Author: Sandeep
Diterjemahkan oleh Jia Huan, ChainCatcher
Akhir pekan ini sangat mengkhawatirkan. Dalam tiga minggu, terjadi tiga insiden keamanan jembatan lintas rantai. Saya tidak terlalu memikirkan rincian spesifik dari satu serangan tertentu dalam beberapa hari ini, tetapi lebih fokus pada pola yang tersembunyi di balik semua insiden ini.
Drift pada 1 April, kerugian $285 juta.
Pada 13 April, Polkadot Hyperbridge, dengan satu kali replay proof, mencetak 1 miliar token tanpa dukungan; jika likuiditas rantai tujuan tidak begitu tipis, kerugiannya akan jauh lebih besar dari angka ini.
KelpDAO pada 18 April, kerugian $292 juta. Sebelumnya, ada Wormhole, Ronin, Harmony, BNB Bridge, Nomad, dan Multichain.
Pertama-tama, saya ingin menyampaikan penghargaan penuh kepada setiap tim yang secara aktif merespons di akhir pekan yang penuh tekanan ini. Saya tidak bermaksud menyerang siapa pun saat mereka sedang menangani keadaan darurat.
Kami semua pernah mengalami situasi serupa, dan tim yang sedang merilis patch bekerja sangat keras. Mekanisme multi-sig penangguhan darurat Kelp mencegah dua upaya penarikan aset lanjutan, yang jika tidak dicegah akan menambah kerugian sebesar $200 juta.
Saya ingin menekankan di sini bahwa apa yang terjadi akhir pekan ini bukan hanya masalah Kelp. Ini berasal dari pilihan desain yang terus dilakukan oleh seluruh industri. Infrastruktur lintas rantai sebagian besar kripto saat ini masih seperti sebuah notaris.
Apapun namanya, DVN, kumpulan perantara, komite oracle, atau tanda tangan ganda, intinya adalah sekelompok kecil komite yang memantau aktivitas di satu rantai dan memberikan bukti untuknya di rantai lain.
Begitu komite ini atau data harga feed di bawahnya dirusak, notaris ini akan tanpa ragu-ragu memberikan dukungan pada kebohongan. Nama protokol berubah, tetapi asumsi kepercayaan tidak pernah berubah.
@moo9000 Memberikan nama yang paling tepat: MultisigFi.
Pernyataan ini sangat tepat. Terlepas dari apa pun nama komite dasarnya, model kepercayaannya tetap sama, dan peristiwa selama tiga minggu terakhir secara menyakitkan menunjukkan bagaimana model ini runtuh saat diterapkan secara skala besar.
Sebuah pemindaian data Dune terhadap aplikasi LayerZero aktif baru-baru ini menemukan bahwa 47% aplikasi berjalan pada konfigurasi validator 1/1, 45% berjalan pada konfigurasi 2/2, dan hanya kurang dari 5% aplikasi yang menggunakan konfigurasi keamanan yang lebih kuat.
Ini berarti bahwa untuk sembilan dari sepuluh aplikasi lintas rantai yang saat ini sedang diproduksi, satu hingga dua penandatangan yang berhasil diretas adalah satu-satunya lapisan keamanan yang memisahkan dana pengguna dari penyerang.
Lima tahun lalu, ini mungkin masih menjadi pengaturan keamanan default yang dapat diterima. Pada saat itu, jembatan lintas rantai hanya mentransfer dana dalam jutaan dolar, dan tidak ada yang melakukan probing terhadapnya secara skala industri.
Tetapi ini tidak masuk akal pada tahun 2026. Desain yang sama sekarang mentransfer dana bernilai puluhan miliar dolar! Selain itu, alat bantu AI terus-menerus menemukan kerentanan konfigurasi operasional dengan kecepatan mesin. Permukaan serangan telah berkembang secara eksponensial, sementara model keamanan tetap statis.
