对于任何软件公司来说,安全性从根本上来说都是一个困难的问题。没有什么灵丹妙药——仅上个月就有几家科技公司做出了妥协(如Okta、HubSpot)。然而,加密技术的自我保管和不可逆转性意味着,安全方面的妥协可能导致数十亿美元的永久性损失。这种持续的风险对于具有长期野心的NFT项目来说是一个巨大的挑战。
数亿美元的用户资金损失严重损害了其声誉,并严重损害了所涉及到的公司和项目。对于许多正在进入该领域的企业来说,这种风险是不可接受的,特别是那些拥有现有客户群、声誉和法律义务的企业。因此,作为NFT项目选择平台的标准,安全性变得越来越重要。
每个平台都有强大的动机将自己定位为足够安全的平台。事实是,所有的解决方案都有权衡——重要的是,项目对自己和自己的平台所做的具体权衡有非常清晰的理解。
为了对一些现下流行的NFT平台(包括Ronin、Polygon、Immutable、Solana和Optimism)做一个详细且公正的评估,本文将着重分析每个平台底层安全的两个核心元素:
共识安全:通过攻击平台的节点/验证者来窃取资产的难度(例如通过51%攻击)桥安全:在以太坊之间移动资产的安全机制。这通常是更大的问题,因为妥协通常会直接将用户资金置于风险之中。
共识安全
Ronin是一个“侧链”——一个拥有自己节点和共识机制的区块链,但它维持着一个到以太坊的官方“桥”。Ronin是一个权威证明(POA)链,有10个节点,他们将自己的声誉押在不会滥用权力这个事实上。这可以与以太坊测试网(如Goerli(20节点POA))相媲美。如果其中5个节点(50%以上)被恶意攻击或被破坏,它们将能够对网络进行51%的攻击,并通过双花或其他攻击窃取用户资金。一般来说,这被认为是一个极低的节点数量(比特币有15000个节点,以太坊接近6000个节点),并产生一个更中心化的网络,以换取更快、更便宜的交易。此外,用户不能运行自己的节点,并且Ronin节点的源代码不是公开的,因此不能被Ronin用户审计。
桥的安全
Ronin的官方以太坊桥由“5/9 多重签名”控制。一个多重签名需要n个密钥持有者中的m个签名者来批准每一笔交易。在Ronin中,每一个桥接动作都需要这个多重签名的批准。然而,没有机制来检查存款或取款是否真的有效——任何能够访问9个密钥中的5个的人都可以将Ronin桥上持有的任何代币提取到任何以太坊地址。这意味着桥的用户用他们所有的资金直接信任这个多重签名。
2022年3月,一名黑客获取了由Axie团队持有的4个密钥,以及Axie DAO验证者借给Axie 团队的1个密钥(给他们5/9)之后,该信任损失了6.25亿美元。目前我们所知道的情况表明,这是一个典型的网络安全漏洞,由于这些验证者密钥的中心化,导致了这样严重的后果。Sky Mavis已经承诺赔偿那些损失资金的人,并在未来三个月内联系21家独立验证者,以确保Ronin在未来的攻击中更有弹性,尽管这可能要在更强大的共识/桥机制与网络的可扩展性之间需要一个折衷。
Polygon
Polygon目前提供了一个权益证明的以太坊侧链(Polygon PoS),以及一个专门的NFT服务公司Polygon Studios,该公司支持Skyweaver和ZED RUN等主要项目。Polygon正在提供一系列不同的扩展解决方案,其中大部分基于zk-rollup技术,但目前只有Polygon PoS是作为NFT平台而存在的。
共识安全
Polygon PoS是一个侧链,其基本模型与Ronin类似,除了Polygon是一个“提交侧链”,它定期将链状态的检查点提交到以太坊。Polygon PoS共识有两个主要组成部分。首先,Bor链,这是Polygon的交易实际发生的地方:从一个更大的验证者池中选择轮流的区块生产者子集来运行一个修改的权威网络证明,其决定交易的包含和排序。然而,这个子集只有一个区块生产者,然后被选择提议64个连续区块(一个sprint)。
接下来是Heimdall检查点系统,在该系统中,大量的验证者(目前上限为100)会对Bor区块的最后30分钟的摘要快照达成 “权益证明”共识,并将该快照作为以太坊上的检查点发布。然而,尽管有100个验证者,但4个验证者控制了53%,7个验证者控制了67%,而 要求的是权益的百分比,而不是验证者的数量。这意味着,只要有7个密钥,链条上的所有资金,注意不仅仅是桥上的资金,就会被恶意的检查点偷走——而质押者必须始终保持他们的密钥处于热状态。此外,由于 的质押需要达到法定人数,而43%的股份由3个验证者控制,因此只要破坏3个热钱包,就足以冻结提款和检查点。
桥的安全
Polygon的桥与Ronin的桥的不同之处在于,它的检查点系统不需要一个独立的验证者集合来签署每次的存款和取款。然而,这意味着桥的安全完全依赖于 Heimdall 和 Bor 共识,这很容易受到上述攻击。
此外,Polygon使用5/8 多重签名来管理他们的桥智能合约,合约更新可以立即进行,没有时间锁定。这可以防止智能合约漏洞或上面讨论过的质押验证者的妥协。其中4个密钥由Polygon创始人持有,这一结构一直受到社区安全研究人员的强烈批评,因为只有再一个密钥就可能会通过恶意升级完全耗尽Polygon合约中的所有资金(50亿美元以上)。然而,由于Polygon签名者并不签署每一个存款和取款交易,因此这些管理员密钥可以保持离线状态,从而降低了它们被泄露的可能性。
为了真正做出明智的决定,NFT项目需要考虑共识和桥安全之外的各种因素,包括:
钱包安全:如何存储用户密钥?如果这个存储系统被破坏了,会有什么影响(例如,托管钱包提供商,原生钱包应用程序的错误版本,浏览器扩展中的不良依赖)?元数据安全:如何存储资产元数据(包括图像)?如果元数据因妥协而被更改或替换,会对市场产生什么影响?项目安全性:任何平台上的项目通常会为其项目保留一些管理密钥。如果这些密钥被泄露会发生什么?是否对违规行为进行了主动监控?平台是否支持密钥管理的最佳实践?金库安全:大多数平台将拥有大量的代币储备(例如用于奖励或赠款)。这些资金是如何持有的?如何授权和执行金库的转移?妥协会产生什么影响?市场安全:支持该协议的市场如何保护用户免受恶意交易?
任何一层的妥协都可能使最安全的底层平台的用户受到攻击。不幸的是,在处理一个新的资产类别时,特别是一个增长如此迅速的资产类别时,会有人不断地寻找新的漏洞。在这样的环境中,充分理解这些权衡对于为项目选择正确的平台至关重要。
关键词: NFT投资平台安全指南 ronin
