2022年自年初至今,仅5次的跨链桥攻击就导致了13.17亿美元的损失——这个数字是2022年Web3.0行业因黑客、欺诈、漏洞等事件造成总资产损失金额的57%。
之所以跨链桥攻击的损失如此巨大,是因其本身的固有安全漏洞及整个领域缺乏防御攻击专业意识和相关理论知识。
规模位于前三的跨链桥攻击事件分别为:RoninNetwork,造成6.24亿美元的损失;Solana跨链桥项目虫洞,造成3.26亿美元的损失;Nomad,造成1.9亿美元的损失。
本文将通过分析今年发生的这5起尤其是具有代表性的NomadBridge攻击事件,与大家探讨跨链桥的安全问题及解决方式。
跨链桥安全
在分析这几起攻击事件前,我们需要明确一下跨链桥存在的固有安全问题。
V神VitalikButerin曾在Reddit上写道,因为51%攻击的影响,他对跨链应用持悲观态度。然而除此之外,还有更多需要考虑的其他问题。
加密初创公司在第二季度中筹集了23.4亿美元的资金:金色财经报道,据PitchBook数据,加密初创公司在第二季度的382笔交易中筹集了23.4亿美元的资金,这与2022年第一季度的121.4亿美元的峰值相比出现了明显下降。2023年第二季度最大的融资是LayerZero的1.2亿美元B轮融资以及 Worldcoin的1.15亿美元C轮融资。
Ava Labs 业务开发副总裁 Lydia Chiu表示,资本配置的下降可能归因于美国的监管阻力,这使得第二季度许多与加密货币相关的交易结构倾向于传统的风险投资结构,例如筹集股权,而不是代币投资或未来代币的简单协议(SAFT)。[2023/7/11 10:47:43]
在2022年7月22日发布的一个推特视频中,Nomad的创始人JamesPrestwich解释了为何行业普遍在跨链应用建立安全模型方面缺乏专业知识,以及为何获取这些标准的专业知识需要花费一年的时间。
对于个人用户来说,很难将资产从一个区块链转移到另一个区块链,因此必须通过跨链桥来实现这一操作。跨链桥协议的原理是:用户在A链将代币存入,随后在B链上收到债务代币。一旦B链的债务代币被销毁,则A链存储的代币就会被释放。
为了实现这一功能,跨链桥需要实现这几个功能:保管用户存入的代币,向用户释放债务代币,以及在不同链之间发送消息的预言机。这使得跨链桥在安全方面更加脆弱——黑客可以下手的地方实在太多了。
币印从其主钱包中转移出5640枚BTC,约合1.5亿美元:4月25日消息,据CryptoQuant数据报道,币印(Poolin)于4月21日从其主钱包中转移出5640枚BTC(约1.5亿美元),Poolin的账户中仍有9935枚BTC。此外,Poolin 的账户中仍有 9,935 BTC。目前尚不清楚这 1.5 亿美元是被清算还是只是转移到了另一个账户。[2023/4/25 14:26:16]
条条大路通跨链桥,对黑客来说,又怎么能轻易拒绝这种快速暴富的攻击渠道?攻击造成的后果并不只是存款损失,一旦跨链桥产生漏洞或遭到攻击,整个跨链桥的代币将很可能失去所有价值。
RoninNetwork
RoninNetwork漏洞是有史以来最大的DeFi漏洞。
3月底,CertiK审计团队监测到NFT游戏AxieInfinity侧链RoninNetwork遭到攻击,损失价值约6.24亿美元的17.36万枚ETH以及2550万枚USDC。
RoninNetwork需要验证九个验证节点中的五个签名。而攻击者黑了4个SkyMavis的私钥,制造了5个合法的签名,即:4个SkyMavis验证器和1个AxieDAO运行的第三方验证器产生的签名。
这导致5个验证器节点被破坏,高级鱼叉式网络钓鱼攻击是造成这一情况的罪魁祸首。
PoolzFinance:即将部署新代币合约,将按攻击前1:1空投到用户地址:金色财经报道,PoolzFinance官方博客表示,即将部署新代币POOLX合约,并将空投给所有地址(按黑客攻击发生前计算),旧POOLZ代币合约将被移除并销毁。
Poolz将根据攻击前的情况,以新的流动性(更高的数量)在DEX和CEX中发布新代币。此外,POOLX将有10%的额外总供应量来支持生态系统奖励。POOLX代币和Locking系统将由Certik、ArcadiaGroup和ChainPort进行审计。[2023/3/17 13:09:29]
Solana跨链桥项目虫洞
北京时间2022年2月3日凌晨1点58分,CertiK审计团队监测到Solana跨链桥项目虫洞遭到攻击。
此次事件中,攻击者通过注入一个性的sysvar账户绕过了系统验证步骤,并成功生成了一条恶意“消息”,指定要铸造12万枚wETH。最后,攻击者通过使用恶意“消息”调用了“complete_wrapped”函数,成功铸造了12万枚wETH,价值约3.26亿美元。
铸币两分钟后,攻击者将1万枚ETH桥接到以太坊链上,约20分钟后,以太坊链上又产生了8万枚ETH的交易。时至今日,这些资金仍在攻击者的钱包里。
该事件造成的损失金额之大,令其成为了跨链桥史上第二大黑客攻击事件。
孙宇晨:火必计划扩大在香港的业务:2月10日消息,火必全球顾问委员会成员、波场TRON创始人孙宇晨在接受采访时表示,火必计划扩大其在香港的业务,因香港被视为“中国加密货币发展的试验区之一”。他补充说,火必的主要业务地区是香港、马来西亚和加勒比地区。
此前去年10月消息,孙宇晨表示Huobi和波场将积极申请香港牌照,拥抱支持香港加密新政。(彭博社)[2023/2/10 11:59:10]
Harmony?Bridge
