過去一年,整個去中心化金融 (DeFi) 生態系統被盜超過 30 億美元,其中超過 ? 的被盜案件源自跨鏈橋。為了使 DeFi 發展成為一個可信且安全的生態系統,需要減輕該領域內的漏洞。本報告深入探討了跨鏈橋的工作原理、過去一年發生的黑客攻擊類型,以及一個跨鏈橋如何能夠阻止兩次單獨的攻擊嘗試。
初識跨鏈橋
跨鏈橋能夠在區塊鏈之間傳輸數據,主要是代幣資產,以利用更大的流動性,在成本和交易最終性方面建立更好的用戶體驗,并通過在更大的生態系統中分配交易負載來減少主鏈擁塞。
跨鏈橋的去中心化程度各不相同。在受信任或更集中的設置中,跨鏈橋的安全性來自監督其操作的指定方。在信任最小化或更分散的設置中,跨鏈橋的安全性來自底層鏈的驗證者和操作跨鏈橋的算法。
大多數雙向跨鏈橋使用 lock 和 mint 以及 burn 和 mint 模型的組合。為了將資產從一個生態系統轉移到另一個生態系統,用戶將他們的代幣存入原始鏈上的智能合約中,然后在目標鏈上鑄造等量的資產并提取給用戶。為了轉移回原始生態系統,用戶將鑄造的資產存入目標鏈上的智能合約中,然后這些資產將被燒毀,原始資產將在原始源鏈上發布。這種方法可確保在所有平臺上持續供應代幣。
消息:摩根大通報告解釋ETH為何會跑贏大市場:4月28日,加密交易所Gemini商業開發部門亞洲地區主管Eugene Ng在推特上發布消息稱,當華爾街的銀行開始使用像ETH這樣的競爭幣時,您就會知道我們很快就會進入競爭幣季節。他推文中還包括了一種來自摩根大通的截圖。該截圖來自摩根大通于4月27日發布的《北美固定收益策略》報告,該部分講到了ETH為何跑贏大市場。[2021/4/28 21:08:22]
跨鏈橋頻頻被盜的一年
跨鏈橋對黑客來說是一個有吸引力的目標。數百萬美元的代幣不僅被鎖定在一個中心位置,而且通過跨多個鏈運行,跨鏈橋增加了它們潛在的故障點。所有前面提到的跨鏈橋被盜案都屬于以下三類之一:
后端漏洞
多重簽名
智能合約漏洞 / 執行錯誤
后端漏洞
后端漏洞,或Web2 攻擊向量,意味著攻擊者針對的是用戶而不是跨鏈橋本身。在 BadgerDAO 的案例中,黑客利用他們的網絡托管服務提供商 Cloudflare 生成了三個具有 API 權限的獨立賬戶。通過API 將惡意腳本集成到協議中,黑客誘使橋接用戶簽署代幣批準調用,代表他們轉移資金。這些資金隨后被清算并通過BadgerBridge轉移。
直播|李寶寶 > 靠首發DeFi幣崛起,為何BitMax抓住了風口:金色財經 · 直播主辦的《 幣圈 “后浪” 仙女直播周》第12期15:00準時開始,本期“后浪”仙女Bitmax 的李寶寶將在直播間聊聊“靠首發DeFi幣崛起,為何BitMax抓住了風口”,請掃碼移步收聽![2020/8/11]
在這種特殊情況下,BadgerDAO 團隊很難單獨阻止攻擊,因為漏洞在于第三方。除了選擇更可靠的服務提供商外,跨鏈橋的用戶在給予無限代幣批準時需要更加謹慎。
多重簽名隱患
泄露的私鑰導致了迄今為止最大的 DeFi 攻擊,即 Ronin 橋黑客攻擊。具有諷刺意味的是,黑客攻擊可能是最容易防止的攻擊媒介。通過有針對性的魚叉式網絡釣魚策略,黑客能夠訪問大多數驗證者私鑰。在 Ronin 橋的案例中,Sky Mavis 的一名員工在不知不覺中下載了惡意軟件,使攻擊者能夠訪問相關的 IT 基礎設施。從那里,他們能夠輕松地偷走九個中的五個私鑰。在一次類似的網絡釣魚攻擊中,攻擊者獲得了 Harmony 的 Horizon 橋的內部工作記錄,并轉移了近一億美金。
