Расшифровка хаков Oracle: понимание уязвимостей и мер безопасности в блокчейн-оракулах

В представленной ниже презентации Саша Милич, независимый исследователь, рассказал о взломах оракулов, произошедших за последние два года, и о различных выводах, которые можно сделать на их основе.

Ниже приведен глоссарий ключевых понятий, упомянутых во время выступления Сасы, который предназначен в качестве дополнения к ее видеопрезентации.

ЧТО ТАКОЕ БЛОКЧЕЙН-ОРАКУЛ?

Собственные данные блокчейна (например, владение и передача токенов) проверяются каждым узлом в сети. Этот процесс проверки делает сеть защищенной от несанкционированного доступа (за исключением случая 51% атака ). Однако следствием такой устойчивости к несанкционированному вмешательству является ограниченный доступ к внешним источникам данных, поскольку такие данные и их передача могут быть легко подделаны.

Для создания сложных блокчейн-приложений — помимо простой передачи токенов — вам необходим доступ к внешним данным. Например, большинству приложений децентрализованного финансирования (DeFi) требуются данные о ценах (например, чтобы получить цена исполнения или держите стейблкоин привязанным к 1 доллару США). Действительно, цены на активы по-прежнему являются наиболее распространенным типом данных, генерируемых и обрабатываемых оракулами блокчейна.

ЧТО ТАКОЕ ХАКЫ ORACLE?

Взломы Oracle происходят, когда злоумышленники используют уязвимости в конструкции или реализации сетей Oracle. При таком взломе злоумышленник обычно манипулирует оракулом, чтобы ввести неверные данные в контракт блокчейна. Это часто приводит к ошибочному переводу средств, обычно на счет хакера. Суть этих атак заключается в нарушении целостности данных, на которых основаны смарт-контракты, что приводит к финансовым потерям или другим сбоям.

В начале своей презентации спикер поясняет, что большая часть потерь, приписываемых взломам Oracle, на самом деле связана с атаками манипулирования рынком, а не с недостатками в конструкции Oracle. Sasa делит хаки Oracle на две важные категории: ошибки статистики/данных и ошибки интеграции.

ДОВЕРИТЕЛЬНЫЕ ИНТЕРВАЛЫ

Доверительные интервалы относятся к диапазону значений, используемых для оценки истинного количества определенного параметра. Эти значения сопровождаются процентом, обычно в диапазоне от 95% до 99,9%, который представляет степень достоверности в этом интервале.

Примером доверительного интервала является оценка цены биткойна в размере [29 504 долларов США, 29 507 долларов США] с уровнем достоверности 99 %. Это означает, что издатель на 99 % уверен, что цена биткойна в этот момент упадет между заданными значениями.

Некоторые протоколы оракула, например Пиф требовать от издателей цен предоставления отчета о доверительном интервале для обеспечения прозрачности и доверия.

МЕХАНИЗМЫ ОБНАРУЖЕНИЯ И УДАЛЕНИЯ ВЫБРОСОВ

Обнаружение выбросов, также известное как обнаружение аномалий, относится к различным методам и процессам, используемым для выявления и устранения выбросов в данных. Выбросы относятся к точкам данных, которые значительно отклоняются от шаблона данных. Например, если оракул предоставляет данные о ценах в размере 100 долларов США, 101 доллар США, 200 долларов США, 99 долларов США, 102 доллара США, 10 долларов США и т. д., 200 долларов США и 10 долларов США должны быть помечены как выбросы.

Выбросы выявляются путем применения статистических методов для удаления точек данных, выходящих за заранее определенные границы. Механизмы обнаружения выбросов имеют решающее значение, поскольку они улучшают целостность данных и уменьшают предвзятость, хотя докладчик сомневается в их эффективности в контексте сетей оракулов.

ФУНКЦИЯ АГРЕГАЦИИ ORACLE

Функция агрегации Oracle относится к алгоритму, который играет решающую роль в повышении качества данных оракула путем объединения нескольких входных данных от разных оракулов в одно агрегированное значение.

Некоторые из наиболее популярных используемых алгоритмов — это медианная цена, средневзвешенная по объему цена (VWAP) и средневзвешенная по времени цена (TWAP). Последние два становятся все более популярными, поскольку они более устойчивы к манипуляциям. VWAP вычисляет среднюю цену на основе объема торгов, при этом источники с большим объемом торгов весят больше, чем другие, а TWAP рассчитывает среднюю цену на основе временных интервалов.

Этот статья в блоге Chainlink подробно описаны различия между агрегированием цен TWAP и VWAP.

СПОРНЫЕ ПЕРИОДЫ

Периоды споров — это определенные периоды времени, в течение которых участники могут оспорить достоверность или точность данных, предоставленных оракулами. Это естественный шаг после агрегирования данных для устранения предполагаемых технических ошибок, несоответствий или манипуляций.

Эти споры в конечном итоге разрешаются путем голосования или арбитражного протокола, такого как Клерос . Цепочка 2.0 является примером двухуровневой сети оракулов, имеющей второй уровень для разрешения споров.

Границы здравомыслия

Границы работоспособности, также известные как проверки работоспособности, представляют собой заранее определенные пороговые значения или ограничения, используемые для проверки данных, предоставляемых оракулами, прежде чем они будут приняты для агрегирования. Это пример механизмов обнаружения выбросов, используемых протоколами.

Эти границы гарантируют, что данные о ценах попадают в разумные и ожидаемые диапазоны. Если данные, предоставленные оракулом, выходят за рамки разумного, они считаются недействительными и не включаются в процесс агрегации. Этот статья обсуждается использование границ здравомыслия в качестве метода предотвращения манипулирования ценовыми оракулами.

Свяжитесь с Сашей Милличем:

LinkedIn
Твиттер
Середина
YouTube

Blockchain Oracle Summit — единственный в мире технический саммит, на котором глубоко рассматриваются варианты использования, ограничения и влияние оракулов на более широкую экосистему блокчейна. Ведущие докладчики со всего мира собрались в Париже, чтобы поделиться своей работой и опытом создания и использования решений Oracle. Автор статьи Майкл Абиодун .