होम
न्यूज़
विवरण

पॉलिगन के सह-संस्थापक संदीप ने हालिया हमलों के बाद क्रॉस-चेन ब्रिज सुरक्षा पर प्रतिबिंबित किया

iconChaincatcher
साझा करें
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
POL
$0.09780.2%
This is the logo of the coin.
DOT
$1.27122.34%
AI summary iconसारांश

expand icon
पॉलीगन के सह-संस्थापक संदीप नैलवाल ने ड्रिफ्ट, पोल्काडॉट हाइपरब्रिज और केल्पडीओए के आक्रमणों के बाद क्रॉस-चेन ब्रिज सुरक्षा पर टिप्पणी की, जिससे $500 मिलियन से अधिक की हानि हुई। उन्होंने केंद्रीकृत विश्वास मॉडल की आलोचना की और ZK साबिती जैसे क्रिप्टोग्राफिक पुष्टि को बढ़ावा दिया। पॉलीगन का एग्लेयर ZK और एक पेसिमिस्टिक प्रूफ मैकेनिज्म का उपयोग करता है, जो $200 मिलियन के सुरक्षित ब्रिज्ड लेनदेन को प्रोसेस करता है। ऑन-चेन डेटा से पता चलता है कि अधिक मजबूत बुनियादी ढांचे की आवश्यकता है। संदीप ने उद्योग को समिति-आधारित प्रणालियों के बजाय स्केलेबल और सुरक्षित मॉडल्स अपनाने की अपील की। ऑन-चेन विश्लेषण से पता चलता है कि वर्तमान क्रॉस-चेन डिज़ाइन में दोहराए जाने वाले दुर्बलता हैं।

लेखक:Sandeep

संकलन: जियाहुआन, ChainCatcher

इस सप्ताहांत में बहुत चिंताजनक बातें हुईं। तीन सप्ताह में तीन क्रॉस-चेन ब्रिज सुरक्षा घटनाएँ हुईं। मैंने इन दिनों किसी एक हमले के विस्तार से ज्यादा इस बात पर विचार किया कि इन सभी घटनाओं के पीछे क्या पैटर्न छिपा है।

Drift का 1 अप्रैल को 285 मिलियन डॉलर का नुकसान हुआ।

4 अप्रैल को Polkadot Hyperbridge पर, एक पुनर्चालन साबिती के साथ 1 अरब बिना समर्थन वाले टोकन जारी किए गए, अगर लक्ष्य श्रृंखला की तरलता इतनी कम न होती, तो नुकसान इससे कहीं अधिक होता।

4 अप्रैल को KelpDAO को 292 मिलियन डॉलर का नुकसान हुआ। इससे पहले, Wormhole, Ronin, Harmony, BNB Bridge, Nomad और Multichain हुए।

सबसे पहले, मैं इस दबाव भरे अंतिम सप्ताहांत के दौरान सक्रिय रूप से प्रतिक्रिया देने वाले हर टीम को पूर्ण सम्मान देता हूँ। मैं किसी के भी आपातकालीन स्थिति का सामना करते समय उनके खिलाफ बुराई नहीं करना चाहता।

हम सभी ने इसी तरह की स्थिति का अनुभव किया है, और अब पैच जारी करने वाली टीम बहुत मेहनत कर रही है। केल्प के आपातकालीन निलंबन मल्टी-सिग मैकेनिज्म ने दो बाद के संपत्ति निकास के प्रयासों को रोक दिया, जिससे 2 बिलियन डॉलर का अतिरिक्त नुकसान हो सकता था।

मैं यहाँ यह जोर देना चाहता हूँ कि इस सप्ताहांत के दौरान हुए घटनाक्रम केवल Kelp की समस्या नहीं हैं। यह पूरे उद्योग द्वारा अब तक किए जा रहे एक डिज़ाइन विकल्प से उत्पन्न हुआ है। वर्तमान में अधिकांश क्रिप्टोकरेंसी की क्रॉस-चेन बुनियादी ढांचा अभी भी एक प्रमाणक की तरह है।

चाहे आप इसे DVN, रिले सेट, ऑरेकल कमिटी या मल्टी-सिग्नेचर कहें, मूल रूप से एक छोटी सी कमिटी एक चेन पर गतिविधियों की निगरानी कर रही होती है और दूसरी चेन पर इसकी पुष्टि करती है।

जब यह समिति या उसका नींव वाला डेटा प्रवाह नुकसान पहुंचाया जाता है, तो इस नोटरी के पास झूठ के लिए समर्थन देने के लिए कोई रोक नहीं होती है। प्रोटोकॉल का नाम बदलता रहता है, लेकिन विश्वास की पूर्वधारणा कभी नहीं बदलती।

