Che cos’è un Blockchain Bridge?
Con il termine blockchain bridge si indica un servizio che connette due piattaforme blockchain differenti e rende possibili delle interazioni tra di loro, colmando uno dei limiti più grandi di questa tecnologia: l’assenza di interoperabilità.
I Crypto Bridge o Bridges sono responsabili della nostra capacità di interconnettere le diverse blockchain che esistono ed essere in grado di interagire tra loro, diversificando e aumentando così l’usabilità, la portata delle criptovalute e gli ecosistemi che si costruiscono attorno ad esse.
Per fare un rapido esempio, chi possiede dei Bitcoin ma desidera partecipare ad attività di finanza decentralizzata su Ethereum, può sfruttare uno di questi “ponti virtuali”, senza vendere la criptovaluta.
Che cosa succede, di preciso, a token disponibili solo su una blockchain che siano “trasferiti” su altra piattaforma tramite un bridge?
Un altro esempio può aiutare a chiarire questo aspetto.
Supponiamo di usare un blockchain bridge per inviare un Solana (SOL) verso un wallet di Ethereum.
La criptovaluta che raggiunge il portafoglio non è quella originale, ma una sua versione “wrapped”, ossia convertita in un token compatibile con la blockchain di destinazione. Nel caso dell’esempio in questione, il Solana diventerebbe un generico token ERC-20, in grado di operare sulla blockchain di Ethereum.
I ponti crittografici possono essere di due tipi:
- Centralizzato
Un bridge centralizzato è quello la cui gestione spetta a un’entità centralizzata che prende e rilascia token tra le catene supportate da tale entità. Fondamentalmente, funziona come uno scambio, solo che invece di scambiare coppie, prende semplicemente un token e ti invia lo stesso token sulla rete di destinazione di tua scelta. Un esempio di questo tipo di ponte è OKex Bridge. - Decentralizzato
Un ponte decentralizzato è completamente controllato da contratti intelligenti e in cui il controllo dei fondi non spetta a nessuna entità centrale.
Un esempio di questo tipo di bridge è Multichain.
La differenza principale tra le due tipologie risiede nell’identità di chi controlla i token utilizzati per creare le risorse trasferite tramite il ponte.
Per esempio tutti i Wrapped Bitcoin (WBTC) sono custoditi dalla società fiduciaria BitGo. Il blockchain bridge in questione è dunque centralizzato.
I ponti decentralizzati, invece, sono controllati del tutto dai contratti intelligenti (smart contract).
In questo caso il controllo dei fondi non è affidato ad alcuna entità centrale.
Degli esempi di questa tipologia di blockchain bridge sono Wormhole e Multichain.
I Crypto Bridge o Bridge sono vitali nel contesto attuale e futuro delle criptovalute.
Grazie a ciò, possiamo inviare e ricevere valore tra diverse blockchain senza problemi, il che rende l’uso di questa tecnologia più flessibile.
Tra le principali funzioni dei ponti possiamo citare:
- Abilita l’interoperabilità tra le catene.
In questo modo, gli utenti di Ethereum possono prendere i loro token e inviarli ad altre catene come BSC, senza passare attraverso uno scambio. - Consente agli utenti di passare tra Layer1 e Layer2.
Ad esempio, gli utenti di Ethereum possono prendere i loro token e portarli da Layer1 (la rete Ethereum) a reti Layer2 come Polygon, Arbitrum, xDai, tra gli altri. - Aiuta a ridurre al minimo i costi operativi, poiché consente all’utente di cercare reti con commissioni migliori per svolgere le proprie operazioni.
- Attrae valore da altre reti verso reti con migliori opportunità.
Un buon esempio di ciò è il passaggio di valore da BTC a Ethereum durante l’inverno delle criptovalute. Il movimento era motivato a sfruttare l’ecosistema nascente DeFi e generare profitti nei momenti in cui BTC deteneva un valore basso.
Alcuni blockchain bridge sono unidirezionali e permettono di trasferire delle risorse da una blockchain all’altra, senza poterle però riportare indietro.
Per esempio, Wrapped Bitcoin permette di inviare bitcoin verso la blockchain di Ethereum (convertendoli in ERC-20 stablecoin), ma non di inviare Ether sulla blockchain di Bitcoin.
