Apa Itu Jembatan Lintas Rantai? Mengapa Mereka Terus Diretas?

4 jam yang lalu
11 menit baca
3 tampilan

Blockchain dan Jembatan Lintas Rantai

Blockchain tidak dapat berkomunikasi satu sama lain secara mandiri. Jembatan adalah perangkat lunak yang memindahkan nilai di antara blockchain, dan mereka telah mengalami kerugian lebih besar akibat peretasan dibandingkan dengan jenis infrastruktur kripto lainnya, dengan total kerugian mencapai miliaran dolar akibat beberapa pelanggaran yang sangat merugikan. Artikel ini akan menjelaskan cara kerja jembatan, berbagai model kepercayaan yang mendasarinya, serta mengapa jaringan penghubung kripto juga merupakan titik kegagalan tunggal yang paling berbahaya.

Daftar Isi

Ada ratusan blockchain, dan secara desain, tidak ada satu pun yang dapat melihat yang lainnya. Ethereum tidak memiliki cara asli untuk mengetahui apa yang terjadi di Solana; pemegang Bitcoin tidak dapat langsung menggunakan Bitcoin mereka dalam aplikasi Ethereum. Setiap rantai adalah pulau dengan buku besar sendiri, validator sendiri, dan tanpa jembatan bawaan ke daratan.

Namun, pengguna terus-menerus perlu memindahkan nilai antara pulau-pulau ini untuk mengejar hasil, mengakses aplikasi, atau mencapai biaya yang lebih murah. Kebutuhan ini menciptakan seluruh kategori infrastruktur: jembatan lintas rantai.

Cara Kerja Jembatan

Jembatan adalah perangkat lunak yang memungkinkan aset dan informasi bergerak antara blockchain yang sebaliknya tidak dapat berkomunikasi. Ini adalah pipa penting; tanpa jembatan, likuiditas akan terjebak di rantai tempat ia dimulai, dan dunia multi-rantai yang mendefinisikan kripto saat ini tidak dapat berfungsi. Jembatan kini memindahkan miliaran dolar setiap minggu, dan total nilai yang terkunci mencapai puluhan miliar.

Namun, jembatan juga merupakan bagian infrastruktur yang paling berbahaya dalam kripto. Eksploitasi jembatan telah menghasilkan beberapa pencurian terbesar yang pernah tercatat dalam industri ini, dengan pelanggaran individu mencapai ratusan juta dan kerugian kumulatif kategori ini mencapai miliaran. Desain yang sama yang membuat jembatan berguna, yaitu menahan atau mengendalikan kumpulan besar aset di seluruh rantai, menjadikannya target yang terkonsentrasi. Kesalahan kecil dalam jembatan dapat menguras kekayaan dalam hitungan menit.

Masalah Isolasi dalam Blockchain

Panduan ini menjelaskan bagaimana jembatan bekerja, arsitektur utama yang mereka gunakan, model kepercayaan yang menentukan seberapa aman masing-masing, mengapa mereka terus diretas, dan bagaimana memikirkan risiko jembatan sebelum memindahkan dana Anda sendiri.

Masalah mendasar adalah isolasi. Sebuah blockchain adalah buku besar yang terisolasi di mana validatornya hanya setuju pada keadaan rantai mereka sendiri. Tidak ada yang dalam protokol Ethereum yang dapat secara asli memverifikasi bahwa transaksi terjadi di rantai lain, karena melakukan hal itu akan mengharuskan validator Ethereum untuk juga menjalankan dan mempercayai setiap rantai lainnya, yang tidak mereka lakukan. Setiap jaringan bersifat berdaulat dan buta terhadap yang lainnya.

Sebelum adanya jembatan, satu-satunya cara untuk memindahkan nilai antara rantai adalah melalui bursa terpusat: kirim aset Anda ke bursa di satu rantai, tukar, dan tarik aset yang berbeda di rantai lain. Ini berfungsi tetapi memperkenalkan kembali perantara terpusat yang sebenarnya ingin dikurangi oleh kripto, bersama dengan akun, penyimpanan, dan batas penarikan. Jembatan muncul untuk melakukan pekerjaan yang sama secara lebih langsung, memungkinkan nilai bergerak antara rantai tanpa menyerahkannya kepada bursa di tengah.