在這兩種情況下,如果私鑰存儲得更安全或跨鏈橋具有更高程度的去中心化,攻擊本可以很容易地被阻止。可以說,更多的驗證者節點分布在不同平臺上可以阻止攻擊。為了應對這些搶劫,Sky Mavis 已將 Ronin 驗證器的門檻從 5 提高到 8,而 Harmony 已經建立了一個安全運營團隊來打擊前端的攻擊。
動態 | 智能投顧公司Wealthfront創始人解釋為何其投資服務不包含加密貨幣:智能投顧公司Wealthfront創始人Andy Rachleff稱,公司聚焦于千禧一代投資者,應用程序鏈接到Coinbase,用戶可查看加密貨幣余額,但在Wealthfront的投資服務不包含加密貨幣。
其表示,公司曾發文解釋關于比特幣的立場。公司專注于經時間考驗、學術驗證的投資方法,這就是為何Wealthfront提供基于多元化和再平衡的低成本指數基金投資組合的投資服務。這項研究清楚表明,從長遠來看,人們(甚至專業人士)不擅長超越市場,實際上遠不如市場表現。Robinhood等公司為那些自己動手、試圖挑戰研究結論的人服務。我敢打賭,如果你評估Robinhood客戶表現,那將特別糟糕。因此,我們正努力為客戶做長期來看最好的事情,作為前專業投資者,我學到的一件事是,為了讓某樣東西成為投資,必須有現金流。如果沒有現金流,那就是投機。比如貴金屬是投機,而不是投資。你不會看到老練的投資公司會購買貴金屬。那只是投機。這就是為何加密貨幣不是我們投資服務的一部分。我們告訴人們,“聽著,如果你想用游戲費來做這件事,我們歡迎你這么做,但應該控制在凈資產的10%以下。”(The Block)[2019/12/4]
一般來說,受信任的跨鏈橋比不信任的跨鏈橋更不去中心化且安全性更低,因為它們依賴于外部驗證者。鑒于這些事件,更多信任最小化跨鏈橋的開發和使用可能會增加。
動態 | 澳本聰回應江卓爾“為何不了解Base58 編碼”:我想通過 Base58 來誤導聽眾:江卓爾和澳本聰在昨日辯論上,江卓爾問澳本聰名:為什么在銷毀(burn)地址中使用 X 而不是 0。中本聰發明了用于這些地址的 Base58 編碼模式,中本聰有意地排除了看起來相似的數字和字母,比如零和字母 O。為什么您會不了解中本聰發明的Base58 編碼?
澳本聰(CSW)回應稱,這是我的代碼。我想通過 Base58 來誤導聽眾,想讓人們以為我不了解比特幣。實際上 Base58 和交易無關,它只是錢包的實現方式,checksum 是錢包層面的東西,它是錢包交易時用來驗證的東西,它并不存在比特幣網絡上。[2019/7/24]
智能合約漏洞
在所有 DeFi 攻擊中,最常見的類型是通過智能合約代碼中的漏洞。漏洞的類型因協議而異,通常取決于現有的基礎設施。以下是以這種方式攻擊的跨鏈橋出現的問題的細分:
PolyNetwork:通過其中一個智能合約中的錯誤,黑客能夠調用他自己的智能合約來重置橋上的中繼器名稱。他替換了所有四橋的中繼器變為自己,成為這座橋的唯一“keeper”。
Multichain:Multichain 團隊發布公告指示用戶撤銷錢包批準,因為他們注意到他們的一個智能合約中有一個未使用的功能的錯誤。所述功能將允許不良行為者在沒有有效簽名的情況下將其個人合約作為轉移目的地。看到此公告后,黑客利用此確切漏洞從用戶賬戶中提取資金。
