Certus One, společnost ve vlastnictví předního market makera, firmy Jump Crypto, a dceřiná společnost Jump Trading, spustila v srpnu nový protokol Wormhole umožňující uživatelům převádět tokeny a využívat aplikace napříč platformami různých kryptoměn, jako jsou Ethereum, Solana či Terra.
Tomu se říká také přemostění. Nejpoužívanější přemostění pomocí protokolu Wormhole je mezi Ethereem a Solanou. A právě to se stalo v únoru cílem útoku, z něhož se vyklubalo jedno z nejrozsáhlejších zneužití protokolů decentralizovaného financování v oblasti kryptoměn.
Zneužití protokolu za 120 000 etherů
Hacker, který zneužil přemostění mezi Ethereem a Solanou přes protokol Wormhole, si přišel na 120 000 etherů (ETH), což v dané chvíli odpovídalo 320 milionům dolarů.
Stručně řečeno, tento hacker dokázal přesvědčit daný protokol, že určitá osoba uložila ethery, které mají být podle uzavřené smlouvy uvolněny ve formě odpovídající částky ve wETH, což jsou tokenizované ethery na platformě Solana kolateralizované prostřednictvím skutečných etherů s využitím protokolu Wormhole.
Jakmile získal hacker na platformě Solana příslušné wETH, vrátil se k Wormhole a nechal si většinu proplatit ve skutečných etherech na platformě Ethereum. Problém ovšem spočíval v tom, že tyto wETH ve skutečnosti kolaterializované nebyly.
Zbývající wETH pak hacker směnil na decentralizovaných burzách na platformě Solana za jiná aktiva, čímž se wETH bez kolaterálu rychle zbavil.
Wormhole obratem nabídl hackerovi za odhalení chyby odměnu 10 milionů dolarů pod podmínkou, že peníze vrátí. Hacker však podle všeho neměl zájem, protože následně společnost Jump Crypto převedla z vlastních účtů na Wormhole ekvivalent 120 000 etherů.
A na Twitteru napsala: „Jump Crypto věří v budoucnost vzájemně propojených blockchainových platforem, pro niž Wormhole zajišťuje nezbytnou infrastrukturu. Uhradili jsme proto chybějících 120 tisíc ETH, aby tím neutrpěli členové komunity a abychom podpořili Wormhole v době, kdy se teprve rozvíjí.“
Hacker zatím s ukradenými ethery nijak nenaložil a převedení tak velké částky na hotovost bude dosti náročné. Těch pár burz, brokerů a mimoburzovních obchodníků, kteří jsou schopni takovou sumu proplatit, ji totiž zmrazí už v okamžiku, kdy se v příslušné ETH peněžence objeví, protože jim bude jasné, odkud tyto peníze pocházejí.
Zneužití protokolu a rizika decentralizace
V roce 2021 došlo při zneužití decentralizovaných aplikací k celkovým ztrátám ve výši 1,3 miliardy dolarů, což je více než dvojnásobek částky z roku 2020. V decentralizovaných aplikacích si totiž lidé ukládají čím dál víc peněz. Zneužití protokolu Wormhole tak rozhodně není ani první, a co je důležitější, nejspíš ani poslední podobné zneužití prostředků.
Decentralizované aplikace jsou prostě zatím poměrně zranitelné a zranitelné pravděpodobně zůstanou ještě celé roky. Navíc je třeba si uvědomit, že s Wormhole nepřišel nějaký teenager, který vyvíjí software ve svém pokojíčku u maminky.
Za vývojem tohoto protokolu ve skutečnosti stojí společnost Jump Trading, jeden z největších market makerů, kteří se zabývají akciemi, opcemi, futures a kryptoměnami. A pokud je možné zneužít protokol vyvinutý tak velkou korporací, jistě si dokážete představit, jak náročný je vývoj bezpečných decentralizovaných aplikací pro malé start-upy.