Permintaan untuk Jembatan

Pemintaan sangat besar karena ekosistem terfragmentasi secara desain. Rantai yang berbeda mengoptimalkan untuk hal-hal yang berbeda, dan pengguna ingin menggabungkannya: memegang aset yang asli dari satu rantai tetapi menggunakannya dalam aplikasi di rantai lain, berpindah ke jaringan dengan biaya lebih murah, atau menyediakan likuiditas di mana hasilnya tertinggi. Peran penghubung yang dimainkan jembatan adalah mengapa industri kadang-kadang menyebutnya sebagai jaringan yang menghubungkan rantai, dan mengapa volume jembatan mengikuti pertumbuhan keseluruhan aktivitas multi-rantai.

Masalahnya adalah bahwa menghubungkan sistem yang berdaulat dan saling buta adalah hal yang sangat sulit, dan setiap metode untuk melakukannya memperkenalkan asumsi kepercayaan di suatu tempat. Asumsi itulah yang menyebabkan kebocoran uang.

Arsitektur Jembatan

Sebagian besar jembatan bergantung pada trik yang terdengar sederhana: mereka tidak benar-benar mengirim aset dari satu rantai ke rantai lainnya, karena itu tidak mungkin. Sebagai gantinya, mereka mengunci atau menghancurkan aset di rantai sumber dan membuat aset yang sesuai di rantai tujuan.

Tiga arsitektur utama menerapkan ide ini. Model kunci-dan-mint adalah yang paling umum. Ketika Anda menjembatani sebuah aset, jembatan mengunci token asli Anda dalam kontrak pintar di rantai sumber, seperti menaruhnya di brankas, dan mencetak token terbungkus yang setara di rantai tujuan. Token terbungkus itu adalah klaim atas yang asli yang terkunci, dapat ditebus dengan membalikkan proses: bakar token terbungkus di rantai tujuan, dan jembatan membuka kunci yang asli di rantai sumber. Aset yang terkunci berada dalam penguasaan jembatan sepanjang waktu, yang merupakan alasan mengapa jembatan kunci-dan-mint telah menjadi yang paling banyak dieksploitasi: brankas yang menyimpan aset terkunci semua orang adalah target tunggal yang sangat besar.

Model bakar-dan-mint digunakan terutama untuk aset yang penerbitnya mengendalikan pasokan di seluruh rantai, seperti stablecoin tertentu. Alih-alih mengunci aset, jembatan secara permanen membakar aset tersebut di rantai sumber, menghapusnya dari pasokan rantai itu, dan mencetak versi asli yang baru di rantai tujuan. Karena aset tujuan benar-benar asli, bukan klaim terbungkus, ini menghindari masalah kumpulan aset terkunci, tetapi hanya berfungsi ketika satu penerbit memiliki otoritas untuk membakar dan mencetak aset di setiap rantai, itulah sebabnya ini umum untuk stablecoin dan jarang untuk yang lainnya.

Model kumpulan likuiditas mengambil pendekatan yang berbeda. Jembatan mempertahankan kumpulan aset di setiap rantai yang didukung, dan ketika Anda menjembatani, Anda menyetor ke dalam kumpulan di rantai sumber dan menarik yang setara dari kumpulan di rantai tujuan, sering kali dengan solver atau pembuat pasar yang segera menyediakan aset tujuan dan menyelesaikannya nanti. Tidak ada yang terbungkus; Anda cukup bertukar ke dalam inventaris yang sudah ada di sisi lain. Ini bisa lebih cepat dan menghindari risiko token terbungkus, tetapi memerlukan jembatan untuk menjaga inventaris besar di setiap rantai, yang sangat memerlukan modal dan, sekali lagi, menjadi target.