韓國監管態度為何急轉?或不敢與趨勢對抗:不到一個月前,韓國司法部長表示,政府部門正在準備一項針對數字貨幣交易平臺的法案,財政部長和金融監督服務主管認為數字貨幣交易是“巨大的投機”,“泡沫注定破裂”。而本周,韓國金融監督機構(FSS)主管Choe Heungsik扭轉態度,表示當局希望促進數字貨幣交易的健康發展,政府應更多關注正常化,不是加強監管。分析文章認為,韓國政府可能意識到,與其對抗這一趨勢,不如將其變成一個有利可圖、但受到監管的行業。就像馬來西亞、新加坡和日本等國對賭場的管理方式一樣,韓國可能希望成為數字貨幣的區域性交易中心,為國外投資者提供服務,同時出臺更多限制本地居民交易活動的規定。[2018/2/23]
Qbridge:由于存款功能的邏輯錯誤,黑客能夠在沒有觸發預設故障保護的情況下輸入惡意數據。然后,他們在不提供押金的情況下,在橋的一側鑄造了無抵押資產。
Wormhole:蟲洞橋有一個“監護人”網絡,通過觀察和證明事件來保護橋免受惡意行為者的侵害。在功能升級后,黑客能夠欺騙監護人簽名來批準交易。
Meter's Passport:預先存在的功能允許自動包裝和展開原生代幣。本質上,打包的原生代幣不需要被燒毀或鎖定即可轉移,因為它們在技術上已經解包。黑客利用此功能來模擬橋上的傳輸,通過對代碼的不正確信任假設來鑄造資產。
Nomad:由于執行不善的智能合約更新未能正確驗證交易輸入,一位用戶能夠從橋中提取不屬于他們的資金。成千上萬的其他用戶復制了原始攻擊者的通話數據,用自己的地址進行了修改,然后開始提空資產。
在過去的一年中,有針對性的智能合約盜竊是按被盜價值計算的最大黑客類型,包括非橋接 DeFi 盜竊。在大多數情況下,這種攻擊向量很難緩解。大規模應對這些風險將需要更強大的安全審計,并代表開發人員需要更加關注細節。跨鏈橋的設計需要充分了解它們存在很大的攻擊風險。
大規模的盜竊攻擊往往會在加密貨幣領域引起相當多的關注。每一次黑客攻擊都是關于如何保護一個依然相關初期并不斷發展的生態系統的教訓。在過去的幾個月里,彩虹橋(Rainbow Bridge)憑借其獨特的基礎設施和預防策略,已經阻止了兩次單獨的漏洞攻擊嘗試。
彩虹橋 Rainbow Bridge
彩虹橋在以太坊主網與 NEAR 和 Aurora 網絡之間轉移資產。自推出以來,價值超過 28 億美元的資產已通過這座橋轉移。查看源自以太坊的跨鏈橋,目前超過 85% 的傳輸量發生在以太坊與 Polygon、Arbitrum 和 Optimism 之間。彩虹橋目前約占總價值鎖定市場份額的 6%。
彩虹橋是一個無需信任、無需許可的雙向橋,它繼承了以太坊和 NEAR 網絡的安全性。從表面上看,這座橋的基礎設施采用了典型的鎖定和鑄造模型。有四個附加組件為橋提供功能:
Relays 中繼:ETH2NEAR 和 NEAR2ETH 中繼是跨鏈橋的消息傳遞協議。它們將相關信息從相應的鏈中繼到相應的客戶端。由于網橋是無需信任的(沒有預先批準的中間人來傳輸消息),因此任何人都可以與協議進行交互。
Light Clients 輕客戶端:輕客戶端代理實現專注于通過少量計算跟蹤其相應鏈的狀態。計算和數據處理是如此之小,以至于它們可以在智能合約中運行而不會影響成本或效率。ETHonNEAR 客戶端是在 Rust 中作為 NEAR 智能合約實現的以太坊輕客戶端。同樣,NEARonETH 是在以太坊上以 Solidity 實現的 NEAR 輕客戶端。
Provers 證明者:證明者負責驗證特定的密碼信息。它們與相應的輕客戶端分開實現,以實現可擴展性、增強的特異性和分離操作的關注點。
Watchdogs 看門狗:NEARonETH 輕客戶端驗證除驗證器簽名之外的所有標頭數據。它采用了一種樂觀的方法,假設所有簽名都是有效的,除非另有證明。這就是watchdog發揮功用的地方。有一個 4 小時的挑戰窗口,預先批準的watchdog可以對簽名數據提出異議。