Altri “ponti” come Wormhole e Multichain sono bidirezionali e consentono di trasferire risorse da e verso una o più blockchain.
Trasferire delle risorse da una blockchain all’altra può portare con sé numerosi benefici.
Per esempio, alcune blockchain sono più economiche e veloci di quella nativa di una certa criptovaluta.
È questo il caso di Ethereum, dove le commissioni elevate e la lentezza generale possono mettere in difficoltà chi muove i primi passi nel mondo della finanza decentralizzata.
Portare le proprie risorse su una blockchain più rapida, come Arbitrum o Polygon può consentire di scambiare dei token ERC-20 per una frazione del costo originale, senza alcun compromesso.
Altri investitori, invece, potrebbero sfruttare i ponti per sfruttare dei mercati esistenti solo su una blockchain differente da quella che utilizzano di solito.
Per fare un esempio, il protocollo di finanza decentralizzata Orca è disponibile solo su Solana, ma supporta anche una versione “wrapped” di ETH.
Con il passare del tempo, i blockchain bridge stanno diventando più semplici da utilizzare.
Molti protocolli di finanza decentralizzata li integrano al loro interno, così da consentire agli utenti di scambiare i token senza dover lasciare la piattaforma.
Ciò rende il processo di conversione delle criptovalute tramite i ponti meno scomodo.
Pur essendo molto utili, i blockchain bridge possono nascondere delle insidie.
Su alcuni dei ponti decentralizzati più recenti, per esempio, sono stati condotti pochi test atti ad accertarne la sicurezza. Anche quelli in circolazione da più tempo tendono a presentare delle falle che possono essere sfruttate, com’è successo negli scorsi mesi a Wormhole e Qubit.
Nel caso dei blockchain bridge centralizzati i rischi sono differenti e legati soprattutto all’eventuale corruzione o negligenza delle persone che lavorano per la compagnia che controlla i token.
Può anche capitare che una terza parte, come il governo di un Paese, congeli le risorse detenute della società.
FOCUS: Sequenza di funzionamento di un bridge crittografico
Un bridge può essere visto come un semplice scambiatore di informazioni tra blockchain.
In altre parole, la funzione principale di un bridge è quella di consentire lo scambio bidirezionale di informazioni tra blockchain A e blockchain B, attraverso un protocollo che permetta questa connessione.
Possiamo riassumere lo scambio di informazioni in quattro passaggi:
- Il ponte si trova tra la catena A e B, creando la struttura di base per il suo funzionamento.
- Se vuoi spendere un token Da A > B, vai al bridge, indica il numero di token che vuoi scambiare in A e fornisci l’indirizzo di destinazione in B.
- Effettui la spedizione in A e il ponte blocca questo saldo in un caveau, quindi in B viene coniata l’esatta quantità di gettoni e inviata all’indirizzo in B che hai fornito.
- I token in A sono bloccati come garanzia per i token in B e puoi recuperarli solo eseguendo il processo inverso.
Facciamo un esempio più pratico per approfondire il funzionamento di questi ponti.
Immaginiamo di voler passare 1.000 token USDT dalla rete Ethereum alla rete Polygon.
Direttamente, nonostante il fatto che gli indirizzi di Ethereum y Poligono siano identici, la realtà è che le loro reti blockchain sono diverse, quindi non si può trasferire il valore direttamente tra le due blockchain.
Per fare ciò, devi utilizzare un bridge e si occuperà di completare quel processo.
Poiché Etheruem e Polygon pur avendo storie e protocolli di consenso diversi, sono identici a livello di programmazione (sono basati su EVM, usano Solidity, hanno lo stesso modello di indirizzo) creare un bridge è abbastanza semplice.
Per fare ciò, il bridge crea una serie di SC “contratti” (in Ethereum e Polygon) che consentiranno a entrambe le reti di comunicare con un linguaggio comune attraverso un oracolo blockchain.
Il compito dell’oracolo è fornire a quei SC “contratti” informazioni precise su ciò che sta accadendo sull’altra blockchain e viceversa. In questo modo viene creato il canale di comunicazione bidirezionale tra Ethereum e Polygon.
