木星链 木星链
Ctrl+D收藏木星链
首页 > 火必APP > 正文

区块链:跨链攻击给业界带来了新的安全挑战

作者:

时间:1900/1/1 0:00:00

从6月底到现在,一个月不到的时间,业界发生了多起较为重大的攻击事件:

6月29日,THORChain受到恶意攻击,损失估计达14万美元。

7月3日,跨链项目Chainswap合约遭到攻击,部分用户代币被主动从与ChainSwap交互的钱包中取出,总损失约为80万美元,跨链桥暂停使用。

7月11日,跨链项目Chainswap发布推文表示再次遭到黑客攻击,在该跨链桥部署智能合约的超20个项目代币都遭遇黑客盗取,总损失价值400万美元。

7月12日,跨链项目Anyswap新推出的V3跨链流动性池也遭到黑客攻击,总计损失超过787万美元。

7月16日,THORChain再次受到攻击,损失约为1.3万ETH,价值约为2500万美元。

Polyhedra旗下跨链桥zkBridge已集成至Polygon:5月29日消息,ZK基础设施初创公司Polyhedra Network宣布旗下跨链桥zkBridge已集成至Polygon网络,用户可以在Polygon上使用由zkBridge提供支持的互操作性。[2023/5/29 9:48:53]

从上面这些案例,我们明显发现这些攻击事件表现出四个鲜明的特点:

1.都是针对跨链项目展开的攻击。

2.多个项目在一个月内反复受到攻击。

3.项目因攻击受到的损失金额越来越大。

4.不仅被攻击项目本身的运作受到影响,而且部署在跨链项目的其它项目方的运作也受到影响。

数据:Harmony跨链桥黑客转移4.1万枚ETH,并存入三个交易所:1月16日消息,链上数据分析师Zach XBT发推称,疑似朝鲜黑客组织Lazarus Group通过DeFi隐私协议Railgun从Harmony跨链桥黑客那里转移了约4.1万枚ETH(6350万美元),然后整合资金并存入三个不同的交易所。

据悉,去年6月24日Harmony跨链桥Horizon遭到攻击,损失金额约1亿美元;随后区块链研究公司Elliptic分析称Lazarus Group被认为是在Harmony跨链桥Horizon盗取1亿美元的幕后黑手。[2023/1/16 11:13:52]

纵观这些被攻击的项目,绝大多数都是因为在资产跨链的过程中,缺乏对资产、签名等的验证导致黑客抓住了其中的漏洞对项目进行攻击。

以太坊研究员:USDC超越以太坊成为使用量最多的跨链代币:金色财经报道,以太坊研究员Elias Simos通过链上分析供应商 Dune Analytics分析发现,稳定币USDC已经超越以太坊,成为最常用的跨链代币,他表示USDC 是多链世界中桥接最多的资产(超过ETH),目前在跨链桥接(使以太坊的 L1 能够与其他区块链或扩展解决方案进行互操作的协议)中有价值近12亿美元的USDC被锁定。[2021/9/11 23:18:14]

这些问题中有一类是圈内早已知晓的问题,但在跨链这个新场景下,缺乏先例,导致开发团队可能会因为疏忽而遗漏对这类问题的排查。另一类则是因为跨链应用涉及的场景复杂导致团队在代码逻辑的设计中稍有不慎就会遗漏一些对关键点的检查。

跨链钱包Liquality融资700万美元:8月10日消息,ConsenSys孵化的加密货币钱包公司Liquality在Hashed和Michael Novogratz的Galaxy Digital领导的一轮融资中筹集了700万美元。其他著名的参与投资者包括Coinbase Ventures、White Star Capital、Accomplice、Jump Capital等。(CoinDesk)[2021/8/10 1:46:56]

任何一个新应用登场,项目方都要必须面对这样的挑战。

此外,跨链项目受攻击还给业界带来了一个新的安全挑战:以往项目受到攻击时,受损失的仅仅是项目方自己;而在跨链领域,由于跨链应用本身成为了平台,它会承载其它的应用,因此一旦跨链应用本身受到攻击,则连带受到损失的就不仅仅是跨链项目本身而且还包括跨链应用承载的项目了。

在这些攻击案例中,Chainswap第二次受到攻击时,就导致部署在上面的超过20个项目连带受到损失并不得不重新部署合约。恐怕这一点是此前很多项目方都没有意识到的新动向和新问题。

这说明安全隐患涉及的问题无论在广度还是在深度上都上升到了一个前所未有的高度。

我们相信这个问题只会越来越显现:因为区块链生态的丰富必然导致跨链应用成为刚需,成为一个无法阻挡的趋势。这意味着未来跨链应用只会越来越多,同时也意味着资产跨链也会越来越频繁,因此未来的项目方也在部署应用时不可能仅仅只考虑某个区块链而要考虑应用的跨链场景。由此带来的状况就是安全问题必然越来越突出,攻防矛盾越来越尖锐。