Pengiriman Pesan Melalui Jembatan

Selain memindahkan aset, jembatan modern juga mengirim pesan: data dan instruksi sewenang-wenang yang memungkinkan kontrak pintar di satu rantai memicu tindakan di rantai lain. Transfer token hanyalah pesan yang paling sederhana, yang menyatakan bahwa sejumlah telah terkunci di sini, jadi mintalah di sana. Pesan yang lebih rumit memungkinkan aplikasi di satu rantai bereaksi terhadap peristiwa di rantai lain, yang mendukung peminjaman lintas rantai, tata kelola, dan aplikasi kompleks. Pengiriman pesan umum ini sangat kuat dan memperluas apa yang dapat dilakukan jembatan jauh melampaui transfer sederhana, tetapi setiap kemampuan tambahan adalah area permukaan tambahan untuk sesuatu yang bisa salah.

Model Kepercayaan Jembatan

Pertanyaan penting untuk setiap jembatan adalah siapa yang memverifikasi bahwa peristiwa di rantai sumber benar-benar terjadi sebelum rantai tujuan bertindak berdasarkan itu. Jawabannya adalah model kepercayaan jembatan, dan itu adalah penentu terbesar seberapa aman jembatan tersebut. Ada kerangka kerja yang dikenal yang mengklasifikasikan model-model ini, dan itu memetakan dengan jelas ke spektrum dari yang nyaman tetapi berisiko hingga yang tanpa kepercayaan tetapi mahal.

Model yang dipercaya bergantung pada seperangkat validator eksternal tetap, sering kali diamankan oleh skema multisignature atau multiparty, yang mengawasi rantai sumber dan menyetujui peristiwa untuk rantai tujuan. Ini cepat, murah, dan sederhana, tetapi set validator adalah asumsi kepercayaan: jika cukup banyak kunci tanda tangan mereka dikompromikan, penyerang mengendalikan jembatan. Banyak peretasan jembatan terbesar dalam sejarah adalah kegagalan dari model ini, di mana seorang penyerang mendapatkan kontrol atas cukup banyak kunci validator untuk mengotorisasi penarikan yang curang. Ketika keamanan jembatan bergantung pada segelintir kunci, kunci-kunci itu adalah seluruh permainan.

Model klien-ringan atau bukti-validitas adalah ujung tanpa kepercayaan dari spektrum. Di sini rantai tujuan benar-benar menjalankan klien ringan dari rantai sumber dan memverifikasi secara kriptografis header bloknya, atau menerima bukti validitas, alih-alih mempercayai seperangkat penandatangan. Ini jauh lebih aman karena menghilangkan set validator manusia dan menggantinya dengan matematika, tetapi mahal dalam komputasi dan kompleks untuk dibangun, dan tidak bekerja secara efisien untuk setiap pasangan rantai. Kemajuan dalam bukti nol-pengetahuan, kriptografi yang sama yang bergerak ke pusat pembangunan ulang jangka panjang Ethereum, sedang memperluas model ini ke lebih banyak rantai, tetapi tetap lebih sulit untuk diterapkan daripada mempercayai set penandatangan.

Di antara ekstrem tersebut terdapat model optimis dan hibrida, yang mengasumsikan transaksi valid tetapi memungkinkan jendela tantangan di mana pengamat dapat mengajukan bukti penipuan, mirip dengan bagaimana beberapa sistem penskalaan mengamankan penarikan mereka. Ini memperdagangkan beberapa kecepatan, melalui penundaan tantangan, untuk keamanan yang lebih kuat daripada model yang sepenuhnya dipercaya, tanpa biaya penuh dari klien ringan. Di mana jembatan berada di spektrum ini memberi tahu Anda hampir semua tentang risikonya: semakin banyak ia bergantung pada sekelompok kecil yang dipercaya dan semakin sedikit ia bergantung pada verifikasi kriptografis, semakin banyak ia bergantung pada beberapa pihak tersebut tidak pernah dikompromikan.

Kerugian Jembatan dan Penyebabnya

Jembatan telah kehilangan lebih banyak kepada peretas daripada kategori infrastruktur kripto lainnya, dan alasannya bersifat struktural, bukan kebetulan. Memahami mereka menjelaskan mengapa masalah ini terus berlanjut meskipun telah ada tahun-tahun pelajaran yang menyakitkan.

