木星链 木星链
Ctrl+D收藏木星链

WOR:回顾史上规模最大的十次跨链桥攻击

作者:

时间:1900/1/1 0:00:00

跨链桥又双叒叕出事了。今日早间,BNBChian跨链桥BSCTokenHub遭遇攻击。黑客利用跨链桥漏洞分两次共获取200万枚BNB,总价值高达5.66亿美元。关于此次事件的具体过程,Odaily星球日报已在《解析:约5.66亿美元BNB被盗全过程》一文中做了详细梳理。跨链桥一直都是黑客事件的高发区,Chainalysis在八月初发布的一份报告中曾提及,跨链桥相关的金额损失已高达20亿美元,其中大部分发生在2022年间,占今年行业总数据的69%。

即便是BNBChian这次高达5.8亿美元的超大额资金损失,放在跨链桥的“黑历史”中也只是堪堪挤进前三名。下文中,Odaily星球日报将对过往十次较大规模的跨链桥黑客事件再做一次简单复盘,希望所有开发团队都能以史为鉴,提高警惕。

GMX 2022年度回顾:年度交易总量达850亿美元:12月29日消息,衍生品协议GMX发布2022年度回顾。相关数据显示,GMX2022年度交易总量达850亿美元、年度费用收入1.15亿美元、年度新增用户数20万。GMX表示,计划于2023年初上线合成资产,对于GMX现存的大部分问题,开发者已有明确计划,将在2023年初的更新中解决大部分问题。[2022/12/29 22:14:25]

1.RoninNetwork

今年三月下旬,AxieInfinity侧链RoninNetwork的跨链桥遭到攻击,损失总额高达6.24亿美元。根据后续各方的披露,Ronin所遭受的攻击系社会工程学攻击。首先,一家虚假公司的员工通过领英联系到了AxieInfinity和Ronin开发商SkyMavis的员工,并邀请他们来工作;随后,SkyMavis的一名员工在面试后获得了假Offer,在他下载了伪造的Offer文件之后,黑客软件渗透到Ronin系统中,并接管了9个验证者节点中的4个;再然后,黑客通过SkyMavis控制了AxieDAO,后者曾允许SkyMavis代表其签署各种交易;最终,黑客控制了绝大多数的验证者节点,继而控制了整个网络。Ronin一事不单单是跨链桥历史上规模最大的黑客事件,如果按照事件发生时的市场价格计算,这更是整个加密货币历史上涉案金额最大的黑客事件。幸运的是,通过后续融资,RoninNetwork此后启动了对用户的赔付,并于六月底重启了其跨链桥。2.PolyNetwork

三箭资本创始人:前代币CEX有一天也会有回顾性的奖励:金色财经报道,三箭资本创始人Zhu Su发推称,如果我们正在进入用户拥有的代币经济,那么理所当然地,前代币CEX有一天也会有回顾性的奖励。[2021/9/18 23:34:21]

去年八月,跨链互操作性项目PolyNetwork突遭黑客攻击,损失金额高达6.1亿美元。关于该起事件发生的原因,综合多家安全公司的分析,酿成本次事件的祸因在于EthCrossChainData合约的keeper可由EthCrossChainManager合约进行修改,而EthCrossChainManager合约的verifyHeaderAndExecuteTx函数又可以通过_executeCrossChainTx函数执行用户传入的数据。尽管在各方的持续努力之下,黑客最终选择了归还全部6.1亿美元赃款,但作为一起注定会被记入历史的惊天大案,针对该事件本身及其相关趋势进行复盘和梳理仍有着较大的警示意义。3.BSCTokenHub

Compound创始人发推回顾项目历史,成功并非一朝一夕:Compound创始人Leshner发推回顾了Compound发展历史,并表示Compound的成功并非一朝一夕,成功也靠站在巨人的肩膀之上。以下为Leshner提及的Compound发展历史:

2017年,Compound是一个去中心化货币市场,这得益于以太坊基金会、Consensys等将以太坊构建为一个完整的生态系统,使得其上智能合约的部署成为可能。

2018年9月,Compound v1上线,主要做了这些初始工作:实现池子流动性(而非通过订单簿);基于供需实现算法利率;利率指数(用于为不限量的用户调整持币余额)。

