Web3 Tidak Akan Menjadi Arus Utama Sampai Ada Integrasi Blockchain yang Mulus: Dengan Semakin Banyaknya Serangan Jembatan, Apa Artinya?

Kembali pada Maret 2022, jaringan cryptocurrency Ronin mengungkapkan itu telah menjadi korban salah satu peretasan terbesar sepanjang masa, menderita pelanggaran yang memungkinkan penyerang untuk mencuri lebih dari $540 juta senilai koin Ethereum dan USD. Insiden itu melihat peretas mengeksploitasi kerentanan dalam layanan yang dikenal sebagai Jembatan Ronin. Ini adalah salah satu dari sejumlah serangan yang berhasil pada "jembatan blockchain" baru-baru ini yang telah menarik perhatian pada inefisiensi keamanan yang melekat pada mereka.

Jembatan Blockchain, kadang-kadang disebut jembatan jaringan, adalah layanan yang memungkinkan pemegang kripto untuk memindahkan aset digital mereka dari satu blockchain ke blockchain lainnya. Mereka memberikan peran penting, karena cryptocurrency sering tertutup dan kurang interoperabilitas, artinya Anda dapat mengirim Bitcoin ke alamat dompet Ethereum, misalnya. Karena sifatnya yang tertutup ini, jembatan telah muncul sebagai mekanisme kunci dalam ekonomi kripto.

Layanan jembatan sebenarnya tidak mentransfer satu jenis aset digital ke rantai lain. Sebaliknya, apa yang mereka lakukan adalah "membungkus" token cryptocurrency untuk mengubahnya menjadi aset baru di rantai lain. Jadi jika pengguna ingin menjembatani Bitcoin ke Solana, jembatan tersebut pada dasarnya akan membekukan BTC asli dengan menguncinya di alamat dompet, sebelum mengeluarkan apa yang dikenal sebagai BTC yang dibungkus (WBTC) yang dapat digunakan pada rantai kedua. Ini dapat dianggap sebagai semacam kartu hadiah yang memberikan nilai uang yang sama persis, yang hanya dapat digunakan di toko tertentu.

Karena cara kerjanya, jembatan memiliki cadangan token cryptocurrency yang signifikan yang dikunci dalam kontrak pintar, dan cadangan tersebut membuatnya sangat menarik bagi peretas.

Seperti yang diketahui oleh para pendukung crypto dengan sangat baik, nilai apa pun yang dipegang secara on-chain dapat diserang kapan saja sepanjang hari. Internet tidak pernah offline, artinya token yang dipegang oleh jembatan mana pun selalu dapat diakses.

Ronin Hack Menunjukkan Bahaya Sentralisasi

 Serangan terhadap Jaringan Ronin adalah salah satu perampokan DeFi terbesar dalam hal nilai dolar. Ronin adalah sidechain Ethereum yang memungkinkan transaksi lebih murah dengan kecepatan yang jauh lebih cepat daripada jaringan utama. Itu adalah jembatan pilihan untuk permainan cryptocurrency populer “play-to-earn” Axie Infinity, yang berarti ia terus-menerus memproses jutaan dolar dalam crypto dan stablecoin.

Sidechains adalah solusi penskalaan blockchain yang membutuhkan jembatan untuk terhubung ke rantai lain. Dengan Ronin, pengguna dapat mengunci ETH mereka dan ETH yang dibungkus mint di jaringan alternatif. Transaksi diproses dan disetujui melalui algoritma konsensus Proof of Authority. Dengan model ini, 5 dari 9 validator harus menyepakati suatu transaksi untuk mencapai konsensus. Namun, empat validator Ronin dioperasikan oleh satu perusahaan – Sky Mavis, pengembang Ronin.