Alasan pertama adalah konsentrasi nilai. Sebuah jembatan, terutama yang kunci-dan-mint, mengumpulkan kumpulan besar aset terkunci yang mendukung semua token terbungkus yang telah diterbitkannya. Kumpulan itu adalah satu tempat yang sangat menguntungkan, dan tidak seperti kumpulan dompet pengguna yang terdistribusi, mengurasnya sekali mengambil semuanya. Penyerang adalah rasional secara ekonomi, dan mereka cenderung ke mana pun nilai paling banyak berada di balik pertahanan paling sedikit, yang menggambarkan jembatan besar hampir dengan sempurna.

Alasan kedua adalah model kepercayaan yang lemah. Banyak jembatan memilih model yang cepat, murah, dan dipercaya, mengamankan ratusan juta dolar di belakang seperangkat kunci tanda tangan kecil. Pencurian jembatan terbesar yang tercatat pada dasarnya adalah kompromi kunci: seorang penyerang memperoleh kontrol atas cukup banyak kunci validator jembatan, melalui phishing, malware, atau pelanggaran infrastruktur, dan kemudian cukup mengotorisasi penarikan yang dianggap sah oleh jembatan. Tidak ada eksploitasi cerdas dari blockchain yang diperlukan, hanya kontrol atas kunci yang dipercaya oleh jembatan. Sebuah jembatan yang diamankan oleh sembilan kunci di mana lima sudah cukup untuk memindahkan dana adalah, dalam istilah keamanan, sebuah brankas lima kunci.

Alasan ketiga adalah kompleksitas. Jembatan adalah salah satu sistem kontrak pintar yang paling kompleks dalam kripto, mencakup beberapa rantai, format pesan khusus, dan logika verifikasi yang rumit, dan kompleksitas adalah musuh keamanan. Setiap fitur tambahan, setiap rantai yang didukung baru, setiap jenis pesan adalah lebih banyak kode yang dapat mengandung kesalahan halus, dan eksploitasi jembatan telah berulang kali berasal dari bug dalam logika verifikasi yang memungkinkan penyerang memalsukan bukti setoran yang tidak pernah terjadi, menyebabkan jembatan melepaskan dana tanpa alasan. Sistem bukti penipuan dan verifikasi yang seharusnya melindungi jembatan adalah kode kompleks itu sendiri, dan kesalahan di sana adalah bencana karena merusak seluruh model keamanan sekaligus. Sejarah kategori ini berirama dengan pelajaran yang lebih luas bahwa infrastruktur yang terkonsentrasi gagal dengan keras, dinamika yang sama terlihat ketika setiap titik kontrol tunggal menjadi tautan terlemah dalam sistem yang seharusnya sehat.

Kesimpulan dan Rekomendasi

Ketiga kekuatan ini bergabung menjadi persamaan suram: jembatan menahan nilai yang sangat besar, sering kali di belakang model kepercayaan yang lebih tipis daripada nilai yang dijamin, di dalam kode yang cukup kompleks untuk menyembunyikan bug fatal. Itulah mengapa, meskipun industri telah belajar pelajaran yang sulit dan desain yang lebih baru telah meningkat, jembatan tetap menjadi tempat di mana pencurian tunggal terbesar cenderung terjadi.

Untuk membuat risiko menjadi konkret, membantu untuk menjelaskan bagaimana eksploitasi jembatan yang tipikal sebenarnya terjadi, karena pola ini terulang di hampir setiap insiden besar dan mengungkapkan mengapa kerugian begitu total.

Sebagian besar peretasan jembatan yang katastrofik jatuh ke dalam salah satu dari dua bentuk. Yang pertama adalah kompromi kunci. Jembatan model dipercaya mengamankan aset terkuncinya di belakang seperangkat kunci tanda tangan, dan seorang penyerang memperoleh kontrol atas cukup banyak dari kunci tersebut, melalui phishing seorang karyawan, mengkompromikan server, atau mengeksploitasi manajemen kunci yang lemah, untuk mencapai ambang tanda tangan. Setelah penyerang dapat menghasilkan tanda tangan yang valid, jembatan tidak memiliki cara untuk membedakan penarikan curang mereka dari yang sah, karena instruksi yang ditandatangani dengan valid adalah tepat apa yang dirancang untuk dipatuhi oleh jembatan. Penyerang menandatangani penarikan yang menguras kumpulan yang terkunci, dan aset tersebut hilang sebelum siapa pun menyadarinya, karena dari perspektif jembatan tidak ada yang rusak; kunci yang benar mengotorisasi transfer. Beberapa pencurian jembatan terbesar dalam sejarah adalah tepat ini: bukan eksploitasi cerdas dari blockchain, tetapi pencurian kunci yang dipercaya oleh jembatan, mengubah model keamanan jembatan menjadi alat penyerang.