Compound v2中,引入了cToken概念,这是一种代币化余额,该想法的灵感来自于和@delitzer的对话,@delitzer一直在探究DeFi的可组合性。

Compound治理系统基于协议和社区决策,MakerDAO系统的首个可行治理方案为Compound提供了借鉴。

COMP代币整合了投票委托功能,灵感来自Tezos。

COMP代币分发是将项目主要价值给到用户和协议参与者的一次实验,灵感来自Synthetix在DeFi激励机制中的设计,以及中本聪的比特币白皮书。[2020/6/20]

也就是本次事件,详见《解析:约5.66亿美元BNB被盗全过程》。4.Wormhole

动态 | 美国SEC主席在财年预算申请证词中回顾2018年加密货币相关工作:美国证券交易委员会(SEC)官网今日发布了SEC主席Jay Clayton在国会就SEC 2020财年预算申请发表的证词。在回顾2018年的工作时,Clayton提及该机构解决了一些加密货币、ICO和类似产品和技术出现的问题。SEC合规检查和检查办公室(OCIE)在2018年公布了2019年的审查优先事项,其中包括数字资产(加密货币、coin和token)。此外,SEC还创建了一个网站,向公众宣传涉及ICO的欺诈行为。[2019/5/9]

今年二月,Solana生态最主要的跨链桥项目Wormhole遭到攻击,损失约12万枚ETH,价值约3.26亿美元。该事件的具体流程为,攻击者起初先是在Solana上铸造了0.1WormholeETH,得到了“transfermessage”合约中的“post_vaa”函数,然后通过加载一个外部的合约绕过了签名检查合约,生成了Wormhole函数“complete_wrapped”所需的参数,进而实现了无限铸币。而发生这一切的根本原因是Wormhole使用了过期的系统合约,而没有对参数所需的合约进行最新的升级。好在,当时还没被UST打的JumpCrypto随后宣布为Wormhole投入12万ETH,以弥补被盗损失。5.Nomad

金色财经历史回顾 壹基金收到117个比特币捐款:2013年4月23日,在壹基金合作发展部总监霍庆川和比特币中国的官方微博显示,截止到2013年4月23日凌晨0点51分,壹基金已经收到117个比特币,折合人民币将近10万元。在4月23日,比特币的全球平局价格为120.78美元,随后在2013年4月24日上升至134.8美元。[2018/4/24]

今年八月初,跨链通讯协议Nomad遭遇攻击,致使桥内约1.9亿美元的流动性被迅速耗尽。与其它黑客事件不同,Nomad可以说是被一群“黑客”集体薅秃的。据知名安全大神samczsun的分析,本次事故是因为Nomad在一次合约升级中将可信根初始化为0x00,导致任何人都可以使用一笔有效的交易,用自己的地址替换对方的地址,然后将交易广播出去即可从跨链桥提取资金。事后统计显示,本次攻击共涉及到了1251个ETH地址。事后,在各方的努力下,Nomad最终收回了至少20%,并已于九月下旬发布了重启计划。6.HarmonyHorizon

今年六月,Harmony官方跨链桥Horizon遭到攻击,损失约为1亿美元。事后,Harmony创始人StephenTse承认,攻击系因私钥泄漏导致,资金从跨链桥的以太坊一侧被盗,攻击者成功访问和解密其中一些密钥,其中一些用于签署未经授权的交易。事后,Harmony曾尝试追回赃款,但最终无果。七月,Harmony发布了一版希望通过增发ONE代币来赔偿用户损失的修复方案,但遭到了社区的集体反对,最终Harmony放弃了该方案。九月下旬,Harmony又提出了另一版不涉及代币增发的修复方案,并计划从10月开始为Horizon跨链桥恢复分配资金。7.Qubit

今年一月,借贷协议Qubit的跨链桥QBridge遭到攻击,损失约8000万美元。关于该起事故发生的原因,系因合约对白名单内代币进行转账操作时未对其是否是0地址再次进行检查,导致本该通过native充值函数进行充值的操作却能顺利走通普通代币充值逻辑。事件发生后,Qubit的开发团队TeamMound宣布已无法维持,因此决定解散,由该团队领导开发的Bunny和Qubit协议将由DAO管理。社区将拥有升级合约、更改费用结构等所有相关权限。目前Qubit几乎已无人使用,TeamMound虽表示会继续赔付,但当前仅赔付了极小一部分资金。8.EvoDeFiBridge

