在行业快速步入多链生态后,用户对跨链桥的需求也愈发强烈。然而目前的市场上,各公链的官方桥往往支持的链有限,因此,第三方跨链协议凭借着更广泛的公链支持数量成为了用户跨链的主流选择。与此同时,跨链桥也成了黑客们垂涎的目标。
就在刚刚过去的1月18日,第三方跨链协议Multichain再次遭到黑客攻击,合计损失约600万美元。
由于近期针对跨链桥的安全事件频发,为了帮助读者在使用中避免可能的风险,我们将近期发生的跨链桥安全事件进行了简单的总结。
近一年跨链桥安全事件回顾
2021年6月29日,THORChain遭遇第一次攻击,损失约35万美元。在随后的7月,THORChain又接连遭遇了两次攻击,损失约1600万美元。
2021年7月11日,ChainSwap遭到攻击,官方冻结BSC映射Token地址以过滤掉黑客地址。合作方RAIFinance因ChainSwap合约漏洞被盗超70万枚RAIToken。
2021年7月12日,Anyswap发布公告表示,新推出的V3跨链流动性池在昨日凌晨遭到黑客攻击,总计损失为239万USDC与550万MIM,损失总额超过787万美元
养老金账户平台IRA因黑客事件对Gemini交易所提起诉讼:6月7日消息,养老金账户平台IRA Financial Trust对加密货币交易所Gemini提起诉讼,原因是Gemini没有适当的保护措施来保护客户的加密资产。据此前报道,2月8日IRA Financial Trust称遭到黑客攻击,导致3600万美元的加密货币被盗,这些资产属于Gemini保管的客户退休账户。在IRA通知Gemini后,犯罪分子仍然可以将资金从交易所客户的账户中转移出去。
据悉,自事件曝光以来,两家公司一直在互相指责对方为资金损失负责。IRA基金一直在努力为其受影响的客户寻找解决方案,现在已承诺使用诉讼所得赔偿受事件影响的客户。(watcher.guru)[2022/6/7 4:08:17]
2021年8月10日,PolyNetwork遭受黑客攻击,约6.1亿美元资产被转走。
2021年11月7日,跨链协议Synapse被黑客攻击,约800万美元资产受到影响。
2021年11月23日,Celo官方桥Optics跨链桥多签钱包所有权被未知人士转移,Optics跨链桥暂停使用。
美联邦调查局对推特黑客事件另一策划者实行搜查令:9月1日,美国联邦调查局对推特黑客事件的另一名策划者施行搜查令。调查显示,该16岁少年(因年龄未受指控,目前命名该少年)当时假扮成推特员工或承包商,以用户将登录凭据输入假网站然后获取相关信息,并与事件主要策划者Graham Ivan Clark合作进行了相关袭击。此前消息,7月16日凌晨,拜登、奥巴马等众多名人推特被黑并发布数字货币钓鱼局。此前已有三名涉嫌参与者Mason Sheppard、Nima Fazeli、Graham Clark被起诉。(cointelegraph)[2020/9/2]
2022年1月18日,Multichain再次遭到黑客攻击,合计损失约600万美元。
发生安全事故只是因为运气不好吗?
针对最近Multichain安全事件,@0x_Todd评论认为,对于DeFi应用,只要出过一次安全问题,就会接二连三地出问题。而一个协议如果一直不出问题,那么就一直不会出问题。
推特黑客事件策划者Graham Clark此前曾进行过游戏道具交易:推特黑客事件策划者Graham Clark的朋友向媒体表示,在黑客事件发生前,Clark曾多次进行过游戏道具交易,即声称向其他玩家“出售”Minecraft中的道具,但在收钱后拒不交货。
注:美国司法部上周五宣布,三名涉嫌参与著名社交网站推特(Twitter)账户大规模被盗事件的黑客Mason Sheppard、Nima Fazeli、Graham Clark已被起诉。(Techspot)[2020/8/4]
我们当然知道这句话有一定的调侃意味,并不能真的作为定理去评估项目风险。但是从行业内发生的某些案例来看,那些有过安全事故记录的项目,确实是更容易接二连三不断翻车。比如著名的DeFi保险项目Cover在归零前反复被黑客攻击了多次。做保险的协议自己不保险,Cover协议简直成了黑客的便携提款机。
其实出现这种现象的原因,在于安全事故的发生其实并不是一个偶然事件,其背后反映出了这个应用开发团队在内部发布流程、风控意识等方面或许都存在着严重的问题。
动态 | Augur近日黑客事件已解决 漏洞已修复:据Trustnodes报道,日前,Augur被发现重大漏洞,黑客可向用户发送不正确的市场数据,并用任何其希望的内容替换市场数据,地址和交易。对此,Augur联合创始人Joey Krug对媒体表示,该黑客攻击事件已得到解决,漏洞已修复。[2018/8/9]
事故的发生往往只是内部管理失败的外在表现形式而已。如果不能彻底清除掉内部的风险隐患,而只是头疼医头脚疼医脚地解决表面问题,那么相似的安全事故只会接二连三地不断出现。
然而目前许多加密行业内的创业团队,在工作中并不具备相对严谨的工作态度。他们往往是在仓促解决了眼前的故障后,继续快马扬鞭向前推进项目的开发进度并抢占市场,使得协议内部积累的风险隐患越来越大。
那么,对于普通用户来讲,在跨链已经逐渐变为刚需的今天,如何才能找到一个相对让人放心的跨链桥?