Itu adalah pengaturan yang sangat terpusat yang dihasilkan dari keputusan Axie Dao untuk mengatur node RPC bebas gas pada November 2021 untuk mencoba dan memperbaiki kemacetan jaringan. DAO mengizinkan kunci Sky Mavis untuk menandatangani transaksi atas namanya. Seharusnya hanya pengaturan sementara, tetapi daftar yang diizinkan tidak pernah dicabut. Ini membuat pembukaan untuk para penyerang – dikatakan sebagai Grup Lazarus yang disponsori Korea Utara – yang menggunakan teknik rekayasa sosial untuk mengkompromikan empat kunci Sky Mavis. Peretas kemudian menemukan kerentanan dalam kode RPC, memberinya kendali atas validator kelima dan memungkinkannya melakukan penarikan ilegal.

Masalah utama adalah bahwa sistem multi-tanda tangan Ronin untuk menandatangani transaksi dikompromikan karena kurangnya desentralisasi. Ini menggambarkan kelemahan mekanisme keamanan di mana sebagian besar pemerintahan terkonsentrasi di tangan satu entitas.

Kerentanan Kontrak Cerdas Tetap Ada

 Peretasan Ronin bukan hanya satu kali, melainkan hanya yang terbaru dalam serangkaian serangan profil tinggi di jembatan blockchain yang telah mengakibatkan hilangnya nilai jutaan dolar. Satu bulan sebelumnya, penyerang berhasil kabur dengan Ethereum senilai sekitar $80 juta setelah serangan di Jembatan Qubit.

Ini adalah layanan yang dioperasikan oleh platform Qubit Finance, yang memungkinkan pengguna untuk meminjamkan dan meminjam aset digital di seluruh jaringan Ethereum dan Binance Smart Chain. Misalnya, memungkinkan untuk menyetor token ERC-20 dan menerima koin BEP-20 sebagai gantinya, yang kemudian dapat digunakan pada rantai Binance.

Jembatan Qubit diretas karena apa yang dikatakan sebagai "kesalahan logis" dalam kode kontrak pintarnya. Kerentanan memungkinkan peretas untuk memanipulasi jembatan menggunakan data berbahaya, sehingga dia dapat menarik token BSC tanpa melakukan setoran apa pun di Ethereum. Sebuah otopsi serangan menemukan bahwa kontrak pintar QBridge tidak memverifikasi dengan benar bahwa jumlah ETH yang diperlukan telah dikunci. Sebagai gantinya, peretas dapat menunjukkan bukti palsu dari setoran yang tidak ada.

Insiden itu menyoroti bagaimana kerentanan kontrak pintar tetap menjadi masalah yang terus-menerus di DeFi, dan terutama untuk jembatan blockchain. Sebagian besar serangan jembatan menargetkan bug dalam kontrak pintar, yang merupakan kontrak otomatis yang dijalankan sendiri ketika kondisi tertentu terpenuhi.

Jembatan Adalah Kunci Untuk Memperluas Jangkauan Crypto

 Platform Crypto telah menjadi sasaran serangan tanpa akhir sejak industri yang baru lahir mulai menjadi populer. Penganut DeFi mengatakan itu dapat memberikan alternatif yang lebih mudah diakses dan adil untuk layanan keuangan tradisional, tetapi karena ruang telah berkembang, itu telah mengalami apa yang pada dasarnya adalah cobaan api. Serangan pada jembatan telah menjadi hal biasa seperti pertukaran cryptocurrency dan pencurian protokol DeFi. Masalahnya adalah bahwa jembatan, seperti pertukaran dan protokol, adalah platform berisiko tinggi yang memiliki nilai yang sangat besar dan salah satu dari mereka dapat rentan terhadap bug dalam kode dasarnya.

Ada kepercayaan luas bahwa crypto dan DeFi tidak akan pernah mencapai adopsi luas tanpa solusi yang tepat untuk risiko serangan. Sebagian besar nilai dunia dipegang oleh investor institusional, seperti bank investasi dan hedge fund besar. Organisasi semacam itu memprioritaskan kepatuhan dan keamanan dana mereka di atas potensi keuntungan apa pun yang bisa didapat. Jadi DeFi dan crypto tidak mungkin menjadi lebih dari sekadar industri investasi khusus sampai masalah keamanannya dapat diselesaikan.