Kdyby navíc k takovému zneužití došlo právě u nějakého malého start-upu, bude to pro danou firmu okamžitě konečná, protože nelze čekat, že během 24 hodin sežene přes 300 milionů dolarů v ETH na náhradu škody. To v konečném důsledku omezuje tempo inovací v kryptoprostoru, protože jen málokdo bude chtít takovým způsobem riskovat svůj start-up a svou pověst.
A tady vstupuje do hry decentralizace. Ta je klíčovou užitnou hodnotou kryptoměn, protože zpřístupňuje služby jako mezinárodní peněžní převody nebo decentralizované obchodování s nezaměnitelnými tokeny (NFT) normálně zprostředkované nejrůznějšími prostředníky. Zároveň je ale i jejich významným nedostatkem. Konkrétně právě v případech zneužití decentralizovaných technologií.
Pokud k něčemu takovému dojde, mohou se vývojáři i uživatelé se svými penězi rozloučit, zatímco v centralizovaném systému může zodpovědná společnost transakci často ještě zrušit. Což znamená, že v decentralizovaném systému mohou mít kybernetické útoky a zneužití prostředků mnohem horší následky. Útoky na kryptotrh obecně rozhodně nejsou ničím novým.
PSALI JSME:
Platforma Robinhood doplácí na svůj název. Hacker jí ukradl data o téměř polovině klientů
Poučí se kryptoměnové trhy?
Kdykoli dojde k podobnému zneužití, má komunita tendenci úplně otočit a prezentovat to jako něco celkem pozitivního. Nejčastěji se používá argument, že se příslušný protokol, spolu se všemi ostatními protokoly, z příslušného zneužití poučí a zohlední to při dalším vývoji protokolů, které v budoucnu nebude možné takto zneužít.
To je nejspíš pravda, ale představte si, kolika různými způsoby je možné nejrůznější decentralizované aplikace zneužít. Případný vývoj bezpečných decentralizovaných aplikací metodou „pokus-omyl“ tedy nebude nijak rychlý.
Dalo by se namítnout, že decentralizované aplikace si prostě projdou stejnou fází učení a stejným vývojem, jako například kryptopeněženky. V počátcích bitcoinu žádné velké kryptoměnové peněženky neexistovaly, takže se v prvních letech mnoho bitcoinů navždy ztratilo.
V těch dobách si asi jen málokdo dokázal představit, že by někdy instituce svěřily kryptoměnovým firmám do úschovy miliardy. Dnes už to nepředstavitelné není. Právě naopak, dnes už se to děje. Jak řekl Søren Kierkegaard: „Život lze pochopit pouze zpětně, žít jej však musíme dopředu.“
Je důležité si uvědomit, že se první decentralizované aplikace objevily až v roce 2018, takže jde o poměrně nový fenomén. To znamená, že se celé odvětví ještě nachází kdesi v počátcích fáze učení. V posledních letech navíc začalo několik konzultačních firem, jako například OpenZeppelin, nabízet služby auditu kódu decentralizovaných aplikací, což dále přispívá ke zvyšování jejich bezpečnosti.
Kromě auditů nabízí OpenZeppelin také praxí prověřené rámcové chytré kontrakty, určené pro využití v nových decentralizovaných aplikacích. To v zásadě znamená, že s tím, jak se bude odvětví dál rozvíjet, budou patrně k dispozici různé rámce a infrastruktury, s jejichž pomocí bude dále zvyšovat bezpečnost aplikací.
Na druhou stranu, i kdyby toto odvětví dokázalo v budoucnu srazit riziko zneužití prostředků skoro na nulu, zůstává otázkou, zda budou obyčejní lidé decentralizovaným aplikacím, vzhledem k historii zneužívání, ještě věřit.
Nehledě na to, že se s rostoucí popularitou decentralizovaných aplikací a hodnotou v nich uložených prostředků rychle stupňují možné důsledky takových zneužití. To může donutit regulační orgány k zpřísnění podmínek, než bude moci odvětví doložit, že dokáže fungovat bezpečně.
Autor je analytik kryptoměn skupiny Saxo Bank
(Redakčně upraveno)