如前所述,彩虹橋是無需信任的未經許可的,任何人都可以在未經許可的情況下與智能合約交互或部署、維護或使用橋接器。此外,用戶只需要信任 NEAR 和 Ethereum 網絡的安全性;沒有額外的驗證者來監督橋上資產的流動。
在兩個不同的場合,黑客試圖以完全相同的方式利用彩虹橋。他們充當中繼者,向 NEARonETH 客戶端發送無效數據,試圖從網橋中提取資金。該交易已成功提交到以太坊網絡,需要 5 ETH 的保證金。在漏洞利用嘗試不到一分鐘后,自動看門狗就對惡意交易提出了質疑,不僅阻止了攻擊,而且還導致攻擊者損失了他們的保證金。
NEAR 團隊在設計這座橋時假設它會受到攻擊。他們完全避免了集中故障點(本地網橋驗證器)帶來的額外風險,并實施了自動緩解系統(看門狗)來保護網橋免受攻擊。此外,橋接器定期接受審計以驗證功能,要求用戶存款以阻止他們攻擊系統,為團隊提供自動警報系統,并運行頻繁的漏洞賞金計劃以補償那些發現他們沒有發現的漏洞的人。
總體而言,由于其自動檢查系統和團隊對細節的關注,彩虹橋的安全級別有所提高。橋是去中心化的:沒有可以泄露密鑰的集中式運營商。然而,這并不意味著這座橋是完全防黑客的。隨著任何即將到來的升級,開發人員需要確保所有代碼簡潔、高效和安全,以防止任何智能合約漏洞。
結論
更大的加密生態系統會演變為一個多鏈世界,沒有一個單一的區塊鏈會統治所有這些世界。互操作性對于實現這一目標至關重要。跨鏈橋不僅有助于消除孤立的生態系統,還提供更大的流動性、更好的用戶體驗并減少單個網絡擁塞。
跨鏈橋對于黑客來說是有吸引力的目標,需要在設計時考慮到這種風險。更高程度的去中心化和更細心的開發人員監督是兩個有助于防止未來攻擊的解決方案。包括彩虹橋背后的團隊在內的開發人員還實施了更強大的安全措施、阻止漏洞利用的賞金計劃和系統審計,以確保橋上資金的安全。為了讓 DeFi 發展成為一個可信的生態系統,需要減少橋梁中的漏洞。
區塊引擎
個人專欄
閱讀更多
金色早8點
財經法學
成都鏈安
PANews
Bress
鏈捕手
Odaily星球日報
Tags:NEARETHRONDEFnear幣前景怎么樣togetherbnb手游下載中文版ron幣種Earn DeFi Coin
當這個倒計時為零時,大多數以太坊生態系統將轉向新的權益證明鏈,除了少數心懷不滿的以太坊礦工將坐在價值數百萬美元的采礦設備上.
1900/1/1 0:00:008月初,阿里研究院公眾號發了一篇題為《中國的“無聊猿”在哪里?數字藏品市場的機遇與挑戰》的文章。很遺憾,文章提出了問題,卻沒有給出答案.
1900/1/1 0:00:00與ETHPoW交互可能會有很大的風險,所以這里將給你一個檢查清單,你可以用它來避免分叉中可能遇到的風險.
1900/1/1 0:00:001.金色觀察|a16z:以太坊合并意味著什么?以太坊合并——周四一早發生的以太坊重要升級——將成為開源歷史上一個最重要的時刻.
1900/1/1 0:00:00原文標題:《ArkStream Capital:靈魂綁定代幣現狀和未來方向全解析》原文作者:Larissa??原文來源:ArkStream Capital 公眾號 TL; DR 1.
1900/1/1 0:00:001.DeFi代幣總市值:470.35億美元 DeFi總市值 數據來源:coingecko2.過去24小時去中心化交易所的交易量53.
1900/1/1 0:00:00