Bentuk kedua adalah bug verifikasi. Sebuah jembatan harus memverifikasi bahwa setoran benar-benar terjadi di rantai sumber sebelum melepaskan dana di rantai tujuan, dan logika verifikasi ini adalah kode yang kompleks. Jika mengandung kesalahan, seorang penyerang dapat membuat bukti palsu dari setoran yang tidak pernah terjadi, mengajukannya ke jembatan, dan jembatan, yang percaya pada palsu tersebut, melepaskan aset nyata tanpa alasan. Penyerang tidak menyetor apa pun dan menarik kekayaan, karena kode yang seharusnya memeriksa setoran menerima pemalsuan. Bug-bug ini adalah bencana tepat karena mereka menyerang mekanisme kepercayaan inti jembatan: setelah seorang penyerang dapat memalsukan bukti yang diandalkan oleh jembatan, mereka dapat mencetak atau menarik nilai sewenang-wenang sampai seseorang menghentikan jembatan, yang dalam eksploitasi yang bergerak cepat bisa jauh terlalu terlambat.

Kedua bentuk tersebut memiliki fitur yang mendefinisikan yang menjelaskan mengapa pemulihan sangat jarang: pencurian tampak sah bagi jembatan pada saat itu terjadi. Penarikan kompromi kunci membawa tanda tangan yang valid; penarikan bug verifikasi membawa bukti yang diterima. Keduanya tidak memicu alarm di dalam sistem, karena keduanya mengeksploitasi sistem yang melakukan persis apa yang dirancang untuk dilakukan, hanya dengan input yang curang. Pada saat ketidaksesuaian muncul, biasanya ketika aset yang terkunci tidak lagi mendukung token terbungkus yang beredar, dana telah berpindah melalui mixer dan di seluruh rantai lainnya. Token terbungkus yang ditinggalkan menjadi klaim atas brankas kosong, dan pemegangnya, yang tidak melakukan kesalahan, menyerap kerugian. Inilah mekanisme di mana satu kesalahan dalam satu jembatan diterjemahkan menjadi ratusan juta yang hilang, dan mengapa keamanan jembatan layak mendapatkan lebih banyak perhatian daripada hampir keputusan lainnya dalam transaksi multi-rantai.

Jembatan diperlukan dan, jika digunakan dengan hati-hati, wajar untuk diandalkan, tetapi profil risikonya layak dihormati. Beberapa prinsip membantu Anda mengevaluasi jembatan mana pun sebelum mempercayakannya dengan dana.

