Блокчейн-мосты и вопросы кросс-чейн безопасности

Введение

Совместимость блокчейна является ключевой функцией технологии, широко используемой DeFi-приложениями в настоящее время. Инвесторов привлекает возможность получения прибыли от множества цепей одновременно. Пользователи блокчейна Bitcoin могут получать доход на блокчейне Ethereum, а те, кто находится на блокчейне Ethereum, имеют возможность перемещать свои активы или обернутые версии своих активов в другие сети, чтобы один блокчейн оставался связанным с другими. Однако эта совместимость и гибкость не обходятся без компромиссов. Они порождают проблемы, которых не существует, если активы остаются в одной цепи.

Что такое блокчейн-мосты?

Блокчейн-мосты - это инструменты, которые позволяют пользователям перемещать данные, сообщения и активы из одной сети в другую. Вы должны знать, что блокчейн - это закрытая экосистема, которая не может взаимодействовать с внешним миром и с другим блокчейном. Они полагаются на оракулы для получения внешней информации и мосты для соединения с другими цепями. В качестве посредников эти мосты блокируют цифровую валюту в одной цепи и делают ее пригодной для использования в других цепях в виде обернутых версий или других эквивалентных форм. Пользователи получают удобную возможность воспользоваться приложениями, ликвидностью и возможностями заработка, недоступными в их родной цепи.

Основные проблемы безопасности

Всякий раз, когда вы достаете деньги из физического или виртуального кошелька, они могут быть украдены, перехвачены, или вас могут мошенническим путем побудить ошибочно перевести свои собственные деньги на чужой счет. То же самое может произойти в мире DeFi, когда вы перемещаете свои цифровые активы из одной цепи в другую. Согласно недавнему отраслевому анализу, кроссчейн-мосты были взломаны на общую сумму примерно 2,8 миллиарда $ украденных активов по состоянию на середину 2025 года. Эта цифра показывает, что мосты остаются главной целью для атакующих. Может быть множество причин для такой масштабной эксплуатации.

1. Риски слабой он-чейн проверки

Блокчейн-мосты бывают разных типов и видов. Некоторые из них используют базовую безопасность, а другие используют безопасность на основе смарт-контрактов. Первый тип инструментов в значительной степени полагается на централизованный бэкенд для выполнения основных операций, таких как чеканка, сжигание и переводы токенов, в то время как все проверки выполняются вне цепи.

Мосты, которые используют смарт-контракты для обеспечения безопасности, несколько лучше, чем другие типы мостов. Смарт-контракты проверяют сообщения и выполняют проверки в цепочке. Когда пользователь вносит средства в блокчейн-сеть, смарт-контракт генерирует подписанное сообщение в качестве доказательства. Эта подпись затем используется для проверки вывода средств в других цепочках. Здесь возникают недостатки безопасности. Атакующие могут украсть средства, движущиеся через мост, если эта он-чейн проверка даст сбой. Они либо напрямую обходят проверку, либо подделывают необходимые подписи.

Кроме того, когда блокчейн-мост применяет концепцию обернутых токенов, атакующий может перенаправить эти токены на свой собственный счет, лишив отправителя и получателя их активов. Например, пользователь намеревается отправить монеты ETH$ из цепочки Ethereum в цепочку Solana. Теперь мост получает ETH$ от цепочки Ethereum и выпускает обернутый ETH$ на цепочке Solana. Проблема усугубляется, когда мосты запрашивают бесконечные одобрения, чтобы сэкономить некоторые комиссии за газ.

Теперь происходят две опасные вещи. Во-первых, если атакующим удается перехватить транзакцию, они осушают кошелек пользователя из-за бесконечного одобрения. Во-вторых, бесконечное одобрение остается действительным еще долго после выполнения транзакции. Таким образом, даже если первая транзакция была безопасной, пользователь может покинуть цепь, но атакующие могут использовать уязвимость.

2. Проблемы, связанные с внецепочечной проверкой

Блокчейн-мосты иногда используют систему внецепочечной проверки в дополнение к он-чейн проверке, и это еще более опасно. Прежде чем углубляться в детали рисков, необходимо понять, как работает система внецепочечной проверки. Он-чейн система проверки работает на самом блокчейне, где мост проверяет подписи транзакций или проверяет транзакцию с помощью собственных смарт-контрактов. Если мост использует внецепочечную проверку, он полагается на сервер за пределами блокчейна. Сервер проверяет детали транзакции и отправляет утвердительный отчет в целевую цепь.

Например, пользователь вносит токены в цепь Solana и хочет использовать их на Ethereum. Сервер моста проверяет первую транзакцию и подписывает инструкции для цепочки Ethereum. Это все равно что одобрить процедуру, просто взглянув на квитанцию, которая может быть поддельной. Уязвимость в основном является результатом слишком большой власти, сосредоточенной в руках серверов мостов. Если атакующие могут их обмануть, система скомпрометирована.

3. Риски неправильного обращения с нативными токенами в блокчейн-мостах

Мосты отправляют нативные токены напрямую в сети блокчейна назначения, но им требуется предварительное разрешение для отправки других токенов. У них есть разные встроенные системы для выполнения этих задач. Проблемы возникают, когда мосты случайно не могут управлять различием. Если пользователь пытается перевести токены ETH$, используя систему, предназначенную для не-нативных утилитарных токенов, он теряет средства.

Дополнительные риски появляются, когда мосты позволяют пользователям вводить любой адрес токена. Если мост строго не ограничивает, какие токены он принимает, атакующие могут использовать эту свободу. Хотя многие мосты используют белые списки адресов, чтобы разрешить только одобренные токены, нативные токены не имеют адреса и часто представлены нулевым адресом. Если с этим случаем неправильно обращаются, атакующие могут обойти проверки. Это может вызвать транзакции без фактического перевода токенов, эффективно обманывая мост, чтобы он выпустил активы, которые никогда не получал.

4. Как ошибки конфигурации могут сломать блокчейн-мосты

Блокчейн-мосты зависят от специальных настроек администратора для управления важными действиями. Эти настройки включают одобрение токенов, управление подписантами и установку правил проверки. Если эти настройки пойдут не так, мост может работать неправильно. В одном реальном случае небольшое изменение во время обновления привело к тому, что система стала принимать все сообщения как действительные. Это позволило атакующему отправлять поддельные сообщения и обходить все проверки, что привело к серьезным потерям.

Заключение

Короче говоря, блокчейн-мосты предлагают большую полезность для заработка во многих цепных сетях одновременно, но они также создают серьезные риски, которыми вы должны научиться управлять, если используете эти инструменты. Блокчейн-мосты играют жизненно важную роль в обеспечении кросс-чейн совместимости и расширении возможностей DeFi, но они остаются одной из наиболее уязвимых частей экосистемы. Слабая он-чейн проверка, рискованная внецепочечная проверка, неправильное обращение с нативными токенами и простые ошибки конфигурации сделали мосты главной целью для крупномасштабных эксплойтов.

По мере того, как кросс-чейн активность продолжает расти, пользователи и разработчики должны уделять приоритетное внимание безопасности, ограничивать одобрения, отдавать предпочтение хорошо проверенным проектам и понимать связанные с этим риски. В конечном счете, более безопасная архитектура мостов и информированное использование необходимы для обеспечения того, чтобы совместимость не обходилась ценой потери активов.