面对这个新形势,从应用的角度看:不仅跨链应用项目方本身要高度重视项目代码的安全,对代码的审查要比以往更加重视,而且部署在跨链应用上的第三方项目方未来除了注重项目自身的安全以外也也必须重视跨链应用的安全。

从代码的角度看:跨链项目的代码为了因应新的安全挑战必然越来越复杂;部署在跨链应用上的项目也必然会越来越复杂,比如要增加处理紧急状况的功能和接口,以便在事发的第一时间及时提取其部署在不同区块链上的流动性。

从项目方的角度看:未来面对更加复杂的应用场景和更高的代码难度,对代码的审计必然要更加重视。

从用户的角度看:一定要更加慎重地对自己投资或者有意向投资的项目进行详细的审查,重点审阅项目方的审计报告。

从审计公司的角度看:面对越来越复杂的系统,审计的难度也将越来越大,审计的要求也会越来越高。对此作为从业者的灵踪安全不仅将一如既往地在审计过程中做好代码的审计,更已经准备好全面的保驾护航方案,随时应对项目方受到攻击后在事发的第一时间为项目方提供完备的补救措施和全面的改进方案。

关于灵踪安全:

灵踪安全科技有限公司是一家专注区块链生态安全的公司。灵踪安全科技主要通过“代码风险检测+逻辑风险检测“的一体化综合方案服务了诸多新兴知名项目。公司成立于2021年01月,团队由一支拥有丰富智能合约编程经验及网络安全经验的团队创建。

团队成员参与发起并提交了以太坊领域的多项标准草案,包括ERC-1646、ERC-2569、ERC-2794,其中ERC-2569被以太坊团队正式收入。

团队参与了多项以太坊项目的发起及构建,包括区块链平台、DAO组织、链上数据存储、去中心化交易所等项目,并参与了多个项目的安全审计工作,在此基础上基于团队丰富的经验构建了完善的漏洞追踪及安全防范系统。

作者:

灵踪安全CEO谭粤飞

美国弗吉尼亚理工大学(VirginiaTech,Blacksburg,VA,USA)工业工程硕士(Master)。曾任美国硅谷半导体公司AIBTInc软件工程师,负责底层控制系统的开发、设备制程的程序实现、算法的设计,并负责与台积电的全面技术对接和交流。自2011至今,从事嵌入式,互联网及区块链技术的研究,深圳大学创业学院《区块链概论》课程教师,中山大学区块链与智能中心客座研究员,广东省金融创新研究会常务理事?。个人拥有4项区块链相关专利、3本出版著作。

标签:区块链以太坊CHAChain有人靠区块链4天就挣了30万以太坊价格gtachainhundredchain

火必APP热门资讯
VAL:去中心化预测市场的复苏

早在2014年,当第一个区块链平台Augur推出时,预测市场就被吹捧为最佳区块链用例之一。从那时起,大多数早期平台已经消失,其原因如下:1)糟糕的可用性/UX,?2)高昂的以太坊gas费,3)糟.

1900/1/1 0:00:00
以太坊:从数据视角看以太坊2021年上半年发展

智能合约最早由密码学家尼克·萨博于上世纪90年代提出,是指用计算机语言取代法律语言来记录条款,并由程序自动执行的合约。直到以太坊的出现,智能合约才终于正式登上历史舞台.

1900/1/1 0:00:00
稳定币:金色前哨丨美联储主席就稳定币表态:与银行存款一样被监管

金色财经区块链7月15日讯美联储主席杰罗姆·鲍威尔今天在美国国会众议院上表示,稳定币应该像货币市场基金或银行存款一样,受到更为严格的监管.

1900/1/1 0:00:00
区块链:自然资产代币化、碳交易火热 硅谷一线VC齐聚碳中和

什么是当下最热的风口?这个答案或许属于碳中和:?二氧化碳的排放量与二氧化碳的去除量相互抵消。在欧美多国2050年实现碳中和、中国2060年实现碳中和的承诺下,全球资本正齐聚一堂.

1900/1/1 0:00:00
NFT:金色前哨 | 新的独角兽:OpenSea完成1亿美元B轮融资

加密货币领域又将诞生一家独角兽。据CoinDesk报道,NFT市场平台OpenSea近日完成由硅谷著名风投a16z领投的1亿美元B轮融资,投后估值15亿美元.

1900/1/1 0:00:00
区块链:中国人民银行发布《中国数字人民币的研发进展白皮书》

声音 | 中国人民银行郑州培训学院王勇:在疫情防控中要继续充分发挥区块链等的力量:中国人民银行郑州培训学院教授王勇在上海证券报刊文“疫情防控需有效发挥科技手段的作用”.

1900/1/1 0:00:00