宁推网-元宇宙资讯

近期跨链桥攻击的时间线和历史

区块链生态系统不仅仅是通信和存储协议。每条链都有值得保护的历史、文化和社区。例如,一些社区更专注于最大化原始计算能力或存储容量。其他人正在努力创造替代当前法定货币的“稳健货币”。

随着区块链领域的不断发展,区块链的未来是多链的,这一点变得更加明显。不要与“多链”或跨链路由器混淆,多链未来是一个生态系统,我们有多个区块链蓬勃发展,同时彼此可互操作。

就目前而言,全球有 1,000 多个第一层 (L1) 和第二层 (L2)区块链,更多的参与者承诺在未来几年推出新的区块链。最近,BNB 链、Avalanche 和 Fantom 等网络在去中心化金融(DeFi)活动中变得丰富起来。

显然,对于在多链生态系统中的各种不同区块链之间转移资产的简单方法的需求比以往任何时候都更加重要。这就是跨链桥的用武之地。通过允许不同的区块链进行交互,跨链桥能够将价值从一个网络转移到另一个网络。在这方面,桥梁已经成为 Web3 的基本特征,尤其是在 DeFi 中。

根据DeFi Llama的数据,2022 年 1 月所有基于 DeFi 的应用程序的锁定总价值 (TVL) 估计为 2000 亿美元,而 2021 年 1 月为 200 亿美元。这意味着 TVL 在一年内增长了十倍。这些基于 DeFi 的应用程序中锁定和桥接的价值数量吸引了黑客的注意,最新趋势显示跨链桥接攻击有所增加。

根据 Rekt 数据库,仅在 2022 年第一季度,就有超过 12 亿美元的加密货币资产被盗。据同一消息来源称,这占历史上被盗加密货币资产的 36%。同样,区块链分析公司 Chainalysis 估计,到 2022 年,价值高达 20 亿美元的加密货币从跨链桥中被盗。

由于最近与跨链桥相关的黑客攻击,人们越来越担心它们在 Web3 中的广泛使用。由于对这些桥梁的黑客攻击使用户损失了数百万美元,因此它们的功能值得分析。

跨链桥与安全的关系

与传统网桥类似,跨链网桥是允许两个不同网络互操作的协议,允许资产和信息从一条链移动到另一条链。借助桥梁,加密货币和不可替代代币 (NFT) 不一定需要孤立在其原生区块链生态系统中。相反,资产可以在不同的区块链生态系统之间“架起”桥梁,从而增加它们在不同网络上使用的选项。

例如,一座桥可以让你在基于智能合约的平台(如以太坊或 Avalanche)中使用比特币(BTC)来实现 DeFi 目的。

要跨异构链桥接资产,你需要在源链和目标链上部署智能合约。今天的大多数桥梁都依赖于简单的“锁定和铸造”机制,其中资产被锁定在源链中的智能合约中,然后作为盘点版本或目标链上的中间代币铸造。

例如,假设你有 10 个 BTC,但需要参与基于 DeFi 的计划,例如在以太坊上进行质押。你需要将 10 BTC 存入比特币网络上的网桥地址。一旦有证据表明你已存入,即在比特币网络上锁定了 10 个 BTC,桥接协议就会继续在以太坊链上铸造 10 个盘点的比特币 (wBTC)。

由于新铸造的代币,即 wBTC,与以太坊链兼容,你可以在该平台上随心所欲地使用它们。但是,你需要在以太坊网络上销毁 wBTC 才能提取锁定的 BTC。一旦 wBTC 被烧毁,桥就会解锁你之前存入的比特币,并将它们发送到你的钱包地址。

从安全的角度来看,我们可以将网桥分为两大类:可信和不可信。顾名思义,受信任的网桥是依赖受信任的第三方来验证源链和目标链之间的交易的协议。更重要的是,这些桥梁充当了桥接资产的保管人。此类桥的示例包括 币安Bridge、Harmony Bridge 和 WBTC Bridge。

由于用户必须信任中心化的托管人,因此受信任的桥梁否定了去中心化的安全优势。到目前为止,智能合约桥上的锁定代币矿池对任何攻击者来说都是一个蜜罐。当受到损害时,目标链上无支持的中间代币的价值就会丢失。

另一方面,无需信任的桥梁是仅依靠智能合约和算法来托管资产的协议。因为它们不需要受信任的中介来保管资产,所以它们被认为比受信任的桥梁更安全。Polkadot 的 Snowbridge、Celer 和 Cosmos IBC 是一些无需信任的桥梁的例子。

尽管去信任的桥梁消除了与中心化相关的风险,但错误和其他编程限制存在黑客可以轻松利用来攻击协议的风险情况。例如,几乎每个开发人员都使用一些第三方开源库来构建他们的 dApp,数百万人与其他开发人员共享他们的工具,并利用现有模块来加速代码开发。但是,使用某人的库意味着信任该代码背后的开发人员。