北京时间2022年6月23日19:06:46,CertiK审计团队监测到Harmony链和以太坊之间的跨链桥经历了多次恶意攻击。
SEC以涉嫌欺诈为由起诉加密经纪商所有者和推销员:金色财经报道,芝加哥加密货币资本公司及其三名人员被SEC指控通过提供未注册的加密资产证券欺诈投资者。该加密货币经纪商的老板Brian Amoah和前销售员Darcas Oliver Young以及Elbert \"Al\" Elliott涉嫌通过提供未注册的Beaxy代币(BXY)来发挥非法经纪商的作用,帮助他们在2018年8月至2019年11月期间从100名没有经验的投资者那里筹集150万美元。
BXY是由已倒闭的加密货币交易所Beaxy发行的,据称该交易所在2018年8月与芝加哥加密货币资本达成协议,出售这些代币。但美国证券交易委员会表示,BXY没有在委员会注册,也没有满足豁免标准。此外,所涉各方都不是合格的经纪人。[2022/9/15 6:58:39]
CertiK团队安全专家分析,此次攻击事件可能源于黑客掌握了owner的私钥——攻击者控制MultiSigWallet的所有者直接调用confirmTransaction从Harmony的跨链桥上转移大量代币,导致Harmony链上价值约9700万美元的资产被盗,该笔资金后被转移至TornadoCash。
这起攻击事件涉及到了12笔价值约5万美元到4120万美元以上的交易及3个攻击地址,涉及到的代币包括ETH、USDC、WBTC、USDT、DAI、BUSD、AAG、FXS、SUSHI、AAVE、WETH和FRAX。
Qubit?Bridge
发生于年初的Qubit攻击事件也是一个典型的跨链桥漏洞事件。
2022年1月27日,CertiK审计团队监测到Qubit遭到攻击,导致了约8000万美元的损失。
攻击者调用了QBridge合约,在没有提供任何加密货币的情况下使bridge合约产生了攻击者已存款的虚假时间证明。
ETH和ERC-20的存款共享相同的事件证明,因此允许攻击者调用该函数利用不存在的ERC20存款事实生成虚假的ETH存款事件证明,并以此在另一条链上提取ETH。因此,攻击者在没有向合约发送任何代币的情况下通过了QBridgeHandler证明,并在交叉链上铸造了大约77,162个qxETH。黑客随后将盗取的资金存入了TornadoCash。
NomadBridge
北京时间2022年8月2日,CertiK安全团队监测到NomadBridge遭受攻击,导致了价值约1.9亿美元的损失。
合约的问题在于在initialize()函数被调用的时候,“committedRoot”被设成了0x00地址。因此,攻击者可以通过消息的验证,将在桥合约中的代币转移。锁仓总价值由1.9亿美元骤降为1.2万美元——这实质上使得攻击者可以在A链上存入1ETH而在B链上收到100ETH。
这个漏洞的神奇之处在于,看起来好像没有任何一个直接攻击者。但至少有41个钱包参与了此次攻击,我们可以认为它是Web3.0世界第一个「群体作案」。也许正是因为这个原因,攻击者可以轻易地从桥上提取资金。
第一笔可疑交易发生在8月2日凌晨5:32,100wBTC被转移到0x56d8......我们可以观察到代币从这里开始持续疯狂转移。
这样的漏洞也在吸引着如RariCapital攻击者这样的以往Web3.0黑客。
另外有个有意思的地方是,还有个恶意者试图对这起事件的黑客进行网络钓鱼攻击,ta持有ENSnomadexploiter.eth的EOA向持黑客EOA发送了链上信息,在8月2日注册冒充Nomad与黑客进行谈判:
Nomad在推特上发布声明称这不是他们干的
写在最后
这些攻击事件的漏洞在持续警醒我们:跨链桥漏洞所能造成的破坏性极其巨大。
Web3.0世界目前急需更安全和更广泛的跨链应用。未来同类性质的漏洞可能会出现的越来越多、越来越频繁。
我们可以尽力而为的至少是确保项目代码经过了完备的测试和安全审计,这将大幅提高面对高破坏性黑客攻击的抵御能力。
来源:金色财经
标签:ETHPOOLPOOBRItogetherbnb能推倒几个jackpool币什么时候爆发POODL价格CelebrityCoin
8月10日星期三,以太坊完成了Goerli测试网Merge升级的最后一次彩排。这为开发人员在9月19日在以太坊主网上进行Merge升级开了绿灯.
1900/1/1 0:00:00没有比特币的区块链是一种分布式账本,其中包含有关供应链项目、不可替代代币(NFT)等的信息。去中心化账本或区块链有许多应用程序,尽管加密是其最著名的实现.
1900/1/1 0:00:00美东时间周五,由于7月非农就业数据超出预期,市场认为美联储将获得更多激进加息的筹码,三大指数开盘全线下跌,收盘仅道指上涨,纳指一度跌超1%.
1900/1/1 0:00:00以太坊合并目前在圈内的话题可谓是炙手可热,万众瞩目。但随着以太坊合并日期的临近,出现了不少以太坊要进行硬分叉的声音.
1900/1/1 0:00:00Kraken上的ETH期货未平仓合约达到5个月高点:金色财经报道,据Glassnode的数据显示,Kraken上的ETH期货合约未平仓合约刚刚达到5个月高点,数值为25,506.
1900/1/1 0:00:00当加密货币交易所FTX于2021年6月宣布与领先的电子竞技俱乐部TeamSoloMid(TSM)达成10年2.1亿美元的赞助和冠名权协议时,这一巨大的条款在加密货币和电子竞技世界引发了冲击波.
1900/1/1 0:00:00