Ora, per inviare quell’ETH USDT a Polygon, dovremo interagire con il bridge sul lato ETH.
Il bridge chiederà in sostanza due cose:
- Un indirizzo di ricezione per la rete Polygon.
- Che invii i 1.000 USDT che hai in ETH a un caveau (anche in ETH) che sarà controllato da uno smart contract del bridge.
Questo passaggio è generalmente trasparente per l’utente.
Completando questi due passaggi e presentandosi sul lato ETH, il ponte inizia il suo lavoro.
La prima cosa che succede è che l’oracolo rileva la spedizione in ETH e la segnala allo smart contract sul lato Polygon. Con questo rapporto-comunicazione, la quantità di token inviata “si dirige” verso l’indirizzo di destinazione (quello che fornito).
Una volta che lo scambio di ETH è completo, l’oracolo lo segnala e gli smart contract sul lato Polygon iniziano a generare 1.000 USDT e lo inviano all’indirizzo fornito.
I token generati dal lato Poligono sono gli stessi USDT, lo stesso importo e con lo stesso valore.
A tutela dello scambio viene creato un caveau che costituisce appunto la garanzia del valore dei nuovi token che risulteranno bloccati fino al momento in cui si farà l’operazione inversa (trasferisci quell’USDT da Polygon a ETH).
Il blocco impedisce la generazione di token dal nulla, mantenendo la sicurezza e la stabilità economica tra le catene e il ponte. Quando eseguiamo il processo opposto per recuperare USDT in ETH, il bridge prende USDT dal lato Poligono, “li brucia” e, ciò consente che il corrispondente USDT sia consegnato dal lato Ethereum.
Con ciò, il lavoro del ponte tra ETH e Polygon è terminato.
Ponti crittografici e “fiumi” di in-sicurezza: i casi Nomad, Wormhole e Harmony
L’utilità dei ponti crittografici emerge chiarissima dalla ricostruzione sopra presentata ma il suo impiego è o potrebbe certamente essere minato da problemi relativi alla sicurezza informatica.
Un esempio di queste problematiche è costituito dagli eventi che hanno coinvolto la società americana Nomad che ha subito nel recente passato – estate 2022 – un furto di circa 190 milioni di dollari.
La piattaforma fornisce un protocollo di messaggistica cross-chain con cui gli utenti possono inviare e ricevere token tra diverse blockchain tramite il bridge.
L’attacco hacker avrebbe colpito esattamente questo “ponte”, lo strumento che permette il trasferimento dei token.
Nomad ha indicato in un tweet di essere “a conoscenza dell’incidente” e che sta al momento investigando e collaborando con le forze dell’ordine per capire quali account siano stati coinvolti e come recuperare il denaro, ma non ha fornito cifre ufficiali sull’ammontare del furto.
PeckShield, società di analytics del mondo crypto, ha riferito all’agenzia Reuters che sarebbero state sottratte valute digitali per un valore corrispondente a 190 milioni tra ether e stablecoin Usdc.
Si tratterebbe del valore totale bloccato che Nomad deteneva prima dell’incidente di sicurezza.
I fondi sarebbero stati prosciugati nel giro di poche ore.
I bridge solitamente sono costruiti in modo da “sigillare” i token in uno smart contract su una blockchain e poi ri-emetterli in forma “wrapped” (ancorati al valore di un altro asset) su un’altra blockchain.
Se lo smart contract su cui i token sono stati inizialmente depositati viene hackerato, i token “wrapped” non hanno alcun asset cui ancorarsi e perdono il loro valore, spiega Coin Desk.
Una delle ipotesi più accreditate del verificarsi del furto potrebbe essere rinvenuta nel recente aggiornamento in uno degli smart contract di Nomad che potrebbe aver reso più facile “manipolare” le transazioni.
Al contrario di altri attacchi ai bridge, di solito perpetrati da un solo responsabile, l’exploit di sicurezza contro Nomad si è svolto come azione collettiva di “copia-e-incolla”, spiegano gli esperti: una volta scoperta una transazione fraudolenta che funzionava, è bastato sostituire l’indirizzo del legittimo proprietario dei token con il proprio e ripetere la sottrazione dei fondi.
