火星链 火星链
Ctrl+D收藏火星链

AND:跨链桥安全事故频发,还能用吗?

作者:

时间:1900/1/1 0:00:00

作者:隔夜的粥

昨晚,AxieInfinity专属侧链Ronin被曝被盗价值6.24亿美元的加密资产,这也是迄今损失最为惨重的跨链桥安全事故。

令人尴尬的是,这次黑客事件还是在6天前发生的。

那Ronin究竟是如何被盗的呢?作为一条以太坊侧链,Ronin的跨链桥采用的是MPC门限签名技术,其设置的9个验证者密钥中,需要有5个或5个以上的验证者密钥批准才能进行存款和取款交易。

而其中有4个密钥是由同一个人负责管理的,这意味着,只要攻击者控制了SkyMavis的密钥,然后再控制另一个验证者密钥,那么整个Ronin网络的资金就被黑客掌控了。

而目前多数跨链桥项目,均采用了这样的多重签名技术,因此,理论上,这些项目也都可能会遭受类似的攻击。

NFT项目alien frens推特账号被黑并发布虚假空投信息,请当心风险:6月18日消息,NFT项目alien frens推特账号被入侵,黑客发布虚假空投信息以及钓鱼网站,请用户当心风险,勿与之交互。[2023/6/18 21:45:24]

已经出现过的跨链攻击方式

而私钥攻击,仅仅是攻击跨链桥手段的其中一种方式。

例如此前的PolyNetwork黑客事件,黑客并不是通过盗取私钥来完成攻击,而是通过合约权限漏洞?实施了攻击。

再比如前段时间出事的Wormhole跨链桥,攻击者也是利用了跨链桥的合约漏洞,了多重签名人的签名,铸造出了12万WormholeETH,最终将锁定的8万ETH转移到了攻击者自己的钱包。

美媒:摩根大通和PNC是SVB金融集团的潜在收购者之一:金色财经报道,消息人士透露,摩根大通和PNC是正在商谈收购SVB金融集团的潜在收购者之一,该交易将排除目前由美国政府接管的部分。消息人士称,阿波罗管理公司和摩根士丹利也在就收购进行讨论,阿波罗对交易融资或收购部分业务感兴趣。值得注意的是。该公司2022年的10K报告显示,这三个实体,即SVB Private、SVB Capital和SVB Securities,比现在由美国联邦存款保险公司控制的SVB Bank实体小得多。(AXIOS)[2023/3/13 13:00:21]

除此之外,历史上还出现过假币充值、伪造网站等跨链攻击方式,基本上都是围绕私钥与合约漏洞展开的。

LayerZero的安全隐患

以太坊开发者:上海升级将在3月进行:金色财经报道,以太坊核心开发人员表示,他们正在稳步实现在上海推出并在 3 月份之前在网络上实现质押 ETH 提款的目标。

金色财经此前报道,以太坊开发人员发布新开发者网络devnet2,以帮助客户端团队为即将到来的上海升级做准备。[2023/1/14 11:11:38]

下面,我们来谈谈最近比较火的跨链项目LayerZero,以及基于该协议的第一个跨链应用stargate。

截至发稿时,stargate的池子里已经有了价值33.8亿美元的稳定币。

然而,该跨链项目的安全隐患问题同样令人担心。

例如,上周Optimism团队向其发出警告,称有人开始尝试对Stargate进行不寻常的攻击,随后stargate团队向samczsun等白帽黑客发起求助,后来修复了这个严重漏洞。而Stargate的问题不止于此,前几日,Stargate被曝其核心合约都是由一个EOA地址私钥控制的,这意味着如果这个私钥遭到泄露,或者项目方想要作恶,那后果将不堪设想。

Solana前市场营销主管以生态系统总监身份加入新公链Aptos:7月19日消息,Solana前市场营销主管Austin在推特上宣布,自己将于下个月正式加入新公链Aptos,担任生态系统总监一职。

据介绍,Austin在web3的大部分职业生涯都专注于孵化和扩展全球社区和团队。由Diem原团队成员成立的公链Aptos宣布推出2亿美元Aptos生态系统资助计划,预计在9月底左右推出Aptos主网。[2022/7/19 2:21:49]

目前,尽管Stargate已经改成了2/3多重签名机制?,但其依然有可能会遭遇类似RoninNetwork这样的管理密钥攻击风险。

那跨链桥的安全问题那么多,真的就没有希望了吗?

信任最小化的跨链桥

The Sandbox计划将LAND部署到Polygon:6月29日消息,元宇宙项目The Sandbox计划将LAND部署在Polygon上,部署完成后,The Sandbox的每次LAND跨链会返还用户10 mSAND,并将推出LAND销售和LAND质押功能。[2022/6/29 1:38:15]

并非那么绝对,只是说我们仍处于跨链的早期阶段,而通过采用trustless的方式,我们可以降低一些潜在的攻击面,以此提升系统的安全性。

1、依靠欺诈证明的Nomad

例如,Nomad采用的是一种乐观机制来提高跨链通信的安全性,其避免使用新的密码学,并依靠欺诈证明和发布证明?来防止通道失败。

该协议的设计核心是revocation而不是permission,这意味着密钥管理者只能撤销访问,而不能允许访问,换句话说,即便攻击者控制了系统所有的管理密钥,他也无法窃取资金,而他能够做的最糟糕的事就是DoS攻击整个网络。

