В L2-сетях на основе Эфириума найдена уязвимость, которая может привести к потере 121 миллиона. Что для этого нужно?

Из 12 различных сетей второго уровня на основе Эфириума можно вывести средства на сумму более 121 миллиона долларов, тем самым нанеся огромный ущерб соответствующей экосистеме. Для этого хакерам достаточно получить доступ к одному мультисиг-кошельку проекта Conduit, который является самой популярной платформой Rollup-as-a-Service (RaaS) для запуска подобных цепочек. Однако вопреки тревожным предупреждениям в сообществе, основатель Conduit Эндрю Хуанг призывает не беспокоиться о такой перспективе. Рассказываем о ситуации подробнее.

Напомним, мультиподписью или мультисигом называют необходимость в двух или больше подписях для проведения транзакции. Данная особенность значительно уменьшает возможности взлома определённого хранилища цифровых активов и используется разработчиками блокчейн-проектов. Всё же в случае взлома одного кошелька хакер не сможет провести перевод и опустошить адрес — для этого потребуется подпись с помощью другого ключа, что может сохранить деньги и избавить разработчиков от перспективы убытков.

L2-сети на основе Эфириума продолжают становиться популярнее среди пользователей, поскольку они предлагают относительно быстрое проведение транзакций при низких комиссиях. Вдобавок ранее 13 марта в сети Eth был активирован масштабный апгрейд под названием Dencun, главной особенностью которого стало существенное снижение комиссий в цепочках второго уровня.

Активность в топовых L2-сетях существенно обходит количество транзакций в основной сети Eth. Например, в апреле доля операций в таких цепочках (жёлтым) достигла рекордных 82 процентов, в то время как 18 процентов приходилось на основную сеть Эфириума (оранжевым).

Сравнение активности в L2-сетях и основной сети Эфириума

Риски блокчейн-сетей

Под угрозой оказались сети Zora, Aevo, Hypr, Orderly, Ancient8, Lyra, Mode, Pgn, Parallel и Metal. Все они созданы с помощью RaaS-провайдера Conduit – специальной платформы для разработки роллапов. При этом роллап – это основное решение масштабирования сетей второго уровня на базе Эфириума. Его суть сводится обработке транзакций за пределами основной сети или так называемого мейннета Eth вместе с последующим внесением данных в эту цепочку.

Соответствующей проблемой их уязвимости в Твиттере поделился исследователь L2BEAT Лука Донно, также известный под псевдонимом donnoh.eth. Перед этим мнением о централизации Conduit поделился генеральный директор Helius Мерт Мумтаз, который подписан в Твиттере как 0xMert_.

Он опубликовал скриншот официального объявления Conduit о проблемах L3-сети Degen, в результате чего для проведения технических работ команда перевела сеть в офлайн. Другими словами, RaaS-провайдер может просто отключить сеть, что создаёт централизованную точку уязвимости и не позволяет рассказывать о какой-либо независимости и децентрализации такого решения.

Объявление Conduit о проблемах с Degen

Донно добавил, что представители Conduit могут воздействовать на операции во всех вышеупомянутых роллапах с помощью лишь одного адреса. Этот кошелёк упоминается в официальной документации Zora и выполняет роль ProxyAdminOwner – узла, который в состоянии обновлять интеграцию мостов между различными цепочками.

Если опустить технические подробности, то у кошелька есть доступ к средствам во всех сетях, созданных с помощью Conduit.

Мультисиг-кошелек в документации Zora

К примеру, только в сети Aevo объём заблокированных средств достигает отметки в 72 миллиона долларов. При этом вышеупомянутый кошелёк даёт практически «неограниченные» возможности для управления сетью, отмечает эксперт.

Мультисиг-кошелёк в документации проекта Aevo

В сети Lyra заблокированы активы на сумму около 20 миллионов долларов. Опять же, в соответствующей документации здесь можно найти тот самый кошелёк, упомянутый как ConduitMultisig.

Мультисиг-кошелёк в документации проекта Lyra

В интервью представителям Cointelegraph основатель RaaS-провайдера Эндрю Хуанг подтвердил данную информацию. Он также добавил, что кошелёк надёжно защищён системой мультиподписи, то есть для получения доступа к средствам потенциальному хакеру требуются приватные ключи трёх из пяти владельцев кошелька, раздобыть которые практически невозможно. Вдобавок к этому ключи хранятся офлайн, а значит злоумышленику нужен физический доступ к ним.

Мультиподпись действительно может быть эффективным решением для защиты криптовалютного адреса. Однако проблема заключается не только в нём, но и в самой централизованной природе Conduit. Хуанг пообещал, что в ближайшем времени систему безопасности улучшат, ну а для доступа к кошельку потребуются уже 5 из 7 ключей. Тем не менее, глобально такой шаг проблему не решит.

В целом сети второго уровня на базе Эфириума могут получить куда больше внимания пользователей и инвесторов после роста популярности самого альткоина. Ожидается, что вслед за внезапной сменой своей позиции Комиссия по ценным бумагам и биржам США одобрит первый спотовый ETF на Эфириум уже на этой неделе.

Таким образом запуск нового инвестиционного инструмента сместит фокус внимания на Эфириум и представителей соответствующей экосистемы, к которой в том числе относятся L2-сети.

Изменения курса Эфириума ETH за месяц

Всё же запуск спотовых ETF на Биткоин 11 января 2024 года привлёк огромный капитал в первую криптовалюту, на фоне чего она достигла нового исторического максимума курса на уровне 73 777 долларов от 14 марта.

Наплыв средств продолжается и сейчас. Например, по итогам среды чистый приток капитала в спотовые Биткоин-ETF в США составил 153.9 миллиона долларов, 91.9 миллиона из которых пришлись на iShares Bitcoin Trust (IBIT) от крупнейшей инвестиционной компании мира BlackRock.

Наплыв и отток капитала из спотовых Биткоин-ETF

Вдобавок на этой неделе продукт BlackRock впервые вышел на первую строчку в рейтинге ETF по объёму BTC в своей основе. Затем на позицию лидера вновь вернулся GBTC от Grayscale, хотя сейчас его преимущество является очень шатким.

В середине недели Биткоин-ETF от BlackRock оказался на первом месте в рейтинге таких продуктов

Судя по всему, украсть указанную сумму в перечисленных L2-сетях вряд ли получится, ведь для этого понадобится получить доступ сразу к нескольким нужным кошелькам одновременно. При этом ситуация обнажила существенную проблему в лице децентрализации подобных цепочек, что в целом не скрывается её создателями. Например, в популярном решении Base от криптобиржи Coinbase есть лишь одна нода-секвенсор, которая отвечает за добавление новых транзакций и обеспечение работы цепочки в целом, ну а управляет ей как раз Coinbase. Так что поклонникам децентрализации стоит учитывать данный момент.

Источник