V březnu útočníci ukradli krypto za zhruba 320 milionů dolarů z Wormhole, v březnu 650 milionů z Roninu, v srpnu za 200 milionů z Nomadu. Nejde o žádné hollywoodské filmy ani postavy, ale o mosty mezi různými blockchainy. Třeba mezi ethereem a bitcoinem. Jde o revoluční technologie, které spojují zdánlivě nespojitelné, jenže v tom je i jejich potíž – jsou to technologie mladé, stále se vyvíjející a tedy i náchylné k bezpečnostním problémům, píše David Stancel, technický ředitel krypto-investiční společnosti Fumbi.

Kryptoměnové mosty jsou buď centralizované nebo decentralizované. Každý z nich má potenciální rizika a nedá se říct, který je lepší. Tak jako tak je to o důvěře. Podle Davida Stancela z Fumbi je to s mosty jako s celým ekosystémem decentralizovaných financí, jehož jsou součástí. Jde o velmi mladou oblast, která je plná nástrah a rizik, jež ale budou postupně splaskávat a pomíjet.

***

Blockchainové aplikace a služby si tak jako i jiná technologická odvětví procházejí rozličnými fázemi evoluce. Každá nová inovace je však spojena i se vznikem nových specifických rizik, která není vždy snadné odhalit.

V současnosti je na kryptoměnové scéně několik významných blockchainových sítí, na kterých se nacházejí stovky decentralizovaných aplikací. Potenciál těchto aplikací, jakož i sítí samotných, je velmi limitován, pokud neumí mezi sebou komunikovat. Proto se snaha řady developerských týmů koncentruje právě na umožnění snadné komunikace mezi blockchainy, takzvané interoperability.

I když dnes už dokážou různé blockchainy mezi sebou navzájem komunikovat, v minulosti tomu tak úplně nebylo. Sítě jako bitcoin či ethereum působily jako nezávislé blockchainy, které spolu mezi sebou neuměly komunikovat, což znamenalo, že nebylo možné utrácet bitcoin na ethereovém blockchainu a naopak. Například pokud někdo vlastnil bitcoin, nemohl se stát součástí decentralizovaných financí známých pod zkratkou DeFi a účastnit se tamních aktivit a projektů, protože bitcoinový protokol přímo nepodporuje tuto interakci.

Tento problém však dokázaly vyřešit takzvané cross-chain bridges (neboli kryptoměnové mosty). Jedná se o protokoly, které umožňují nezávislým blockchainům navzájem mezi sebou komunikovat a dovolují uživatelům přenášet aktiva a informace napříč rozličnými platformami, aniž by se dostaly mimo původní blockchain.

Celý tento mechanismus funguje na lock-mint-burn systému. Znamená to, že pokud chce například vlastník bitcoinu interagovat s DeFi, pošle nejprve bitcoin na zadanou adresu na bitcoinovém blockchainu. Informace o přijetí platby se přenese do bridge (mostu), který dané BTC uzamkne a na ethereum blockchainu emituje takzvané wBTC (wrapped bitcoin) tokeny, se kterými se již daný uživatel může svobodně pohybovat v rámci ekosystému etherea. Pokud by si uživatel chtěl své bitcoiny vybrat zpět, bylo by nutné, aby poslal wBTC ke spálení, za což by se mu zpětně odemkly jeho vložené tokeny.

To, že cross-chain bridges jsou revoluční, nelze popřít. Jejich design je však často zranitelný a zejména v poslední době tyto nedostatky zneužívá stále více útočníků. Určitě jste v posledním období postřehli hacky související s Ronin Bridge, Wormhole či Nomad Bridge, ze kterých byly odcizeny stovky milionů dolarů. Jaká jsou tedy hlavní rizika související s používáním mostů?

Prvním a asi nejvýznamnějším je riziko správy a úschovy. Z tohoto hlediska můžeme bridges rozdělit na dvě základní kategorie – centralizované a decentralizované. Centralizované mosty pro svůj chod potřebují centralizovaný subjekt nebo skupinu mediátorů, kteří zpracovávají všechny transakce související s úschovou, mintováním a pálením tokenů. Centralizovaný subjekt se zpravidla stará jen o hladké zpracování transakcí a nezastřešuje aktivity související s identifikací potenciálně podvodných transakcí a aktivit. Právě centralizace je častým terčem útočníků, kteří se snaží najít bod selhání nebo získat přístup k centrální úschově aktiv a ovládnout tak prostředky daného mostu.

Centralizované mosty jsou kromě toho založeny na důvěře. Při interakci s tímto mostem musíte důvěřovat centrálnímu subjektu, že bezpečně uloží vaše mince a vyrazí vám tokeny na jiném blockchainu a naopak. Právě centralizace a důvěra v jiné subjekty je častým bodem selhání.

Druhou kategorií jsou decentralizované mosty. Fungování těchto mostů závisí na inteligentních smlouvách, které provádějí všechny aktivity související s vkladem, emitováním i pálením tokenů. Inteligentní smlouvy jsou však neživé entity a jsou jen tak dobré, jako je jejich vývojář. Každý nedostatek a chyba ve zdrojovém kódu inteligentní smlouvy může být vodou na mlýn pro hackery a může připravit uživatele mostu o všechny jejich finanční prostředky.

Jedním z významných rizik je i DeFi protokolové riziko. Platformy DeFi automatizují různé finanční služby pomocí inteligentních smluv. Dynamika těchto protokolů je velmi důležitá, ale každá, i maličká chyba v jejich kódu může znamenat pohromu. Například chyba v lendingovém protokolu Alchemix umožnila dlužníkům získat zpět kolaterál na půjčkách v hodnotě více než šest milionů dolarů, a to vše bez jejich splacení. To znamená, že úspěšný přenos aktiv přes most ještě není zárukou toho, že vaše prostředky jsou stoprocentně v bezpečí. Hack na jiné platformě může způsobit, že nebudete schopni spálit a odemknout svůj kolaterál.

V praxi existují i ​​rizika související s používáním prohlížečových, mobilních či softwarových krypto peněženek. Každý uživatel se ke kryptomostu připojuje nejčastěji prostřednictvím webové peněženky, která je sama o sobě vystavena řadě rizik. Jeden z posledních hacků peněženek je útok na peněženku Slope Wallet, kde se útočníkům podařilo získat přístup k privátním klíčům uživatelů. Útočníci tak byli schopni podepisovat transakce a odcizili z osmi tisíc peněženek více než osm milionů dolarů. I když se stále spekuluje o tom, co bylo skutečnou příčinou hacku, jednou z verzí je i ta, že Slope Wallet ukládala takzvané „seedy“ uživatele na centralizovaných serverech, které byly napadeny.

Některá rizika však nesouvisejí jen přímo s používáním mostů. Jedním z významných rizik je i riziko protokolu. Toto riziko souvisí se selháním blockchainu jako takového, protože většina DeFi aplikací má určitou úroveň závislosti infrastruktury na podkladovém blockchainu. Rizikové aspekty, jako jsou například útoky na mechanismy konsensu na konkrétních blockchainech, se mohou přenést do zranitelností v protokolech DeFi běžících na této platformě.

Decentralizované finance na blockchainu jsou velmi zajímavou oblastí, která přetváří fungování finančního systému jak jej známe dnes. Navzdory velmi slibnému potenciálu, se však stále jedná o velmi mladou oblast, která je plná nástrah a rizik. Ty se budou postupně zmenšovat v čase tak, jak se bude zvyšovat vyzrálost celého ekosystému. Každopádně se máme na co těšit.