“Blockchain Bridge” มีความปลอดภัยเพียงใด ทำไมจึงถูกโจมตีบ่อยครั้ง?

Blockchain Bridge กลายเป็นส่วนสำคัญของระบบนิเวศของ Blockchain และ Web 3.0 ในปัจจุบัน เนื่องจากช่วยแก้ปัญหาการโต้ตอบสื่อสารระหว่างเครือข่ายที่เดิมที่ไม่สามารถทำได้ โดย Blockchain Bridge มีสองประเภทหลักที่มีลักษณะการใช้งานที่แตกต่างกัน แต่มีจุดอ่อนและตกเป็นเป้าโจมตีขโมยเงินจากแฮกเกอร์อยู่บ่อยครั้ง ในบทความนี้จะพาไปทำความรู้จักกับ Blockchain Bridge ให้มากยิ่งขึ้นทั้งในด้านประโยชน์และข้อกังวลด้านความปลอดภัย ผู้ใช้จะสามารถรับมือได้อย่างไร?

Blockchain Bridge คืออะไร?

Blockchain Bridge หรือที่รู้จักกว่าเป็นสะพานข้ามเครือข่าย (Cross-Chain Bridges) เป็นเครื่องมือที่สร้างออกมาเพื่อแก้ปัญหาเรื่องการทำงานร่วมกันระหว่าง Blockchain และกลายเป็นองค์ประกอบที่จำเป็นของโลก Blockchain ในที่สุด เนื่องจาก Blockchain มีการทำงานแบบแยกส่วนและไม่สามารถสื่อสารกับเครือข่ายอื่นได้ 

โดยในแง่ของการแลกเปลี่ยน โปรโตคอลจะให้เครดิตหรือสร้างสินทรัพย์จำนวนเท่ากันกับ Blockchain อื่น หรือเทียบเท่ากับเงินที่ถูกล็อกไว้ และแต่ละ Blockchain Bridge จะได้รับการออกแบบมาแตกต่างกัน โดยทั่วไปจะจำกัดให้ผู้ใช้ที่ล็อกสินทรัพย์ดิจิทัลไว้เพียงใน Blokchain เดียวเท่านั้น โดยในโปรโตคอลสำหรับการแลกเปลี่ยนสินทรัพย์ สินทรัพย์ที่ล็อกไว้จะทำการ Mint หรือคิดเป็นจำนวนเท่ากันกับ Blockchain นอกเครือข่าย

สรุปได้ว่า Blockchain Bridge เป็นเครื่องมือที่สามารถส่ง Cryptocurrencies ระหว่าง Blockchain อย่างน้อยสองเครือข่าย ซึ่งจุดประสงค์คือการทำให้ผู้คนสามารถถ่ายโอนสินทรัพย์จาก Blockchain หนึ่งไปยังอีก Blockchain หนึ่งได้ เนื่องจากในปัจจุบัน Blockchain ที่แยกจากกันจะไม่สามารถสื่อสารระหว่างกันได้ 

อย่างไรก็ตาม ถึงแม้ว่าการส่งเงินภายในระบบนิเวศของ Blockchain จะเป็นเรื่องง่าย แต่นักพัฒนาก็ยังประสบปัญหาในการหาวิธีที่จะทำให้เครือข่ายต่างๆ สามารถโต้ตอบกันได้อย่างปลอดภัย 

ประเภทของ Blockchain Bridge (Trust-Based Vs. Trustless) 

ในด้านความปลอดภัย Blockchain Bridge สามารถจำแนกได้เป็นสองกลุ่มใหญ่ ได้แก่ “Trusted” และ “Trustless” Bridges

“Trusted Bridge” หรือบางครั้งเรียกว่า "Custodial Bridge" เนื่องจากเจ้าของ Protocol จะทำหน้าที่ตรวจสอบการทำธุรกรรมรวมไปถึงทำหน้าที่เป็นผู้ดูแลสินทรัพย์ของผู้ใช้โดยตรง หรือเป็นแพลตฟอร์มที่ต้องอาศัยบุคคลที่สามในการทำธุรกรรม โดยข้อเสียอย่างหนึ่งของการใช้ Trusted Bridge คือสินทรัพย์จะอยู่ในความดูแลของบุคคลที่สามและตกเป็นเป้าหมายของแฮกเกอร์ได้ง่ายเนื่องจากมีผู้ดูแลสินทรัพย์เป็นตัวกลางที่ชัดเจน

