Известные успешные атаки

В феврале 2022 г. стало известно об атаке на кроссчейн-мост Wormhole, который осуществлял обмен активами между сетью Solana и другими блокчейнами, в том числе со сверхпопулярным Ethereum. Злоумышленники обнаружили метод эмиссии необеспеченных токенов, которые они обменяли на реальные криптовалюты. В общей сложности экосистема Solana подверглась четырем атакам, а общий ущерб от них составил $397 млн.

В конце марта 2022 г. атака на сайдчейн Ronin, специально созданный для улучшения масштабируемости и снижения комиссий для пользователей игры Axie Infinit. Благодаря вредоносному ПО в PDF-документе с предложением о работе от несуществующей компании, загруженном одним из сотрудников из электронного письма, злоумышленники успешно осуществили атаку и вывели криптовалютные активы на $625 млн.

…

Технологии сайдчейнов и кроссчейнов используются очень активно, они являются шлюзами обмена средствами и ценностями между разными сегментами рынка криптовалют. Становится понятно, почему хакеры всех мастей обратили свой взор на кроссчейн-мосты и сопутствующие протоколы.

С ними были связаны самые крупные кражи за 2022 г., согласно отчету Chainalysis: в общей сложности ущерб составил сумму, эквивалентную $3 млрд. Примечательно, что эксперты прогнозируют по итогам 2023 г. в разы больший ущерб: уже были зафиксированы крупные атаки на популярные площадки и за несколько месяцев текущего года объем похищенных активов уже сравнялся с показателями 2022 г.

Ведущие аналитические платформы и их специалисты не дремлют, ищут похищенные средства, мошенников, блокируют их на криптовалютных биржах и в протоколах. Такие платформы осуществляют анализ большого объема данных о транзакциях, кластеризацию адресов криптокошельков, ранжирование рисков, визуализацию данных для упрощения анализа.

Участниками рынка очень востребованы новые подходы к Data Science с углублением исследования атрибутов, кроме того, на рынке не хватает аналитиков. Доступны корпоративные решения, есть платформы Open Source, поддерживаемые сообществом экспертов, для анализа транзакций между блокчейнами. Разработан специализированный инструментарий для блокчейн-криминалистики между сайдчейнами и кроссчейнами.

Для повышения защищенности сайдчейнов и кроссчейн-мостов необходимо повышать прозрачность и стандартизацию, делать аудиты на соответствие отраслевым стандартам и пентесты, обязательно и внедрение безопасной разработки SDLC, в том числе и для повышения качества разработки смарт-контрактов.

Возможно, сейчас блокчейны и кажутся уделом гиков, а их проблемы выглядят локальными. Но блокчейн активно проникает в разнообразные отрасли экономики и приживается там в виде инновационных бизнес-приложений. Все риски, присущие технологии, становятся актуальными не только для криптовалютных организаций, но и для традиционных сфер. Поэтому готовность к защите критичных процессов на базе блокчейнов через три-пять лет должна закладываться уже сегодня.

Технология блокчейна изменила представление о безопасности, прозрачности и децентрализации в цифровом мире. Однако ее возможности ограничиваются лишь событиями и данными, происходящими внутри самой цепочки блоков. Для полноценного взаимодействия с реальным миром потребовались механизмы, способные связать блокчейн с внешними источниками информации. Именно эту задачу выполняют блокчейн-оракулы44.

что такое оракулы?

Смарт-контракты работают исключительно в рамках данных, доступных в блокчейне. Однако, для выполнения операций с учетом событий реального мира они нуждаются в информации извне – погодных условиях, результатах спортивных событий, курсах валют, рыночных ценах. Именно эту роль выполняют блокчейн-оракулы – специальные механизмы, которые обеспечивают передачу данных из внешнего мира в смарт-контракты, действующие внутри блокчейнов.

В блокчейн-экосистеме оракулы обеспечивают достоверность и доступности данных. Без них большинство децентрализованных приложений (dApps), включая DeFi-платформы, системы страхования или прогнозирования, были бы неработоспособными, так как их логика напрямую зависит от событий, происходящих за пределами блокчейна.

Роль оракулов особенно заметна в децентрализованных финансах. Например, для определения ликвидности активов в DeFi-протоколах требуется информация о текущей рыночной цене. Оракулы в данном случае служат источником этих данных, гарантируя их своевременность и точность. Кроме того, они применяются в смарт-контрактах при управлении логистикой для учета местоположения грузов, или в страховании, где выплаты зависят от погодных условий или других объективных факторов.

виды оракулов

Блокчейн-оракулы условно делят на несколько основных типов, каждый из которых предназначен для решения своего класса задач.

– Централизованные оракулы работают с одним источником данных или провайдером информации. Они просты в реализации, обеспечивают быструю передачу данных, но такие оракулы уязвимы к манипуляциям и взломам, так как вся система зависит от единственного узла.

– Децентрализованные оракулы, напротив, используют несколько независимых источников данных и применяют механизмы консенсуса для определения достоверной информации. Такой подход повышает надежность и устойчивость системы, устраняя единую точку отказа. Однако децентрализация требует больших затрат времени для обработки данных, что может быть критичным для приложений, требующих мгновенного отклика.

– Аппаратные оракулы предназначены для получения данных из физического мира с использованием датчиков, камер или других IoT-устройств. Такие оракулы востребованы в ситуациях, где необходимо учитывать реальные физические параметры: температуру, местоположения грузов и т.п. Хотя они обеспечивают необходимую точность, их слабым местом остаются физические атаки и сбои оборудования.

– Программные оракулы берут данные из онлайн-источников, в частности, с веб-сайтов, из API или баз данных, что делает их идеальным решением, если нужно для получить информацию в реальном времени: например, котировки валют или результаты спортивных событий. Но при этом они подвержены таким векторам атак, как перехват данных или подмена источников, а их надежность полностью зависит от достоверности подключенных ресурсов.

Существуют также внутриблокчейновые оракулы, которые работают исключительно с данными, уже существующими в блокчейне. Они используются для обмена информацией между разными блокчейнами или анализа данных внутри одной сети. Такие оракулы обеспечивают высокий уровень безопасности, но их область применения ограничена задачами, не требующими связи с внешним миром.

Оракулы не только расширяют функциональность блокчейна, но и привносят в него специфические угрозы, притом что их точность и безопасность напрямую влияют на результат работы смарт-контрактов.

уязвимости блокчейн-оракулов

Одной из главных проблем оракулов является отсутствие прямой гарантии достоверности данных. Смарт-контракты, будучи автономными и децентрализованными, полностью зависят от информации, предоставляемой оракулами. Если входные данные окажутся некорректными, это может привести к принятию неправильных решений и финансовым потерям, известным как проблема "garbage in – garbage out" ("каков вопрос, таков ответ").

Атаки на централизованные оракулы представляют серьезную угрозу, так как они зависят от одного источника данных. Злоумышленник, получивший контроль над единственным источником, может манипулировать информацией в своих интересах. Например, подмена данных о рыночных ценах на бирже может привести к значительным убыткам в DeFi-приложениях.

Но и децентрализованные оракулы, которые объединяют данные из разных источников, не защищены от манипуляций. Злоумышленники могут использовать атаки совершенно другого характера, такие как подкуп операторов или влияние на консенсусный механизм.