Keamanan jembatan sangat penting. Sifat blokade yang tertutup adalah cacat parah yang membatasi potensi jangkauan aplikasi yang terdesentralisasi. DApp yang dibangun di atas Ethereum tidak dapat berbicara dengan orang lain berdasarkan blockchain yang berbeda. Itu tidak dapat bertransaksi dengan Bitcoin, cryptocurrency paling berharga dan banyak digunakan di dunia, yang berarti pemegang BTC tidak memiliki cara untuk berinteraksi dengan ekosistem DeFi. Jika crypto akan ada di mana-mana, pengguna harus memiliki cara yang aman untuk berkomunikasi dengan rantai yang berbeda.

Membangun Jembatan yang Lebih Baik

 Kabar baiknya adalah ada orang-orang di industri yang menyadari pentingnya konektivitas blockchain yang aman. Salah satu prospek yang menarik adalah AllianceBlock sangat menjanjikan Jembatan Aliansi, yang mendukung jaringan utama termasuk Ethereum, Binance Smart Chain, Avalanche, Polygon, Arbirtrum, Optimism, dan Web Energi dengan infrastruktur unik yang lebih terdesentralisasi dan memberikan kinerja yang lebih cepat dan lebih aman.

Tidak seperti jembatan terpusat, yang mengandalkan satu atau hanya beberapa entitas untuk memverifikasi bahwa transaksi itu sah, jembatan terdesentralisasi didasarkan pada prinsip yang sama dengan blockchain itu sendiri. Ada beberapa operator yang memanfaatkan mekanisme konsensus yang terstruktur dengan baik untuk menetapkan validitas transaksi. AllianceBridge adalah jembatan terdesentralisasi yang telah mengembangkan metode unik untuk memastikan tercapainya konsensus.

Seperti yang lain, AllianceBridge mengunci token yang diterimanya ke dalam kontrak pintar dan kemudian mengeluarkan token yang dibungkus pada blockchain target. Token yang dibungkus itu akan ada di rantai kedua hingga saat pengguna memutuskan untuk menebusnya di jaringan asli. Pada saat itu, token yang dibungkus akan dibakar, artinya token tersebut tidak ada lagi, sedangkan token asli pada rantai asli tidak terkunci.

Perbedaan AllianceBridge adalah bahwa ia menggunakan jaringan operator jembatan yang kompatibel dengan EVM. Selain itu, ia memanfaatkan pihak ketiga yang kuat Layanan Konsensus Hedera Hashgraph yang didukung oleh inovasi “gosip-tentang-gosip” algoritma konsensus.

Dengan menggunakan layanan HCS, aplikasi dan jaringan blockchain dapat mengirimkan pesan ke buku besar Hedera, di mana pesan tersebut diberi stempel waktu dan dipesan dengan transparansi penuh. Hal ini memungkinkan AllianceBridge untuk mencapai konsensus tanpa mempertahankan sinkronisasi antara operator jembatannya. Ini berarti kinerja yang lebih cepat dengan tingkat desentralisasi yang tinggi, sementara HCS memberikan lapisan kepercayaan ekstra yang membuat jembatan lebih aman.

Kontrak pintar AllianceBridge, yang digunakan untuk mengunci aset asli dan mencetak serta membakar token yang dibungkus, memberikan lebih banyak kepastian. Seluruh basis kode kontrak pintar ditulis untuk beresonansi dengan standar EIP-2535 dan telah sepenuhnya diaudit oleh Omniscia. Selama audit, Omniscia menunjukkan sejumlah masalah potensial yang segera diperbaiki oleh AllianceBlock sebelum kode ditayangkan.

Keamanan dan keandalan AllianceBridge telah memainkan peran kunci dalam memperluas utilitas rangkaian penawaran DeFi AllianceBlock, termasuk Terminal DeFi, yang menyediakan cara mudah bagi proyek untuk meluncurkan penambangan likuiditas dan kampanye staking di beberapa jaringan dan dApps yang didukung. Dengan protokol interoperabilitas blockchain yang aman, AllianceBlock membangun fondasi kuat yang dibutuhkan ekosistem Web3 yang kaya dan saling terhubung untuk tumbuh dan berkembang.

- Iklan -