CHA:DoDo Research：从合约层面解析跨链桥机制设计弱点

近期BNB跨链桥受攻击，导致近$570M损失。这一事件再次把跨链桥的安全性问题推上热议。根据Messari8月的研报数据，过去一年内共有8起跨链桥攻击事件，构成将近$2B美金的资产损失。

Dr.DODO今天通过深度分析PolyNetwork，Multichain及BNB桥事件，从合约层面展示跨链桥机制设计弱点。

首先，让我们简要回顾跨链桥的基本概念，以及设计机制分类。

不同的公链如同孤立的无需许可的计算机，具有不同的共识机制，相互之间无法直接通讯。跨链桥的存在就是为了使信息能够不被篡改地从一个计算机传递到另一个计算机上。

跨链桥的核心是解决一个共识问题：跨链桥如何确定源链上的状态已发生改变，进而在目标链上铸造等量的资产？

不同的跨链桥对这个共识问题有不同解决方案，如采用中心化的桥，委员会，PoS机制，轻客户端等。而不同的解决方案在信息传递的安全性，成本，延迟性上有所取舍。

Cosmos生态MEV基础设施提供商Skip Protocol推出Skip API:7月20日消息，Cosmos生态MEV基础设施提供商Skip Protocol推出Skip API，允许在Cosmos中的任何网络之间进行一键跨链代币兑换和转移，通过集成Skip API，任何钱包、前端或DApp都可以非常轻松地在IBC链之间无缝转移流动性。[2023/7/20 11:06:44]

详细分析可以参考此前文章《跨链漫谈：深度解析16个跨链方案权衡》：

接下来，我们进一步的把跨链流程进行拆解，了解跨链具体涉及到哪些步骤，这样在讨论不同攻击的时候，我们可以更好的理解出错的点在哪里。

跨链流程：

1.当源链用户发起一个状态改变，如一笔交易；此事件将由源链验证者进行验证出块。

2.此时跨链桥去监听此跨链事件，下载并对进行验证、签名。

3.接下来被验证签署后的事件被传输至目标链。

4.由目标链上的验证者进行验证出块。

5.由此，源链上发起的状态改变得以在目标链被执行。

讲述跨链桥机制分类的文章已经很多，我们在此按验证方法把跨链桥分为：

-外部性验证：PoS

-乐观性验证

欧盟官员：欧盟各国政府对严格的加密货币银行资本限制持友好态度:金色财经报道，据一位主导新立法谈判的官员称，欧盟各国政府似乎支持新的银行资本标准，这可能会使无担保的加密货币被视为贷款人持有的风险最大的一种资产。此举可能意味着比特币和以太坊等资产被赋予最大可能的风险权重，作为一套冗长的银行法的一部分，该法最快可能在下周达成。[2023/6/9 21:26:36]

-本地验证：轻客户端

按资产转移方式把跨链桥分为：

-燃烧+铸造

-锁定+铸造

-在源链/目标链部署流动性池

专员：CFTC需要与市场参与者进行更多对话以实现监管现代化:金色财经报道，商品期货交易委员会 (CFTC) 委员 Kristin N. Johnson 周二表示，希望与任何在美国拥有加密货币部门的公司进行对话。Johnson 说，“对我们来说，与在我们市场上注册经营的任何实体的所有者建立关系非常重要。”

Johnson此前曾呼吁国会扩大监管机构审查加密公司收购的权力，她表示 FTX 交易所的失败凸显了在该机构注册的美国子公司的母公司需要提高透明度。Johnson指出 LedgerX 是在母公司倒闭后幸存下来的少数几个之一。2017 年，这家总部位于纽约的公司申请成为一家注册衍生品清算所，这意味着它在该机构的监督下，需要遵守检查和资产负债表验证。[2023/2/1 11:39:55]

PolyNetwork攻击案例分析

简单来说，PolyNetwork的工作机制是作为中间链去接收发送链的区块头，相当于所有它连接的链的轻客户端。

比如，当Ontology上发起一笔交易，区块头会被送到PolyNetwork上。区块头含有stateroothash，当交易与证明到达PolyNetwork，这上面的keepers就可以进行验证。若合法，PolyNetwork会自己发送一个event，目标链的relayer听到后，会转发到目标链的EthCrossChainManager合约上。