注:Nomad依然有可能会存在合约漏洞风险。

2、采用轻客户端的IBC、Near彩虹桥等

多年来,采用轻客户端&中继的跨链通信协议被证明是当前最安全的跨链方式,例如Cosmos生态的IBC通信协议,其安全性就来自Tendermint共识的最终性,其设计没有引入需要信任的第三方,握手首先在想要连接的两个链之间启动,然后确认。为了确认交易,一条链的有效性规则直接编码到另一条链上的IBC轻客户端中,并根据这些规则执行状态验证。

然后,轻客户端可以根据交易对手链的最新一致状态验证与交易相关联的区块头的Merkle证明,从而验证ibc交易另一端链的状态。

这种状态验证技术,以及来回传递数据包的中继器运营商的实时网络,确保IBC保持高度安全且无需许可。

然而,采用轻客户端的方式,意味着IBC目前只能局限于其生态之内,而无法有效扩展到以太坊等EVM生态。

除此之外,通过IBC进行跨链,也并非是绝对安全的,正如Vitalik在2个月前撰写的一篇帖子?里提到,当跨链协议连接的区块链越多,问题就会变得越遭,如果有100条区块链通过IBC互相连接,那么这些链之间就会有许多相互依赖的dapp,而51%攻击其中一条链,也会造成系统性传染,从而威胁整个生态系统的经济。

再来回顾一下文章开头的那句话:跨链互操作性的安全性,取决于其最薄弱的链接。这实际上也意味着,Cosmos生态在不解决共享安全的情况下,就很难实现更多长尾链的扩展,而这也是Cosmos在今年的重点。

当然,Vitalik也提到了,这些问题不会立即出现,51%攻击任何一条PoS链,代价都是很大的,但他的提醒,确实是值得我们关注的。

3、信任最小化的rollup跨链桥

再来简单谈谈目前以太坊生态最依赖的rollup跨链桥,相比侧链跨链桥,当前的rollup跨链桥可能看上去并没有什么本质上的不同,两者都会依赖n-of-m联邦信任模型,但rollup跨链桥可以随着发展去掉这个信任模型,而最终的风险点在于智能合约本身,而侧链的跨链桥,当前只能依赖这个联邦信任模型,同时还会面临智能合约风险以及51%攻击风险。

一些简单的建议

跨链的水太深了,几乎每种方案都会面临多种潜在的攻击方式,而系统设计的越是复杂,遭遇攻击的可能性也就越大,因此,笔者并不建议通过现有的跨链桥在各个公链之间转移过多的资产。如果实在有需求,那我会建议采取以下几种方式,以降低遭遇攻击的风险;

通过较安全的中心化交易所,兑换对应链的原生资产,然后将其提取到相应链,以避免可能的智能合约风险。采用信任最小化的跨链桥,例如IBC、Nomad以及成熟的rollup跨链桥。暂时不看TVL指标,这个值越高,跨链桥被黑客攻击的可能性也就越大。采用长期存在,并且从未出过安全事故的跨链桥,同时尽量避免使用不同生态之间的跨链桥。最后,衷心希望跨链桥能够越来越安全。

标签:ANDIBCGATEGAT3X Short Algorand TokenLibcoingate.io官网下载gate.io交易平台合法吗

币安app官方下载最新版热门资讯
LINK:一文读懂Chainlink如何驱动去中心化治理

去中心化的自治组织旨在削弱中心化的权威和控制。DAO由社区共同治理,采用智能合约为组织制定具体的规章制度。简而言之,DAO为社群集体决策提供了一个透明和去中心化的模式.

1900/1/1 0:00:00
WEB:为什么Web3需要隐私计算?

从人类有自我保护意识开始,关于隐私话题的探究就没有停歇过,尤其是在科技高度发达的当下,这种情况愈演愈烈,而在区块链技术发展的盛潮中,项目方又以最大化去中心化和最大化隐私为终极目标.

1900/1/1 0:00:00
ION:NBA推出基于以太坊的NFT向Web3时代迈进

2022年4月20日,NBA推出了有史以来第一组基于以太坊的NFT,共计18000个。每个在NBA季后赛中的球员对应75个NFT。后因铸造漏洞,增发至30000个,每个球员对应125个NFT.

1900/1/1 0:00:00
Flamingo:福布斯:DAO 不是一种时尚,它们是平台

TributeLabs的CEOAaronWright和COOPriyankaDesai在布鲁克林的威廉斯堡,背景彩绘是一个流行的NFT.

1900/1/1 0:00:00
CRYPTO:Framework Ventures撰文畅想:2030 年加密市场会是怎样的?

今日,FrameworkVentures宣布完成募集规模达4亿美元基金「FVIII」,用于投资早期区块链游戏、Web3和DeFi初创公司和网络.

1900/1/1 0:00:00
HER:Inverse Finance被盗1450万美元事件分析

北京时间2022年4月2日19时,CertiK安全技术团队监测到InverseFinance被恶意利用,导致价值约1450万美元的资产受到损失.

1900/1/1 0:00:00