任何恶意黑客都可以破坏这些第三方库,并在桥的智能合约中插入恶意负载。一旦源代码被泄露,攻击者就可以发起攻击。

此外,黑客作为用户的攻击越来越复杂,加密货币资产的价值不断增加。例如,Web3 越来越多地采用网络钓鱼和社会工程等传统网络安全攻击来针对中心化和去中心化协议。

2022 年主要桥梁开采

桥接攻击越来越严重,看不到解决方案。以下是我们在 2022 年目睹的 6 大桥梁黑客攻击:

1. Ronin Network:亏损——6.2亿美元

Ronin 网络是一个与以太坊相关的侧链,专为 Axie Infinity 等区块链游戏而设计。2022 年 3 月,该平台于 2022 年 3 月被骗取超过 6.2 亿美元的 ETH 和 USDC。黑客利用被黑的私钥在两笔交易中从 Ronin 桥智能合约中进行欺诈性提款。

攻击者使用被黑的私钥在两笔交易中从 Ronin 桥接合约中进行欺诈性提款。这次攻击发生在 3 月 23 日,一周后才被发现,当时其中一名用户未能提取 5,000 ETH。Ronin 攻击被认为是历史上最大的 DeFi 黑客攻击之一,并且在 2022 年仍然是最大的一次。

2. BSC Bridge:损失——5.68亿美元

2022 年 10 月 7 日,作为促进 BNB 信标链 (BEP2) 和币安智能链 (BEP 20) 之间资产转移的跨链枢纽的 BNB 桥被黑客入侵,损失超过 5.68 亿美元。黑客于 10 月 6 日从 BSC 地址欺诈性地发行了 200 万个 BNB,价值约 5.68 亿美元,分两次交易,每笔 100 万个 BNB。

交易发出后,黑客在区块高度 110217401 上伪造任意消息,实现了 200 万个 BNB 的创建和后续提取。然而,通过网络验证者采取的快速行动,仅成功转移了 1.37 亿美元,其余的被冻结在 BSC 上。

3.虫洞桥:损失——3.2亿美元

Wormhole 是连接 Solana 和其他顶级 DeFi 网络(例如 Ethereum 和 Avalanche)的跨链桥。2022 年 2 月,一名黑客从协议中窃取了超过 3.2 亿美元的盘点 ETH (wETH)。

根据分析公司 Elliptic 的说法,黑客利用该协议未能验证“监护人”账户,允许攻击者在以太坊网络上没有相应的 ETH 支持的情况下铸造 120,000 个 wETH。然后,攻击者在 Solana 上用 93,750 wETH 换取 ETH,其余换取 SOL。

4. Nomad Bridge:损失——1.9亿美元

Nomad 是一个跨链桥,它利用链上和链下网络组件,并支持以太坊、Moonbeam 和其他链。2022 年 8 月,攻击者从该协议中损失了大约 1.9 亿美元。黑客利用智能合约的一个错误部分提取了比平台上作为质押品更多的资产。

5. Horizo​​n Bridge:损失——1亿美元

Horizo​​n 是一个跨链桥梁,可促进不同网络之间的资产转移,包括以太坊 (ETH)、比特币 (BTC)、BSC (BNB) 和 Harmony区块链。2022 年 6 月,黑客从 Harmony 管理的平台上窃取了价值超过 1 亿美元的 ETH、BTC 和 BNB。显然,攻击者使用来自 5,000 多个用户钱包的被黑私钥来创建不同代币的欺诈性提款。

6. QBridge:亏损——8000万美元

QBridge 是 Qubit 的跨链桥,允许用户将 ETH 换成 BNB。它允许用户将 wETH 从以太坊主网存入 Qubit 的 BSC 驱动的智能合约,使他们能够铸造 xETH,作为在 BSC 上借款的质押品。2022 年 1 月,一名恶意行为者利用该协议在 BSC 平台上铸造了近 8000 万美元的 xETH 代币。攻击者欺骗 BSC 平台认为他们已经存入了 wETH;但是,他们将打包的资产换成 BNB 代币,然后消失了。

结论

最近的桥接漏洞令人痛苦地提醒我们需要一个安全、可互操作的基础设施,以允许价值在异构链之间无缝移动。区块链部门可以通过三种方式摆脱这些黑客攻击。首先是去中心化互操作层。该层不应有任何进入障碍。不幸的是,当前的协议,如工作量证明 (PoW) 或权益证明 (PoS) 不提供此功能。

其次,网关智能合约需要由多个信誉良好的审计师进行彻底审计。用户还应该检查审计报告,以验证检测到的问题是否已经真正得到解决,而不是简单地确认。第三,用户应该检查网桥是否有漏洞赏金计划。赏金计划可以帮助激励白帽黑客和一般社区审查源代码并在不良行为者利用它们之前披露任何漏洞。

1、宁推网原创文章未经授权转载必究,如需转载请联系授权;
2、转载时须在文章头部明确注明出处、保留作者和原文链接,如:转自宁推网字样;
3、宁推网报道中所涉及的所有内容均由用户提供,仅供参考!
4、声明:该文观点仅代表作者本人,宁推网系信息发布平台,宁推网仅提供信息存储空间服务。