  1. Utamakan model kepercayaan yang lebih kuat. Jembatan yang diamankan oleh verifikasi kriptografis, klien ringan atau bukti validitas, atau oleh koneksi kanonik ke rantai dasar, secara struktural lebih aman daripada yang diamankan oleh seperangkat penandatangan eksternal yang kecil. Di mana jembatan mendokumentasikan model kepercayaannya, bacalah; perbedaan antara mempercayai matematika dan mempercayai segelintir kunci adalah perbedaan antara jembatan yang paling aman dan paling berisiko yang ada. Kerangka kerja independen yang memberi skor jembatan berdasarkan asumsi kepercayaan mereka ada tepat karena perbedaan ini sulit untuk dinilai sendiri oleh pengguna.
  2. Utamakan rekam jejak dan audit. Jembatan dengan sejarah operasional yang panjang bebas dari eksploitasi, beberapa audit keamanan independen, program bug bounty yang aktif, dan proses peningkatan yang transparan dan terkunci waktu telah mendapatkan lebih banyak kepercayaan daripada yang baru dan tidak diaudit, betapapun menarik hasilnya. Jembatan bukan tempat untuk mengejar opsi terbaru dengan hasil tertinggi, karena kerugian dari kegagalan jembatan adalah kehilangan total dana yang sedang dalam perjalanan.
  3. Minimalkan waktu dan ukuran yang berisiko. Menjembatani adalah yang paling berisiko saat nilai Anda berada dalam penguasaan jembatan atau dalam perjalanan. Memindahkan jumlah yang lebih kecil, menghindari meninggalkan saldo besar dalam token terbungkus lebih lama dari yang diperlukan, dan menggunakan agregator yang mengarahkan melalui jalur teraman yang tersedia semuanya mengurangi eksposur, sambil memperhatikan slippage yang dapat terjadi pada pertukaran lintas rantai yang besar. Untuk transfer yang sangat besar, membaginya atau menerima keamanan yang lebih lambat dari jembatan kanonik bisa sepadan dengan ketidaknyamanan.
  4. Pahami apa yang Anda pegang setelah Anda menjembatani. Token terbungkus adalah klaim atas aset yang terkunci dalam jembatan, dan nilainya hanya sekuat jembatan itu. Jika jembatan dieksploitasi dan aset yang terkuncinya dikuras, token terbungkus yang diterbitkannya dapat menjadi klaim yang tidak berharga atas brankas kosong, meskipun aset asli Anda hilang. Aset asli yang diperoleh melalui model bakar-dan-mint atau kumpulan likuiditas menghindari risiko spesifik ini, yang merupakan salah satu alasan mengapa model tersebut sering dipilih jika tersedia, terutama untuk stablecoin yang mendominasi penyelesaian lintas rantai.

Ringkasan yang jujur adalah bahwa jembatan tidak dapat dihindari dan tidak sempurna. Mereka menyelesaikan masalah nyata dan tak terhindarkan, menghubungkan rantai berdaulat yang tidak dapat saling melihat, dan tidak ada cara untuk melakukannya tanpa memperkenalkan asumsi kepercayaan di suatu tempat. Jembatan yang paling aman mendorong asumsi itu menuju kriptografi dan menjauh dari kelompok kecil kunci; yang paling berbahaya melakukan sebaliknya dan menjaga nilai yang sangat besar dengan kepercayaan yang tipis. Mengetahui jenis mana yang Anda gunakan, dan memperlakukan penyeberangan sebagai momen paling berisiko dalam transaksi multi-rantai mana pun, adalah apa yang memisahkan penggunaan yang terinformasi dari jenis kepercayaan buta yang telah, berulang kali, mendanai pencurian terbesar dalam industri ini.

Penting untuk mengakhiri dengan arah teknologi ini, karena gambaran tidak statis. Industri telah menyerap pelajaran dari kegagalan jembatan terburuknya, dan desain yang lebih baru semakin mendukung model kepercayaan yang lebih kuat: transfer bakar-dan-mint untuk aset yang penerbitnya dapat mendukungnya, klien ringan kriptografis dan bukti validitas di mana pasangan rantai memungkinkan, dan sistem berbasis niat di mana pihak independen menyediakan likuiditas dan mengambil risiko daripada mengumpulkan aset semua orang dalam satu tempat yang sangat menguntungkan. Kerangka risiko independen sekarang memberi skor jembatan berdasarkan asumsi kepercayaan yang dulunya tidak terlihat oleh pengguna biasa, membuatnya lebih mudah untuk membedakan jembatan yang aman dari yang berbahaya sebelum menginvestasikan dana. Semua ini tidak menghilangkan ketegangan mendasar bahwa menghubungkan sistem yang buta dan berdaulat memerlukan kepercayaan pada sesuatu, tetapi itu mengalihkan kepercayaan menuju matematika dan menjauh dari kelompok kecil pemegang kunci yang menyumbang kerugian terbesar dalam sejarah. Jembatan di tahun-tahun mendatang akan lebih aman daripada yang telah membocorkan miliaran, bukan karena masalahnya menjadi lebih mudah, tetapi karena industri telah membayar pelajaran itu sepenuhnya dan akhirnya membangun seolah-olah ia mengingatnya.