa de interoperabilidad utilizando cálculos de prueba de conocimiento cero. Con los nodos calificados y clasificados según su puntaje de confianza, los usuarios de DeFi pueden ganar una mayor confianza en cómo y quién está moviendo su valor entre los ecosistemas.
Aunque el incidente de este tipo más grande en 2022 hasta el momento, Wormhole probablemente estará lejos de ser el único protocolo, puente o cadena de bloques DeFi al que apuntan los piratas informáticos a medida que avanza el año. Sin embargo, como muestra Partisia, MPC se destaca como una estrategia para fomentar la comunicación entre redes que supervisan la transferencia de datos o valor sin saber exactamente qué se transfiere, quién ya dónde.
Fuente: https://zycrypto.com/wormhole-exploit-underlines-case-for-greater-mpc-use-across-blockchain-oracles-bridges/