@moo9000 ने इसे सबसे उपयुक्त नाम दिया: मल्टिसिगफाइ (MultisigFi)।

यह बहुत सटीक है। चाहे आप नीचे की समिति को क्या भी नाम दें, विश्वास मॉडल एक ही है, और पिछले तीन सप्ताह की घटनाओं ने दर्दनाक रूप से दिखाया है कि यह मॉडल स्केल पर कैसे टूट जाता है।

एक हालिया Dune डेटा स्कैन ने पाया कि सक्रिय LayerZero एप्लिकेशन में से 47% 1/1 वेरिफायर कॉन्फ़िगरेशन पर चल रहे हैं, 45% 2/2 कॉन्फ़िगरेशन पर चल रहे हैं, और केवल 5% से कम एप्लिकेशन अधिक मजबूत सुरक्षा कॉन्फ़िगरेशन का उपयोग करते हैं।

इसका अर्थ है कि वर्तमान में उत्पादन में लगे दस में से नौ क्रॉस-चेन ऐप्स के लिए, 1 से 2 अवैध दस्तखतकर्ता ही उपयोगकर्ता की राशि और हमलावर के बीच की एकमात्र सुरक्षा परत हैं।

5 साल पहले, यह एक स्वीकार्य डिफ़ॉल्ट सुरक्षा सेटिंग हो सकती थी। उस समय क्रॉस-चेन ब्रिज केवल कुछ मिलियन डॉलर की राशि स्थानांतरित करते थे, और कोई भी औद्योगिक स्तर पर उनकी जांच नहीं कर रहा था।

लेकिन यह 2026 में बिल्कुल अर्थहीन है। आज इसी डिज़ाइन द्वारा दसों अरब डॉलर की धनराशि स्थानांतरित की जा रही है! और, AI सहायक उपकरण मशीनी गति से निरंतर ऑपरेशन कॉन्फ़िगरेशन के दुरुपयोग की खोज कर रहे हैं। हमला का क्षेत्र घातीय रूप से विस्तारित हो चुका है, जबकि सुरक्षा मॉडल स्थिर है।

स्पष्ट रूप से, यह एक ऐसा लेख नहीं है जो Polygon को अन्य सभी के खिलाफ खड़ा करने का प्रयास करता है। कई साल पहले, हमने अपने उत्पाद में इस विश्वास की पूर्ववर्ती अवधारणा को भी बनाया था। हमने इससे सीखा, और पूरा उद्योग भी इससे सीखा।

आज तक, हममें से कुछ लोग अभी भी कमिटी मॉडल पर काम कर रहे हैं, जबकि कुछ ने पूरी कंपनी को ZK (शून्य ज्ञान साबिती) पर लगा दिया है।

हमने ZK पर बेवकूफी नहीं की: जुलाई 2024 में Agglayer ब्रिज के लिए ZK साबिती को उत्पादन में लाया गया, जो एक से अधिक साल से उत्पादन में है और रोजाना बड़े पैमाने पर क्रॉस-चेन लेनदेन को सेटल कर रहा है। ईमानदारी से कहूँ, इस सप्ताहांत में हुए घटनाक्रम ने मुझे इस तर्क के प्रति और अधिक विश्वास दिलाया है।

ZK प्रमाण ने पहले समिति द्वारा किए गए कार्य को ले लिया है। यह एक छोटी सी क्रिप्टोग्राफिक रसीद की तरह है, जो साबित करती है कि कोई गणना सही ढंग से की गई है, और पृथ्वी पर कोई भी मशीन इसे कुछ मिलीसेकंड में सत्यापित कर सकती है।

या तो साबित हो जाता है, ट्रांसफर क्लियर हो जाता है, या फिर गणितीय प्रमाणीकरण विफल हो जाता है, संपत्ति एकदम स्थिर रहती है। कोई ऑपरेटर भ्रष्ट नहीं किया जा सकता, कोई RPC विषैला नहीं किया जा सकता, कोई क्वोरम समन्वयित करने की आवश्यकता नहीं है, और कोई भी शनिवार की सुबह 3 बजे कमरे में बैठकर यह निर्णय नहीं लेगा कि आपका पैसा सुरक्षित है या नहीं।

इसके अतिरिक्त, हम इसे "निराशावादी साबिती" (Pessimistic Proof) कहते हैं। इसे सबसे सरल तरीके से समझें: किसी पर भरोसा न करना और ऑन-चेन लेखांकन करना।