ในทางกลับกัน “Trustless Bridge” เป็นแพลตฟอร์มที่พึ่งพาสัญญาอัจฉริยะและอัลกอริทึมเพื่อจัดเก็บสินทรัพย์และทำธุรกรรม ข้อดีคือผู้ใช้ไม่ต้องกังวลเกี่ยวกับความเสี่ยงจากบุคคลที่สามหรือจากองค์กรส่วนกลางและผู้ใช้มีอิสระในการควบคุมสินทรัพย์ แต่ข้อจำกัดหรือช่องโหว่จะขึ้นอยู่กับความสมบูรณ์ของโค้ดที่ใช้ ยกตัวอย่างเช่น Wormhole เป็นแพลตฟอร์มอำนวยความสะดวกการทำธุรกรรมข้ามเครือข่ายระหว่าง Solana และ Ethereum โดย Wormhole เป็น Protocol สะพานเชื่อระหว่าง Blockchain ที่ได้รับความเสียหายในเดือนกุมภาพันธ์ 2565 เนื่องจากข้อผิดพลาดเกี่ยวกับสัญญาอัจฉริยะ ส่งผลให้ผู้โจมตีสามารถเจาะผ่านขั้นตอนการตรวจสอบและสามารถแฮ็กเงินไปเป็นมูลค่ากว่า 326 ล้านดอลลาร์

นอกจากนี้ “Trustless Bridge” ส่วนใหญ่ยังอยู่ในช่วงระหว่างการทดลอง แม้แต่ผู้เขียนโค้ด Blockchain ที่เชี่ยวชาญก็ยังพบว่ามีปัญหาในการเขียนโค้ด Smart Contract ให้ปราศจากข้อผิดพลาด และหากแฮ็กเกอร์ใช้ประโยชน์หรือพบช่องโหว่ของอัลกอริทึมใน Trustless Bridge ก็อาจทำให้ผู้ใช้สูญเสียเงินดิจิทัลทั้งหมดไปได้ แต่ในทางตรงกันข้าม หากใช้ Trusted Bridge ก็มีโอกาสที่ผู้ดูแลสามารถแจกจ่ายเงินประกันหากมีการโจมตีทางไซเบอร์ได้

ข้อกังวลความปลอดภัยของ Blockchain Bridge ทำไมจึงถูกแฮกเกอร์โจมตีบ่อยครั้ง?

Blockchain Bridge เป็น Prtotocol ที่มีประโยชน์มากและเปราะบางที่สุดใน DeFi เช่นกัน แม้ว่าสะพานเชื่อมเหล่านี้จะให้บริการทางการเงินแบบกระจายศูนย์ แต่ก็เป็นศูนย์กลางสำหรับการโอนสินทรัพย์ดิจิทัล และหากแฮ็กเกอร์สามารถเจาะเข้าไปใน Blockchain Bridge ได้ก็มีโอกาสขโมยเงินจำนวนมหาศาลได้สำเร็จ

Blockchain Bridge ยังมีจุดอ่อนอยู่มากมาย รวมไปถึงไม่ได้รับการทดสอบความปลอดภัยหรือที่เรียกว่า “Battle-Tested” เหมือนกับ Blockchain อื่นๆ อย่างเช่น Bitcoin (BTC) 

โดยผู้พัฒนา Bridge ยังไม่สามารถปรับปรุงและพัฒนาโค้ดสำหรับการเชื่อมโยง Blockchain ได้อย่างสมบูรณ์แบบ และหากแฮ็กเกอร์มีประสบการณ์เกี่ยวกับโค้ดหรือการเข้ารหัส Blockchain ก็มีโอกาสที่พวกเขาจะพบช่องโหว่ใน Smart Contract ของ Bridge 

นอกจากนี้ โปรเจกต์ Bridge บางแห่งมีการสร้างโค้ดแบบเปิดสาธารณะ หรือ Open Source เพื่อให้เห็นถึงความโปร่งใสและเพื่อสร้างความน่าเชื่อถือ แต่ก็เป็นช่องโหว่ที่ทำให้ผู้ไม่ประสงค์ดีสามารถเข้าดู คัดลอกหรือโจมตี Bridge นั้นๆ ได้

