Bybit обнаружила, что 16 блокчейнов способны замораживать средства пользователей

Команда специалистов по безопасности крупной криптовалютной биржи Bybit выявила 16 блокчейн-сетей, которые технически могут замораживать или ограничивать средства пользователей.

Лаборатория безопасности Lazarus компании Bybit во вторник выпустила отчет, в котором было изучено влияние возможности заморозки средств в различных блокчейнах, проанализировав в общей сложности 166 сетей.

Используя анализ на базе искусственного интеллекта, объединенный с ручной проверкой, команда безопасности Bybit обнаружила, что сети, такие как поддерживаемая Binance BNB Chain, имеют встроенные функции заморозки.

Аналитики также сообщили, что сеть Cosmos входит в число 19 сетей, которые потенциально могут внедрить возможность заморозки с "относительно незначительными изменениями протокола".

Три основных механизма заморозки

Среди 16 блокчейн-сетей лаборатория безопасности Lazarus Bybit обнаружила три различных механизма для заморозки средств на уровне протокола.

Эти механизмы включают в себя метод заморозки на основе жестко закодированного черного списка, метод заморозки на основе конфигурационного файла или частный черный список и метод заморозки на основе смарт-контракта в сети.

Согласно отчету, 10 из 16 блокчейнов, способных замораживать средства, могут использовать заморозку на основе конфигурации, которая управляется через локальные конфигурационные файлы, такие как YAML, ENV или TOML. Эти файлы обычно доступны только валидаторам, фонду и основным разработчикам.

В категории заморозки на основе конфигурации команда безопасности Bybit упомянула блокчейны первого уровня Aptos, Eos и Sui.

Среди пяти блокчейнов с функциями заморозки, встроенными напрямую в их исходный код, аналитики Bybit выявили BNB Chain, VeChain, Chiliz, Viction и XinFin's XDC Network. В отчете упоминались их репозитории на GitHub для подтверждения встроенных функций заморозки.

Сеть Heco, также известная как Huobi Eco Chain, является единственной блокчейн-сетью, управляющей черным списком через смарт-контракт в сети, как утверждается в отчете.

Обсуждая 19 блокчейнов, которые потенциально могут внедрить механизмы заморозки средств, команда безопасности Bybit уделила особое внимание учетным записям модуля в экосистеме Cosmos.

В отличие от обычных пользовательских аккаунтов, учетные записи модуля управляются логикой модуля, а не приватными ключами, что потенциально позволяет ограничивать транзакции.

"Эта функция может, теоретически, быть модифицирована в будущем для добавления адреса хакера, но пока ни одна из сетей в экосистеме Cosmos не использовала ее таким образом," сказано в отчете, добавляя:

"Реализация такого изменения потребует хардфорка вместе с незначительными корректировками — вероятно, в файле anteHandler — или дополнительными изменениями кода."

Исследователи компании Bybit предостерегли, что наличие этих механизмов, даже когда они предназначены для предотвращения кражи или взломов, вызывает более глубокие опасения по поводу цензуры и централизованного контроля в системах блокчейн.

Эти выводы дополняют растущие дебаты о том, остаются ли "децентрализованные" сети таковыми на практике, поскольку все больше проектов интегрируют аварийные средства управления, модули соблюдения и привилегии уровня администратора, которые размывают границу между безопасностью и централизацией.

Отчет появился через несколько месяцев после того, как Bybit подверглась атаке на холодный кошелек с потерей 1,5 миллиарда долларов, которая стала одним из крупнейших инцидентов в сфере безопасности, когда-либо происходивших в криптоиндустрии. Скоординированные усилия партнеров, таких как Circle, Tether, THORchain и Bitget, позволили сообществу заморозить 42,9 миллиона долларов украденных средств, при этом протокол mETH даже вернул cmETH токены на сумму почти 43 миллиона долларов.