प्रत्येक एग्लेयर से जुड़ी श्रृंखला के पास आगमन और निकासी के संपत्ति का एक गतिशील लेखा होता है, और किसी भी निकासी की अंतिम पुष्टि से पहले, लेखा संतुलित रहना चाहिए। किसी भी कारण से, चाहे कोई ऊपरी संदेश झूठा हो या न हो, कोई भी श्रृंखला अपने लेखे में दर्ज की गई संख्या से अधिक संपत्ति निकाल नहीं सकती।

गणितीय नियम ऐसी बात की अनुमति नहीं देते। Agglayer, Polygon Plonky3 पर आधारित Succinct के SP1 साबित प्रणाली के माध्यम से इसे लागू करता है।

अगर पिछले सप्ताहांत के स्थिति को Agglayer में चलाया जाए, तो निराशावादी साबिती तुरंत निकासी को रोक देगी, क्योंकि कोई जमा रिकॉर्ड नहीं है, इसलिए धन कभी भी स्थानांतरित नहीं होगा।

Same accounting mechanism also caught the infinite minting vulnerability in Wormhole, the infinite minting vulnerability in BNB Bridge, and the replay proof vulnerability in Hyperbridge.

ये दरारें स्वयं बिल्कुल अलग हैं, लेकिन वे सभी एक ही समस्या पर लौटती हैं, जो कि क्रॉस-चेन ब्रिज उस दूसरी ओर के बिना समर्थित संपत्ति को जारी करता है। अग्गलेयर इन सभी स्थितियों को किसी भी सेटलमेंट से पहले रोक देगा।

यह केवल सिद्धांत नहीं है। हालाँकि DeFi का एक बड़ा हिस्सा इस सप्ताहांत में रुक गया, लेकिन Agglayer ने लगभग 2 अरब डॉलर की ब्रिजिंग ट्रेडिंग वॉल्यूम को बिना किसी क्षति के संभाल लिया।

Katana, जो Agglayer से सीधे जुड़ा हुआ है, पूरी घटना के दौरान शून्य जोखिम रखता रहा। मूल कारण के खुलासे से पहले, हमारी सुरक्षा टीम ने Polygon पारिस्थितिकी तंत्र में LayerZero एकीकरण को निलंबित कर दिया, और प्रोडक्ट और समर्थन टीमें पूरे अंतिम सप्ताहांत तक संस्थागत साझेदारों के साथ लगातार फोन पर जुड़ी रहीं।

लगभग छह साल का निर्माण। 2.4 ट्रिलियन डॉलर का Polygon पर सेटलमेंट। 70 अरब लेनदेन। 99.99% अपटाइम। Agglayer पर शून्य क्रॉस-चेन ब्रिज वल्नरेबिलिटी। यही कारण है कि हमने Agglayer बनाने में कई साल बिताए, सुरक्षा हमेशा पहले स्थान पर रही।

मैं ये आंकड़े घमंड करने के लिए नहीं, बल्कि इसलिए दिखा रहा हूँ कि एक संस्थान में जाकर और उन्हें बताकर कि क्रिप्टोकरेंसी बड़े भुगतान आयोजन के लिए तैयार है, आपको इन वास्तविक उपलब्धियों को प्रस्तुत करना होगा।

कमेटी आधारित क्रॉस-चेन ब्रिज का निर्माण कम लागत और तेज़ गति से होता है, इसलिए मैं समझता हूँ कि टीम उनका निर्माण क्यों कर रही है, हमने भी अपने प्रारंभिक संस्करण बनाए हैं। हालाँकि, अब हमलावर क्या कर सकते हैं, वह वास्तव में बदल गया है।

2022 से, लाजारस संगठन इन डिजाइन पर हमले कर रहा है, और उनकी गति में कोई कमी नहीं आ रही है। AI सहायता वाली ऑडिट अब पिछले सभी जटिल स्तरों के नीचे छिपे कॉन्फ़िगरेशन त्रुटियों को पकड़ सकती है। ये हमले गायब नहीं होंगे। गणित अंततः समिति की कमजोरियों का पीछा कर लेगा।

पिछले दो या तीन वर्षों से, इस उद्योग ने हर साल अरबों डॉलर के लेनदेन का निपटान किया है। हम बैंकों और भुगतान कंपनियों से मांग करते हैं कि वे विशाल राशियों को उन पथों पर रखें जो अभी भी सिर्फ शनिवार की रात को एक या दो हस्ताक्षरकर्ताओं के सही निर्णय पर निर्भर हैं। यही हमारी मांग है, इसे आवाज़ लगाकर कहेंगे तो आपको लगेगा कि यह कितना अविश्वसनीय है।

