Недавняя атака на Bybit подчеркнула значительные проблемы безопасности в Ethereum Virtual Machine (EVM). Это проявляется в уязвимостях многосигнальных кошельков и обновляемых контрактов. MultiversX предлагает решения для усиления безопасности.
Как развивалась атака на Bybit
Хакер осуществил сложную схему из четырех этапов. Сначала он создал троянский контракт и бэкдор-контракт. Затем обманул подписантов многосигнального кошелька, заставив одобрить перевод ERC-20 на троянский контракт. Вместо перевода токенов контракт заменил реализацию Safe-мультисиг на бэкдор-контракт атакующего. В итоге хакер выполнил функции sweepETH и sweepERC20, выведя ETH, mETH, stETH и cmETH токены из кошелька.
Почему безопасность EVM вызывает опасения
Сасу указал, что недостатки безопасности EVM сохраняются долгие годы. DelegateCall и прокси-обновления создают серьезные риски. Эти механизмы открывают 'задние двери', и контракты становятся уязвимыми для эксплуатации. Многие решения второго уровня полагаются на аналогичную архитектуру, что ставит под угрозу миллиарды. Дополнительным усугубляющим фактором являются многосигнальные кошельки, которые часто подвергаются атакам, когда злоумышленники манипулируют подписантами одобрить вредоносные транзакции, что в прошлом привело к нескольким мостовым атакам и значительным финансовым потерям. Несмотря на это, индустрия продолжает придавать EVM совместимость большее значение, чем фундаментальные улучшения безопасности.
Как MultiversX решает эти проблемы
MultiversX вводит более безопасную модель контрактов, позволяя явно устанавливать контракты как обновляемые или не обновляемые, исключая риски DelegateCall. Также предусмотрена прозрачная функция обновления, которую пользователи могут четко понять перед выполнением. Другим ключевым улучшением является интерпретация транзакций кошельком, в котором пользователи получают читаемое сообщение с точными деталями транзакции перед подписанием, что предотвращает выполнение скрытых зловредных действий. Кроме того, MultiversX отменяет стандарты ERC-20 и смарт-контрактные переводы токенов, заменяя их системой нативных активов с атомарными функциями TransferAndExecute, усиливая безопасность. На-сетевые хранители добавляют еще один защитный слой, связывая кошельки с холодным хранилищем для дополнительной проверки, что гарантирует полное понимание пользователем своих транзакций перед подписанием и уменьшает риск обмана.
Атака на Bybit вновь привлекла внимание к вопросам безопасности EVM. В то время как традиционные механизмы остаются уязвимыми, такие проекты, как MultiversX, представляют новые решения, способные значительно улучшить защиту пользователей.