今年六月,Oasis生态用户发现其链上DEXValleySwap上的USDT和USDC出现严重脱锚,深究之后发现根本原因系因其依赖的跨链桥EvoDeFiBridge涉嫌在抵押不足的状态下凭空铸造桥接资产。具体来说,EvoDeFiBridge在Oasis链上生成了8300万USDT和3300万USDC,但抵押资产仅有1060万USDT和1020万USDC。根据安全数据库Rekt的统计,该事件的给用户造成的具体损失总额约为6600万美元。事后,Oasis表态称ValleySwap和EvoDeFiBridge和自己并没有关系,后者的官方社交媒体也在此后停止更新,疑似已跑路。9.THORChain

去年六月至七月,跨链桥项目THORChain连续三次遭受黑客攻击,合计损失约1600万美元。事后,THORChain表态将分三步进行补偿,第一批通过"国库"划拨出资产补偿,第二批通过RUNE作为抵押从IronBank借出资产进行偿还,第三批将在网络重新运行后再进行补偿。今年二月,THORChain在公布2021年第四季度财报时表示,此前因被盗所产生的债务已经全部偿还。10.pNetwork

去年九月,跨链协议pNetwork遭受黑客攻击,损失了277枚pBTC。针对该起事件,pNetwork表示系因黑客利用了其代码库中的一个漏洞,并从BSC区块链中抽取pBTC,其它链上的合约则不受影响。事后,pNetwork曾表态如果不能追回赃款,将会启动相应的赔付方案,但此后并未披露具体的赔付进展。小结

关于跨链桥的安全问题,业界早已是“老生常谈”了。为什么跨链相关协议如此容易遭到攻击?跨链桥到底该如何平衡效率与安全性?在安全形势愈发严峻的当下,项目方、用户等不同角色需要注意些什么?倘若真的发生了极端事故,又有哪些行之有效的弥补手段?此前,Odaily星球日报曾就这一系列问题采访过PeckShield、BlockSec等知名安全公司,感兴趣的读者可以看看《对话头部安全公司,为什么受伤的总是跨链桥?》一文。

标签:WORCOMPCOMOMPminetworkCompound USD CoinCardano Comicscomp币发行量

火币网下载官方app热门资讯
NFT:如何识别NFT“洗盘交易”?

对金融人士来说,“洗盘交易”并不是一个新词。加密货币也以相同的买入和卖出手法来回进行“洗盘”,NFT市场亦是如此.

1900/1/1 0:00:00
TOK:Bankless:梳理DeFi现有的4种固定收益模型

我们都知道,加密市场因为波动较大,固定利率回报并不常见。对于希望将固定利率负债与固定利率资产相匹配的债权人和债务人来说,这是一个巨大的问题.

1900/1/1 0:00:00
RAKE:Kraken创始人Jesse Powell谢幕:暴雪「黑粉」、加密OG

近日,火币创始人李林退场,孙宇晨变身顾问登场而引爆了币圈,令人不禁感慨一个时代的终结。将时间再往前拨动一点,9月22日,老牌加密货币交易所Kraken的联合创始人JessePowell将卸任首席.

1900/1/1 0:00:00
稳定币:解读众议院稳定币法案草案,哪些稳定币将面临风险?

在Terra/UST这一套算法稳定币体系崩溃之后,美国加强了对稳定币的关注。9月21日,媒体上传出了美国众议院提出的稳定币法案的相关内容,对类似于TerraUSD的算法稳定币实施禁令.

1900/1/1 0:00:00
WEB:全方位解读Web3域名:DID基石、NFT新增长点

TL;DR1.Web3域名在NFT市场整体低迷的背景下表现出色;2.Web3域名有庞大的用户群体和巨大的上升空间;3.Web3域名是用户重要的Web3身份凭证.

1900/1/1 0:00:00
UNI:DeFi与CeFi的下半场竞争:Uniswap化身聚合平台,叫板CEX巨头

「我们的首要任务是从中心化交易所巨头手中抽走部分资金。」近日,UniswapLabs首席运营官Mary-CatherineLader表露了他的野望.

1900/1/1 0:00:00