지난 620주 동안 암호화폐에서 일어난 일을 추적했다면 XNUMX억 XNUMX천만 달러의 암호화폐 손실을 위협한 Ronin 네트워크 익스플로잇에 대해 잘 알고 있을 것입니다. 비공식적인 사후 부검은 해커들이 유출 서명을 위조하기 위해 손상된 개인 키를 사용했음을 보여줍니다.
이 글은 Ronin 네트워크 공격에서 발생한 일, 해커가 자금을 이체한 방법, 향후 이러한 멀티시그 해킹을 방지하기 위해 사용할 수 있는 솔루션에 중점을 둡니다.
Ronin 네트워크 해킹 이해
29월 XNUMX일 Axie Infinity 사이드체인, Ronin 네트워크 커뮤니티 경고를 발령했습니다. 네트워크가 공격을 받아 173,600 ETH와 25.5만 USDC가 해커의 지갑으로 전송되어 620억 XNUMX만 달러에 가까운 손실이 발생했습니다. SlowMist 블록체인 보안 팀의 비공식 사후 분석 결과에 따르면 해킹은 Ronin 네트워크 유효성 검사기 노드의 손상을 통해 수행되었습니다.
Ronin 네트워크의 모회사인 Sky Mavis가 보낸 커뮤니티 경고에서 해킹은 23월 XNUMX일에 완료되었지만 일부 사용자가 브리지에서 일부 자금을 인출할 수 없다고 보고할 때까지 눈에 띄지 않았습니다. 릴리스에 따르면 해커는 손상된 개인 키를 사용하여 단 두 번의 트랜잭션으로 브리지에서 자금을 액세스하고 인출했습니다.
더 잘 이해하기 위해 Ronin 네트워크는 XNUMX개의 유효성 검사기 노드로 구성됩니다. 이러한 유효성 검사기 노드는 트랜잭션 서명에 필요한 XNUMX개의 유효성 검사기 노드 중 XNUMX개를 사용하여 로닌 체인의 입출금을 확인합니다. 공격자는 Sky Mavis의 Ronin Validator XNUMX개와 Axie DAO가 운영하는 제XNUMX자 검증자를 제어하는 데 성공했습니다.
전체 사태는 Sky Mavis가 무료 거래 배포를 돕기 위해 Axie Infinity DAO를 위임한 2021년 XNUMX월로 거슬러 올라갑니다. 그러나 엄청난 양의 거래로 인해 Axie DAO는 Sky Mavis를 화이트리스트에 추가해야 했고 회사는 부담을 줄이기 위해 다양한 거래에 서명할 수 있었습니다.
트랜잭션이 감소하는 동안 화이트리스트 액세스는 취소되지 않았기 때문에 공격자는 Sky Mavis 시스템에 대한 액세스 권한을 얻고 유효성 검사자로서 트랜잭션에 서명할 수 있었습니다.
Sky Mavis에 따르면 해커는 가스가 없는 RPC 노드를 통해 백도어를 발견하고 Axie DAO 유효성 검사기의 서명을 얻어 620억 XNUMX천만 달러 이상의 암호화폐를 인출할 수 있었습니다.
최근 웜홀 브리지도 해킹을 당하면서 멀티시그 플랫폼이 해킹당하는 사례가 늘어나고 있는 것으로 보입니다. Ronin 네트워크와 달리 Wormhole 브리지 사용자는 해커가 수억 달러를 훔칠 수 있었기 때문에 운이 좋지 않았습니다. Wormhole 해킹에는 다중서명 기반 브리지를 속여 래핑된 이더리움(wETH)이 솔라나 브리징 계약에 예치되고 이더리움에서 상환되었음을 보여주도록 스마트 계약 익스플로잇이 포함되었습니다.
최근의 해킹에도 불구하고 다중서명 플랫폼은 이러한 해킹을 방지하고 더 나은 보안을 제공하기 위해 추가 분산 계층을 제공합니다. 현재는 그렇지 않지만 다중 서명 지갑의 개념은 여전히 작동합니다. 운 좋게도 암호 세계는 이러한 최근의 멀티시그 기반 해킹을 방지하기 위한 솔루션을 점진적으로 구축하고 있으며, Flare의 LayerCake 브리지는 이 문제에 대한 솔루션을 제공하는 최신 제품이 되었습니다.
멀티시그 해킹 문제 해결
체인 간의 안전한 상호 운용성을 허용하는 블록체인 플랫폼인 Flare 네트워크는 다중 서명 문제에 대한 솔루션을 제공하는 것을 목표로 합니다. LayerCake 모델. 이 모델은 단위 시간당 브리지를 통해 특정 금액을 이동할 수 있는 서명 권한을 소유하는 금전적 "대역폭 제공자(BP)" 시스템을 제안합니다.
현재는 XNUMX시간마다 권장됩니다. "대역폭"은 스마트 계약에 의해 시행되는 시간 단위로 다리를 통해 이동할 수 있는 가치의 양이며 "대역폭"입니다.
서명자 또는 서명자에 액세스할 수 있는 사람이 시스템을 훔치거나 손상시키는 것을 방지하기 위해 BP는 LayerCake 스마트 계약에 연결되는 동일한 금액의 자금을 예치해야 합니다. 이렇게 하면 모든 BP 또는 서명자가 시스템(대역폭)을 속이려고 공모하는 경우 손실을 충당하기 위해 동일한 양의 가치가 스마트 계약에 저장됩니다.
LayerCake 모델은 또한 브리지 트랜잭션 서명에서 악의적인 BP를 찾아 제거하는 인센티브화된 관찰자의 개방형 보조 시스템을 도입합니다. 따라서 악의적인 대역폭 공급자는 단일 시간 단위 내에 제거될 수 있으며 BP가 제공하는 담보는 항상 브리지 사용자 자금을 포함합니다. 모든 BP가 악의적인 경우 시스템은 더 느리지만 체인 간의 릴레이를 통해 계속 작동할 수 있습니다.
마지막으로 시스템은 재구성 공격이 무시할 수 있는 확률을 갖도록 일정 기간 동안 Flare에 직접 BP를 담보로 하여 재구성 공격으로부터 사용자를 보호합니다. 재구성 공격에서 BP가 스테이킹한 담보는 브리지에서 사용자의 자금을 상환하는 데 사용됩니다.
출처: https://www.cryptonewsz.com/flare-network-prevents-ronin-network-and-multisig-hack-problem/