惠誉：目前全球的银行规则和资本要求阻碍了加密贷款:金色财经报道，惠誉表示：目前全球的银行规则和资本要求阻碍了加密贷款。加密支付服务公司BCB集团对加密资产采取了更为审慎的新标准，这可能会阻止银行发放由风险较大的加密资产贷款。[2022/12/24 22:04:29]

在了解PolyNetwork工作机制之后，我们来看受攻击的合约。

首先，LockProxy是控制资产的合约。其次，EthCrossChainManager(CCM)的优越性有两点：

1）只有它能调用LockProxy进行unlock或者burn资产。

2）CCM掌管着CrosschainData，合约保存着PolyNetwork的keeper公钥名单。

安全团队：The EgoVerse官方Discord已被入侵:金色财经报道，据CertiK监测，The EgoVerse官方表示其Discord已被入侵，用户不要点击任何链接、铸造或批准任何交易。[2022/9/18 7:03:44]

也就是说，当跨链交易的数据发到CCM之后，合约可以从这个数据中恢复出一些签名的地址。

然后它会拿这些地址和它自己存的keeper名单做对比，看看是不是有2/3的keeper在这些地址里面。如果有，就认为发送过来的数据是合法的。

黑客通过bruteforce撞出了CCM中特定的“SolidityfunctionID”，从而得以调用EthCrossChainData的合约，并把其中存的keeper名单里的公钥匙换成自己的,这样他就可以任意的给CCM发信息，自己去进行签署，从而操作lockproxy。

所以上述攻击出现的问题有两点：

1）任意的用户可以进行的远程调用合约。在这个事件之后，项目方加入了白名单机制，只有指定方可以调用这个非常特别的合约。

2）合约之间的从属关系，导致关键的合约容易被篡改。

Multichain攻击案例分析

Multichain是可实现跨链路由的桥，通过封装资产“anyToken”，Multichain可实现任意资产的任意跨链。首先，当用户把DAI放到池子里，等量的anyDAI就会被铸造出来，然后由网络中的验证人确定这一事件，在B链铸造出等量的anyDAI,然后燃烧掉A链的anyDAI。

受攻击的合约中，关注下图标记的1，2，3行：首先，从anyDAI?这个合约拿到它底层资产合约的地址，即DAI。其次，permit()?使用户通过签名来允许路由器从用户地址中提款。最后，safetransferfrom是一个真正的提款动作。

注：签名了的交易被表示为（v,r,s)

可以看到黑客恶意部署的代币地址，和无效的签名。

回顾8.1中的三行代码，黑客重新部署了anyDAI导致底下OUTPUT的底层资产解析出来是WETH的地址。在此，Multichain在这里的失误就是它应该检验代币地址是不是来自Multichain的代币。

第二个微妙的问题就是permit是erc20的一个扩展协议，但是由于比weth出来的时间晚，所以weth没有支持这个特性。那么如果去调用一个合约的一个不存在的方法，EVM会自动去调用这个合约的fallback方法；然而，fallback方法在这个情况下也没报错，所以，permit功能也被成功执行。

而第三行之所以可以执行，我们可以认定因为Multichain之前请求了WETH无限的花费上线，黑客通过滥用了这个approval把WETH从受害者的账户转出。但值得注意的是很多的协议都会使用，以帮助用户节省gas费用。

BNB桥攻击案例简述

Binance事件的黑客用RangeProof伪造Merkleproof证明某些数据存在Merkletree。

Proof理论上难伪造。

BNB桥涉及数据结构IAVL：可理解为等价于以太坊的Merklepatriciatrie，是一种custommerklizedbalancebinarysearchtree，InnerNode分为Left和Right两个字段。

在这里IAVL的RangeProof存在的重要问题就是它允许Left和Right两个字段可以同时被填充。而当Left与Right都存在的情况下会忽略Right进行RootHash计算。

击者基本上通过将信息粘贴到Right字段中的优势，而这些信息从未得到验证，也从未影响哈希计算，以使验证者相信某些Leaf是Tree的一部分。从而，成功地伪造了MerkleProof。

关于BNB桥攻击中更复杂的合约调用逻辑可以阅读：

https://mp.weixin.qq.com/s/y9jiMKrGThN8J4agFnFpJw

标签：PROCHAHAIChainSway Social Protocol3X Short TomoChain TokenlightchainAuditchain

POL币最新价格热门资讯