Инцидент с unibtc и возможные решения

Исходный источник: DeepSafe Research

23 апреля 2025 года пользователь сети по имени Brain обратился за помощью в Twitter через друга, сообщив, что во время арбитражных операций на Bitcoin Layer 2 цепочке более $100,000 активов в unibtc были заблокированы сотрудниками Bedrock, и вывести их не представляется возможным.

Ситуация с активами unibtc

По словам W, 17 апреля он заметил, что цена unibtc, который выпустил Bedrock на одной из цепочек Bitcoin L2, была аномально высокой и отклонилась от курса BTC. W предположил, что это временное отклонение скоро нивелируется, и увидел хорошую возможность для арбитража. Поэтому он перевел часть BTC на Bitcoin L2, обменял их на unibtc и планировал продать, когда цена вернется к курсу BTC.

В течение 24 часов unibtc действительно вернулся к норме, но когда W попытался продать свои unibtc, он обнаружил, что ликвидный пул unibtc-BTC на цепочке был удален сотрудниками Bedrock, и этот токен остался единственным способом выхода на вторичном рынке для unibtc.

Обращение к Bedrock и последствия

W не смог продать свои unibtc, и поэтому попытался перевести их на другие цепочки. Найдя единственный кросс-цепочный мост (под названием Free), который поддерживает unibtc, он получил сообщение: «Транзакция требует подписи от стороны проекта».

«Мы можем разрешить вам вывести ваш основной капитал, но возможность вывести прибыль от арбитража до сих пор находится на рассмотрении.»

Первоначальный ответ Bedrock не прояснил ситуацию, и активы на сумму около 200,000 U были временно заморожены — их нельзя было ни продать на данной цепочке, ни перевести на другие.

Рынок и примеры злоупотребления

Позиция сотрудников Bedrock оставалась неясной, и они не предоставили четкого ответа о том, когда W сможет вывести свой капитал. Позже Bedrock заявила, что отклонение unibtc произошло из-за того, что кто-то на платформе LayerBank занял значительное количество активов unibtc и сбросил их на рынок.

Подобные случаи, как unibtc, происходят часто. Прекращение выходного пути пользователей наблюдается на крупных биржах, приводя к серьезным последствиям. Инцидент с StableMagnet в 2021 году, когда владелец проекта украл $24 миллионов, также стал громким событием.

Решение от DeepSafe и CRVA

Для предотвращения подобных злоупотреблений важно использовать механизм управления через децентрализованные решения. В дальнейшем DeepSafe Research объяснит подход к проверке сообщений без доверия, который объединяет TEE, ZK и MPC.

В настоящее время наиболее распространенные решения для управления активами используют мультиподпись или MPC/TSS для проверки действительности запроса на передачу активов. Однако, как показывает практика, недостатки такого подхода очевидны — это недостаточная безопасность и склонность к централизации.

Структура и работа CRVA

В рамках решения CRVA от DeepSafe узлы сети получают доступ к активам через залог. Активы, переданные в залог узлами, будут поддерживаться на уровне десятков миллионов долларов. Для повышения эффективности расчетов MPC/TSS CRVA будет случайным образом выбирать узлы с помощью алгоритма лотереи.

«Каждый узел не знает, кто был избран, что предотвращает сговор и существенно повышает стоимость внешних атак.»

Основная идея DeepSafe состоит в том, что почти все важные действия выполняются в аппаратном обеспечении TEE, что делает процесс атаки значительно сложнее.

Заключение и будущее

В заключение, если кросс-цепочный мост unibtc использовал бы решение по самоструктурированию CRVA, было бы невероятно трудно для эмитента активов в одностороннем порядке контролировать общую ситуацию. Рынок все еще нуждается в инновациях для обеспечения безопасного хранения активов.