Chain:跨链桥接连出事 用户如何自救？

作者：夫如何

7月7日，价值超1亿美元的代币已从Fantom网络上的Multichain桥上撤出，转移的代币包括价值5800万美元的稳定币USDC、1020枚WBTC（约合3090万美元）、7200枚WETH（约合1370万美元）和400万美元稳定币DAI（上述四种代币价值已超1亿美元），这还包括Chainlink、CurveDAO、YFI、WootradeNetwork等其他代币以及UniDex总供应量的近四分之一。资产似乎也在Multichain的Moonriverbridge上移动，其中包括480万枚USDC和100万枚USDT。Dogechain也出现了异常资金流动，至少66万枚USDC被发送到与Moonriver资金流动相同的钱包。

报告：DeFi领域中约50%的黑客攻击与跨链桥相关:金色财经报道，根据Token Terminal的一份报告，DeFi领域中大约50%的攻击发生在跨链桥上。在过去两年的时间里，黑客利用跨链桥上的漏洞盗取超25亿美元。与其他安全漏洞相比，这个数额是巨大的，比如在此期间的DeFi借贷黑客攻击（7.18亿美元）和去中心化交易所的漏洞（3.62亿美元）。

Immunefi首席执行官和安全专家Mitchell Amador解释说，DeFi领域的一些开发者缺乏必要的知识来保护这种复杂的机制。Amador称：“许多开发者通过简单地复制和粘贴其他项目的代码来启动项目。当其中一个项目有漏洞时，其他项目通常也有这个漏洞。开源智能合约，由于所有人都可以看到和访问，很容易吸引黑客研究它们，发现它们的漏洞，并利用它们。”（Cointelegraph）[2022/10/20 16:31:25]

对此，Multichain发推称：其MPC地址上的锁定资产已异常移动到未知地址。团队不确定发生了什么，目前正在进行调查。建议所有用户暂停使用Multichain服务，并撤销所有与Multichain相关的合约授权。

研究：2022年跨链桥盗窃案金额达10亿美元:金色财经报道，区块链分析和合规公司Elliptic的研究显示，今年“桥梁黑客”盗取的资金已超过10亿美元。跨链桥允许资产在不同的区块链协议之间移动，这意味着网络包含大量加密资产。

Harmony, Sky Mavis和Wormhole今年都遭受了超过1亿美元的区块链漏洞。Polygon的首席信息安全官Mudit Gupta认为，桥梁安全问题是整个行业的问题。（blockworks）[2022/6/29 1:39:37]

Odaily星球日报通过多个渠道了解，有以下几个方面说法：

安全公司派盾质疑：这可能与跨链平台LayerZero增加对四种代币（USDC、USDT、WETH和WBTC）的支持有关，这些代币与被移动的代币有重合但不完全一致。

Wanchain跨链桥WanBridge已集成Fantom:11月18日消息，Wanchain跨链桥WanBridge已集成Fantom，可以实现与FTM等Fantom链上资产的多链互跨，此前Wanchain通过跨链桥WanBridge已跨链集成Ethereum、EOS、XRP、BSC、Polkadot、Litecoin、Moonriver、Avalanche在内的区块链网络。

注：WanBridge跨链桥由25个跨链节点（Storeman）组成，每个节点通过每月的公开竞选产生，整个跨链节点组的密钥控制方式是分布式的，每个节点只掌握一个私钥碎片，通过安全多方计算和门限最优签名完成资产的跨链转账。[2021/11/18 22:01:30]

LayerZeroCEOBryanPellegrino对此回应称：这个问题与该平台无关，并认为这是一次针对Multichain的黑客。Multichain桥用户可能会提取资产，将其带到LayerZero。

YouSwap将于4月10日12时开启ETH/HECO跨链桥兑换:据YouSwap最新消息，平台将于4月10日12:00上线ETH/HECO跨链桥兑换功能，具体时间以官网为准。

去中心化交易所YouSwap于3月26日，正式上线并开启流动性挖矿，第一条公链搭建在以太坊网络上，第二条公链HECO将于4月10日18:00上线。12时左右，YouSwap会率先开启“From ETH to HECO”的跨链桥兑换功能，用户可以通过跨链桥功能实现资产从ETH主网到火币主链HECO的跨链转换。

截至4月10日10时，平台挖矿产出市值总计392627.85（USDT），当前流动性为2097863.21（USDT），YOU 价格报$0.59，涨幅达1180%。[2021/4/10 20:04:51]

Wintermute研究主管IgorIgamberdiev表示，这很可能是控制Multichain的人所为，因为交易发生时，Fantom一侧的资金并没有被销毁。奇怪的是，收到大量USDC的钱包还在几个小时前从旧的BinanceSmartChain（即BNB Chain）桥上进行了交易。

新火科技研究员0xLoki在推特上表示：“Multichain攻击者大概率不是黑客，Multichain或已失去MPC多签控制权。"并列下以下3点阐述：

1. 转移者有充足的时间，考虑到MPC的技术特点，转移者很可能通过某种方式完全取得了超过阈值的私钥分片的控制权。

2. 攻击方式非常简单，就是单纯的转账操作，没有合约，还有测试，攻击者大概率不是黑客。

3. 转移者并未进行进一步的处置和变现，操作人可能没有绝对的决定权。

目前，事件的真相还需官方做出解答，Odaily星球日报查看 DefiLlama上关于Multichain的TVL变化，发现24小时内已经有99.76%的资金撤出，说明用户针对此事件反应相对猛烈。

3444444444444

距离上次PolyNetwork黑客事件还不到一周时间，跨链桥中头部项目Multichain再次发生资金风险问题。当下，跨链桥已经成为黑客攻击等安全事故的重灾区，根据0xScope团队在《跨链桥为什么这么多事故？》中表述，跨链桥资金风险主要体现在三个方面：

1. 充值代币方面：充币合约权限漏洞、假币充值问题、币种适配性问题。

2. 跨链消息转移：充币消息监听和处理发起、充币正确性验证、跨链处理确认。

3. 多重签名验证问题：多重签名的去中心化程度。

在万链互联的大环境下，跨链桥作为互联的关键点，其沉淀巨额资金，并且自身技术复杂、技术环节较多，加上其频繁更新，极易作为黑客攻击的首选，目前出事的项目一定是有漏洞被利用，还没出事的项目也无法保证未来就不会有问题。我们应该如何自救？

1. 当事故出现时，尽快撤销对该跨链桥的合约授权，防止进一步风险蔓延，可以通过所在区块链的浏览器中approvalchecker进行撤销，同时建议大家定期审核清理一些对自身无用的合约授权，黑客常常会通过智能合约中的漏洞来多次提取资产。

2. 有频繁跨链需求的用户需要密切关注跨链桥的相关信息，比如安全公司预警的风险提示，官方预告的升级等，第一时间了解做好应对准备。

作为跨链桥 LP 的参与者，面对此类事件，要积极与项目方沟通，锁定的资产要做好记录，等待事后的解决。

金色财经

企业专栏

阅读更多

金色早8点

Block unicorn

DAOrayaki

曼昆区块链法律

标签：ChainCHAHAIAINfazhanchainFLOKICHAIN币lvchainStar Chain

酷币热门资讯