这里我们先对之前@0x_Todd提到的「定理」进行一下修正。首先,目前没有出现安全风险的协议并不等于绝对的安全。但加入这个协议的TVL足够大,并且协议上线运行的时间足够长,那么可以说其安全风险是相对较低的。毕竟对于这样一块「肥肉」来说,其代码一定早已被各类顶级黑客所反复分析过了。
动态 | 韩国多部门提交加密货币交易所黑客事件数据,Upbit否认遭黑客入侵:由于没有采取足够措施防止加密货币交易所遭受黑客攻击,韩国政府饱受批评。据bitcoin.com援引当地媒体周一的报道,韩国科技部,信息通信部,韩国通信委员会(KCC)和国家警察局已向国民议会提交了加密货币交易所黑客事件的数据。国民议会科学和技术信息及通信委员会成员Min Kyung-wook透露,数据显示,共发生了七起黑客攻击事件,导致了1288亿韩元(约合1.15亿美元)的损失。监管机构建议交易所立即采取行动,改善例如缺乏防火墙的信息安全系统,缺乏系统访问控制,以及防范恶意代码的不足。在总计1288亿韩元的损失中,价值1100亿韩元(约合9850万美元)的加密货币从三个加密交易所中被盗,分别为Youbit、Coinrail及Bithumb。这三家交易所即使在收到政府安全检查要求后还是遭到了攻击。同时,加密货币交易所Upbit7月8日发表声明否认其遭到黑客入侵的传闻。[2018/7/11]
此外,如果说对于发生过一次安全事故的协议全部一棒子打死有些过于绝对,那么对于那些已经连续发生两次甚至更多安全事故的协议,还是尽量敬而远之。
最后,我们按照这个标准,对目前市场上TVL已经有一定规模,且对各个公链兼容性比较广泛的第三方跨链桥进行了盘点。
当然,由于多链生态以及跨链桥基本都是近一年中快速发展的结果,因此这些协议所经历的考验或许并不充分。对于下方所列出的没有发生过安全问题的跨链桥,依然建议用户能够在控制好自身风险的前提下谨慎使用。
盘点目前安全记录良好的第三方跨链桥
AllBridge
Allbridge是由APYSwap团队开发的跨链桥,其主要特点是在支持主流EVM兼容链跨链的同时,支持主流的非EVM链跨链。
上线时间:2021年7月
TVL:5.46亿美元
cBridge
cBridge?是目前这几个跨链桥中支持的EVM链最多的跨链桥,基本完整覆盖了市面上能见到的EVM兼容链,现已支持19条链和层的跨链桥接。其总跨链资金已达24亿美金,而其锁仓量也在V2版本推出后出现了快速增长,目前已超过2亿美元的规模。
不同于其他第三方跨链桥只针对资产跨链,cBridge的目标显得更加宏大。除了做好资产跨链以外,cBridge还在近期发布了Celer跨链消息框架,正式进军信息跨链领域,试图成为未来多链生态中跨链互操作的底层基础设施协议。
根据官方文档的描述,未来依托CelerIM构建的新一代多链原生dApp,将会成为未来多链世界的第一批原生跨链应用。可以帮助用户实现在一条链上质押资产,并直接在另一条链上借出资产,或者让用户在一次交易中跨多条链交换资产等功能。
上线时间:2021年2月
TVL:1.95亿美元
HopProtocol
HopProtocol的突出优势是在支持主流EVM链跨链的同时,还支持以太坊上主流Layer2如Arbitrum、Optimism的跨链。目前支持的跨链资产种类包括ETH、USDC、USDT、DAI、MATIC。
上线时间:2021年7月
TVL:1.06亿美元
xPollinate
xPollinate支持的跨链种类同样很丰富,除了主流EVM兼容链以外,还支持Layer2跨层以及波卡生态的EVM兼容平行链的跨链。
上线时间:19年9月
TVL:2668万美元
文章的最后再次提示一下风险,过往没有发生安全事故的项目并不等于绝对的安全。用户在使用跨链工具时,依然有必要保持良好的账户使用习惯。如及时清理授权,或将主要资产保存地址与日常交互地址分开管理等等。毕竟,在个人拥有绝对主权的加密世界中,唯一能为自己负责的其实只有我们自己。?
多年来,ChristianLantz一直在玩STALKER,这是一款以世界末日后的乌克兰为背景的第一人称射击游戏,因其身临其境的角色扮演而大受欢迎.
1900/1/1 0:00:00目前Web3架构主要分为4层,本别为:协议层、基础设施层、用例层、接入层。理解起来也较为简单。下面我们将为每个不同的层进行相关热点项目进行梳理.
1900/1/1 0:00:002021年对于Web3行业来说是关键的一年,它从一个新生社区发展成为一个新兴行业。在过去的一年里,我们见证了人才和资金大规模地流入Web3生态,所以在底层基础设施以及面向消费者的DApp中出现了.
1900/1/1 0:00:00Coinbase风险投资部门从未出售过其投资的任何代币,其由一个独立的团队运作,且对Coinbase平台的上币决策不会产生影响.
1900/1/1 0:00:00DeFi数据1.DeFi代币总市值:1433.85亿美元 DeFi总市值数据来源:Coingecko2.过去24小时去中心化交易所的交易量:52.
1900/1/1 0:00:00当地时间1月18日,微软公司宣布将以687亿美元收购游戏开发和互动娱乐内容发行商动视暴雪公司。微软认为,此次收购将加速微软游戏业务在移动、PC、游戏机和云领域的增长,同时构建元宇宙提供帮助.
1900/1/1 0:00:00