Secara jelas, ini bukan artikel yang memicu Polygon melawan semua pihak lain. Bertahun-tahun lalu, kami juga membangun versi awal dari asumsi kepercayaan ini di produk kami sendiri. Kami belajar dari pengalaman tersebut, dan seluruh industri juga belajar darinya.
Sejak awal, sebagian dari kami terus membangun di bawah model komite, sementara yang lain mempertaruhkan seluruh perusahaan pada ZK (zero-knowledge proof).
Kami tidak hanya berbicara tentang ZK: pada Juli 2024, kami sudah meluncurkan bukti ZK untuk jembatan Agglayer, telah beroperasi selama lebih dari satu tahun dan setiap hari melakukan penyelesaian transaksi lintas rantai dalam skala besar. Jujur saja, kejadian akhir pekan ini hanya semakin memperkuat keyakinan saya terhadap argumen ini.
Bukti ZK mengambil alih pekerjaan yang sebelumnya dilakukan oleh komite. Ia seperti tanda terima kriptografi kecil yang membuktikan bahwa suatu perhitungan telah dilakukan dengan benar, dan setiap mesin di bumi dapat memverifikasinya dalam beberapa milidetik.
Either the proof is valid and the transfer is settled, or the mathematical verification fails and the assets remain untouched. No operator can be bribed, no RPC can be poisoned, no quorum needs to be coordinated, and no one will sit in a room at 3 a.m. on Saturday deciding whether your money is safe.
Di atas itu, adalah apa yang kita sebut "Pessimistic Proof" (Pessimistic Proof). Cara paling sederhana untuk memahaminya adalah: tidak mempercayai siapa pun dalam pencatatan on-chain.
Setiap rantai yang terhubung ke Agglayer memiliki buku besar dinamis yang mencatat aset yang diterima dan dikirim, dan akun harus tetap seimbang sebelum penarikan apa pun dikonfirmasi secara final. Sebuah rantai tidak pernah dapat menarik lebih banyak aset daripada yang tercatat, terlepas dari alasan apa pun, atau apakah ada yang memalsukan pesan hulu.
Aturan matematis tidak akan memungkinkan hal ini terjadi. Agglayer memaksa hal ini melalui sistem bukti SP1 dari Succinct, yang dibangun berdasarkan Polygon Plonky3.
Jika adegan akhir pekan lalu dijalankan di Agglayer, bukti pesimistis akan langsung mencegah penarikan, karena tidak ada catatan setoran, sehingga dana pasti tidak akan dipindahkan.
Mekanisme pencatatan yang sama juga dapat mendeteksi kerentanan pencetakan tak terbatas di Wormhole, kerentanan pencetakan tak terbatas di BNB Bridge, dan kerentanan replay proof di Hyperbridge.
Kerentanan-kerentanan ini sendiri sangat berbeda, tetapi semuanya bermuara pada masalah yang sama: jembatan lintas rantai melepaskan aset yang sama sekali tidak didukung di ujung lainnya. Agglayer akan mencegah semua situasi ini sebelum penyelesaian apa pun terjadi.
Ini bukan hanya teori. Meskipun sebagian besar DeFi menghentikan sementara operasinya akhir pekan ini, Agglayer menangani sekitar $200 juta volume transaksi jembatan tanpa kerusakan.
Katana yang terhubung secara native ke Agglayer tetap tanpa eksposur risiko selama seluruh insiden. Sebelum akar penyebab diungkapkan secara terbuka, tim keamanan kami telah menangguhkan integrasi LayerZero di seluruh ekosistem Polygon, dan tim produk serta dukungan terus-menerus berkomunikasi dengan mitra institusional sepanjang akhir pekan.
Hampir enam tahun pembangunan. Rp24 triliun diselesaikan di Polygon. 7 miliar transaksi. 99,99% waktu aktif. Tidak ada kerentanan jembatan lintas rantai di Agglayer. Inilah mengapa kami menghabiskan bertahun-tahun untuk membangun Agglayer, keamanan selalu menjadi prioritas utama.