อีกประเด็นสำคัญคือส่วนใหญ่ DeFi ยังขาดการกำกับดูแลและไม่มีการขอเอกสาร KYC (Know-Your-Customer) จึงทำให้แฮกเกอร์สามารถหลีกเลี่ยงผลกระทบจากกฎหมายได้โดยง่าย ถึงแม้ว่าเจ้าหน้าที่จะสามารถพบแฮกเกอร์ผู้กระทำผิด แต่ก็ไม่มีโครงสร้างด้านกฎหมายที่ชัดเจนเพื่อเอาผิดกับแฮกเกอร์เหล่านี้

Blockchain Bridge มีความปลอดภัยเพียงใดสำหรับผู้ใช้?

นักเทรดในโลก Blockchain ควรทำความเข้าใจว่า Blockchain Bridge เป็นเทคโนโลยีใหม่ที่ยังมีความเสี่ยงและมีช่องโหว่มากมายที่ยังไม่ได้รับการจัดการ จึงทำให้เป็นเป้าหมายหลักของแฮกเกอร์ อย่างไรก็ตาม ไม่ได้หมายความว่าทุก Blockchain Bridge จะไม่ปลอดภัย แต่ก็เป็นส่วนที่เปราะบางและเสี่ยงต่อการถูกโจมตีมากที่สุดในระบบนิเวศ 

ดังนั้นสิ่งสำคัญสำหรับผู้ที่สนใจเกี่ยวกับ Cross-Chain/Blockchain Bridge คือควรศึกษาวิจัยและทำความเข้าใจเป็นอย่างดีเกี่ยวกับ Protocol ที่เลือกใช้ อย่างเช่นค้นหาว่า Protocol เปิดใช้งานมาเป็นระยะเวลานานเท่าใด หรือมีประวัติการถูกแฮ็กหรือไม่ และโดยทั่วไป Protocol ควรมีการตรวจติดตามจากองค์กรผู้ให้การรับรองความปลอดภัย รวมไปถึงผู้ใช้ควรตรวจสอบความโปร่งใสของข้อมูลของผู้นำโปรเจกต์และขั้นตอนการรักษาความปลอดภัยของ Bridge ที่เลือก

โดยที่ผ่านมาแฮ็กเกอร์ได้เจาะสะพานเชื่อมทั้งประเภท “Trusted” และ “Trustless” หลายสิบแห่ง ตัวอย่างเช่น Polygon เกือบสูญเสียเงินกว่า 850 ล้านดอลลาร์เนื่องจากจุดบกพร่องใน Plasma Bridge ที่เชื่อมไปยัง Ethereum แต่โชคดีสำหรับนักพัฒนาของ Polygon ที่มีแฮ็กเกอร์สายขาวหรือประเภท "Whitehat Hacker" ที่ค้นพบข้อบกพร่องนี้ก่อนที่จะรายงานให้ทีมทราบได้ทันท่วงที

ทั้ง Trusted Bridge และ Trustless Bridge ต่างมีจุดอ่อนในด้านโครงสร้างและด้านเทคนิคที่แตกต่างกันและยังไม่มีทางออกที่แก้ปัญหาได้อย่างสมบูรณ์แบบ นอกจากนี้ เนื่องจากมูลค่าและจำนวนผู้ใช้ของอุตสาหกรรม Blockchain หรือ Cryptocurreny มีเพิ่มขึ้นเรื่อยๆ ส่งผลให้แฮ็กเกอร์ยิ่งต้องมีความซับซ้อนหรือวิธีการใหม่มากขึ้น 

ถึงแม้ว่าจะไม่สามารถป้องกันความผิดพลาดได้อย่างสมบูรณ์ แต่สิ่งที่สามารถทำได้เบื้องต้นด้านความปลอดภัยบน Blockchain Bridge อาจเป็นการตรวจสอบ Source Code อย่างเข้มงวดก่อนที่จะนำไปใช้งานจริง ซึ่งเป็นการตรวจสอบเบื้องต้นเพื่อลดข้อบกพร่องที่สำคัญ เพราะหากพลาดเพียงเล็กน้อยหรือมีรหัสที่ผิดพลาดแฮ็กเกอร์ก็สามารถเข้ามาโจมตีได้