हमें बेहतर करना होगा, और हमें पहले से पता है कि कैसे करना है।

हालांकि, यह सकारात्मक बात है कि LayerZero अब पूरे उद्योग में 1/1 सेटिंग (सिंगल सिग्नेचर) को अक्षम कर रहा है। यह सही निर्णय है, और यह क्रॉस-चेन सुरक्षा को काफी बेहतर बना देगा, मैं पूरी तरह समर्थन करता हूं। अन्य टीमें भी अपने कमेटी डिज़ाइन को मजबूत करती रहेंगी। यह काम महत्वपूर्ण है।

लेकिन बड़ा बदलाव आर्किटेक्चर में है। ZK साबिती थकती नहीं, सामाजिक इंजीनियरिंग हमलों का शिकार नहीं होती, और न ही इसका खराब सप्ताहांत होता है। गणित या तो सही होता है या गलत, और अगर यह गलत है, तो कुछ भी सेटल नहीं होता।

यह उद्योग की ओर अग्रसर दिशा है, और वर्तमान गति पिछले महीने की तुलना में अधिक तेज है, जो प्रत्येक निर्माता और प्रत्येक चेन पर प्रवेश करने वाले संस्थान के लिए अच्छी खबर है।

इस हफ्ते, प्रत्येक क्रॉस-चेन इंफ्रास्ट्रक्चर बनाने वाली टीम को खुद से यह सवाल पूछना चाहिए: क्या मुझे सचमुच एक समिति की आवश्यकता है? मौजूदा समितियों को मजबूत करना केवल एक दूसरा विकल्प है।

Agglayer ओपन सोर्स है। कोई प्रोटोकॉल शुल्क नहीं। कोई लाइसेंस सीमाएँ नहीं। कोई भी टीम जो विश्वसनीय साबिती मैकेनिज्म से क्रिप्टोग्राफिक प्रमाणीकरण पर स्थानांतरित होने को तैयार है, उसे जुड़ने की अनुमति है। यदि आप अभी एक क्रॉस-चेन ब्रिज चला रहे हैं और पिछले तीन सप्ताह की घटनाएँ आपको अपने विश्वास मॉडल के बारे में पुनर्विचार करने के लिए प्रेरित करती हैं, तो कृपया हमसे संपर्क करें।

यह हमारे द्वारा जमा किए जाने वाली प्रतिस्पर्धी रक्षा खाई नहीं है, बल्कि पूरे उद्योग द्वारा उपयोग किए जाने वाला बुनियादी ढांचा है।

क्रिप्टोकरेंसी के अगले दशक की भाग्य, उन टीमों द्वारा निर्धारित होगा जो अभी अधिक कठिन आर्किटेक्चर को समझने के लिए तैयार हैं। क्रिप्टोग्राफिक प्रमाणीकरण का स्थापना करना नोटरी के स्थापना से अधिक कठिन है। लेकिन वे सप्ताहांत में नहीं टूटते, और वे क्रिप्टोकरेंसी को वहन करने के लिए मांगी गई ट्रिलियन स्तर तक विस्तारित कर सकते हैं।

आपको एक समिति चाहिए, या एक गणितीय सिद्धांत? हमने बाद वाला चुना। उम्मीद है कि और अधिक लोग भी ऐसा ही चुनेंगे।

इस सप्ताहांत के बाद, मैं ZK क्रॉस-चेन के प्रति और अधिक दृढ़ हो गया हूँ। कठिन समय में, स्पष्ट आर्किटेक्चर का निर्माण होता है।

स्रोत:मूल दिखाएं
डिस्क्लेमर: इस पेज पर दी गई जानकारी थर्ड पार्टीज़ से प्राप्त की गई हो सकती है और यह जरूरी नहीं कि KuCoin के विचारों या राय को दर्शाती हो। यह सामग्री केवल सामान्य सूचनात्मक उद्देश्यों के लिए प्रदान की गई है, किसी भी प्रकार के प्रस्तुतीकरण या वारंटी के बिना, न ही इसे वित्तीय या निवेश सलाह के रूप में माना जाएगा। KuCoin किसी भी त्रुटि या चूक के लिए या इस जानकारी के इस्तेमाल से होने वाले किसी भी नतीजे के लिए उत्तरदायी नहीं होगा। डिजिटल संपत्तियों में निवेश जोखिम भरा हो सकता है। कृपया अपनी वित्तीय परिस्थितियों के आधार पर किसी प्रोडक्ट के जोखिमों और अपनी जोखिम सहनशीलता का सावधानीपूर्वक मूल्यांकन करें। अधिक जानकारी के लिए, कृपया हमारे उपयोग के नियम और जोखिम प्रकटीकरण देखें।