Saya menunjukkan angka-angka ini bukan untuk pamer, tetapi karena untuk masuk ke sebuah institusi dengan percaya diri dan mengatakan bahwa kripto sudah siap menangani volume pembayaran besar, Anda harus menunjukkan hasil nyata ini.
Berdasarkan biaya yang lebih rendah dan kecepatan yang lebih cepat dalam membangun jembatan lintas rantai berdasarkan komite, saya memahami mengapa tim memilih untuk membangunnya, dan kami sendiri juga pernah membangun versi awalnya. Namun, sekarang hal-hal yang dapat dilakukan oleh penyerang benar-benar telah berubah.
Sejak 2022, organisasi Lazarus telah menyerang desain-desain ini, dan mereka tidak menunjukkan tanda-tanda melambat. Audit yang dibantu AI sekarang dapat mengidentifikasi semua kesalahan konfigurasi yang sebelumnya tersembunyi di bawah lapisan-lapisan kompleks. Serangan-serangan ini tidak akan hilang. Matematika pada akhirnya akan mengejar kelemahan komite.
Selama dua atau tiga tahun terakhir, industri ini setiap tahun menyelesaikan volume transaksi bernilai triliunan dolar AS. Kami meminta bank dan perusahaan pembayaran untuk menempatkan dana dalam jumlah besar pada sistem yang masih bergantung pada satu atau dua penandatangan saja untuk membuat keputusan yang tepat pada Sabtu malam. Inilah tuntutan kami, dan jika Anda mengatakannya dengan keras, Anda akan merasa betapa absurdnya hal ini.
Kami harus melakukan lebih baik, dan kami sudah tahu caranya.
Meskipun demikian, perlu diakui bahwa LayerZero kini secara luas menonaktifkan pengaturan 1/1 (tanda tangan tunggal) di seluruh industri. Ini adalah keputusan yang tepat, yang akan membuat keamanan lintas rantai jauh lebih baik, dan saya sepenuhnya mendukungnya. Tim-tim lain juga akan terus memperkuat desain komite mereka. Pekerjaan ini sangat penting.
Namun, perubahan yang lebih besar terletak pada arsitektur. Bukti ZK tidak pernah lelah, tidak dapat diserang melalui rekayasa sosial, dan tidak pernah memiliki akhir pekan yang buruk. Matematika要么成立,要么不成立,如果不成立,就什么都不会结算。
Ini adalah arah maju industri, langkah saat ini lebih cepat dari sebulan yang lalu, yang merupakan kabar baik bagi setiap pembangun dan setiap institusi yang masuk ke rantai.
Minggu ini, setiap tim yang membangun infrastruktur lintas rantai harus bertanya pada diri sendiri: apakah saya benar-benar memerlukan komite? Memperkuat komite yang sudah ada hanyalah solusi kompromi.
Agglayer bersifat open source. Tidak ada biaya protokol. Tidak ada batasan lisensi. Tim mana pun yang siap beralih dari mekanisme bukti terpercaya ke verifikasi kriptografi dapat terhubung. Jika Anda saat ini menjalankan jembatan lintas rantai, dan peristiwa tiga minggu terakhir membuat Anda mempertimbang ulang model kepercayaan Anda, silakan hubungi kami.
Ini bukanlah moat kompetitif yang kami tumpuk, melainkan infrastruktur yang seharusnya digunakan oleh seluruh industri.
Masa depan kripto dalam sepuluh tahun ke depan akan ditentukan oleh tim-tim yang bersedia menghadapi arsitektur yang lebih kompleks saat ini. Bukti kriptografi lebih sulit dibangun daripada notaris. Namun, mereka tidak akan runtuh pada akhir pekan, dan mereka dapat diskalakan hingga triliunan level yang diminta oleh kripto.
Apakah yang Anda inginkan adalah sebuah komite, atau sebuah bukti matematis? Kami memilih yang terakhir. Semoga lebih banyak orang juga memilih demikian.
Setelah akhir pekan ini, saya semakin yakin tentang ZK cross-chain. Di masa-masa sulit, arsitektur yang jelas terbentuk.