Si tratta di un meccanismo che ha già suscitato allarme per la sua semplicità di accesso;
non a caso i bridge della blockchain sono in misura crescente il bersaglio degli attacchi di sicurezza.
Finora nel 2022 sono stati sottratti oltre 1 miliardo di dollari di token dai bridge, secondo la società londinese di blockchain analytics, Elliptic.
Ad aprile gli hacker hanno sottratto circa 615 milioni di criptovalute da Ronin Bridge, piattaforma usata per trasferire criptovalute dentro e fuori dal gioco Axie Infinity.
Si tratta del più grande attacco della finanza decentralizzata finora mai condotto.
Tra i “colpi” maggiori ci sono anche quello contro Wormhole bridge, da cui sono stati sottratti più di 300 milioni di dollari, e quello contro Harmony, che ha svelato di aver subito un furto di token del valore di circa 100 milioni di dollari dal suo prodotto Horizon bridge.
Nella primavera 2022 la società che gestisce la piattaforma finanziaria decentralizzata Wormhole ha comunicato di aver individuato un’anomalia, citando in modo specifico un potenziale exploit e l’esigenza di mettere offline il servizio per consentire un intervento tecnico.
Dopo aver condotto un’analisi dell’accaduto, il team ha comunicato di aver ripristinato il normale funzionamento dell’infrastruttura e tutti i fondi gestiti.
Stando alla ricostruzione fornita dagli analisti di Elliptic (attraverso le pagine di Reuters), gli autori dell’attacco sarebbero stati in grado di creare token ETH in modo fraudolento, oltre 94.000 dei quali immediatamente trasferiti alla blockchain Ethereum. Una volta scoperto l’accaduto, Wormhole avrebbe offerto un compenso pari a 10 milioni di dollari agli esecutori dell’azione in caso di restituzione dei fondi. Non è dato a sapere se la proposta sia stata accolta o meno.
Il bridge della blockchain Harmony, connesso a Bitcoin, Ethereum e BNB Chain, è stato hackerato nell’estate 2022 ed ha visto la sottrazione di 100 milioni di dollari in criptovalute.
In passato, la community aveva già espresso preoccupazione per due delle quattro multisig utilizzate per proteggere il bridge.
In poco meno di 20 minuti sono state effettuate 11 diverse transazioni sul bridge, prelevando svariati token.
Dopodiché l’hacker ha iniziato ad inviare tali token su un wallet differente, così da poterli scambiare per ETH sull’exchange decentralizzato Uniswap.
Infine, ha inviato tali ETH sul wallet originale.
Frax (FRAX), Wrapped Ether (WETH), Aave (AAVE), Sushi (SUSHI), Frax Share (FXS), AAG (AAG), Binance USD (BUSD), Dai (DAI), Tether (USDT), Wrapped BTC (WBTC), e USD Coin (USDC) sono stati rubati dal bridge tramite questo exploit.
L’Horizon Bridge consente i trasferimenti di token tra Harmony e la rete Ethereum, Binance Chain e Bitcoin.
La sicurezza del wallet multisig di Horizon su Ethereum come detto era già stata messa in discussione in passato, dato che attualmente sono sufficienti solo due dei quattro firmatari per drenare i fondi.
Ape Dev, fondatore del fondo di rischio incentrato sulle criptovalute Chainstride Capital, aveva già messo in guardia la community oltre due mesi fa:
“Attualmente la sicurezza del bridge si basa su un wallet multisig, 0x715CdDa5e9Ad30A0cEd14940F9997EE611496De6.
Ha quattro proprietari, soltanto due dei quali sono tenuti a dare il proprio consenso per eseguire una transazione arbitraria.”
Anche Vitalik Buterin aveva discusso, a gennaio 2022, delle vulnerabilità dei bridge: in una discussione su Reddit aveva spiegato che, quando un bridge viene hackerato, minaccia la liquidità di tutte le chain connesse. Ha inoltre aggiunto che un elevato numero di bridge attivi incrementa il rischio di attacchi del 51%.
Stiamo assistendo ad un incremento degli exploit ai danni di svariati bridge quali Meter, Ronin Bridge di Axie Inifinity e come detto di Wormhole Bridge, con un ammontare totale del furto stimabile in circa un miliardo di dollari.
