HAI:跨鏈橋接連出事 用戶如何自救？_CHA

作者：夫如何

7月7日，價值超1億美元的代幣已從Fantom網絡上的Multichain橋上撤出，轉移的代幣包括價值5800萬美元的穩定幣USDC、1020枚WBTC（約合3090萬美元）、7200枚WETH（約合1370萬美元）和400萬美元穩定幣DAI（上述四種代幣價值已超1億美元），這還包括Chainlink、CurveDAO、YFI、WootradeNetwork等其他代幣以及UniDex總供應量的近四分之一。資產似乎也在Multichain的Moonriverbridge上移動，其中包括480萬枚USDC和100萬枚USDT。Dogechain也出現了異常資金流動，至少66萬枚USDC被發送到與Moonriver資金流動相同的錢包。

ZenGo：從Polygon官方跨鏈橋轉至以太坊的ERC-20代幣中有價值超2700萬美元的資產并未被申領:11月29日消息，加密貨幣錢包ZenGo發布文章稱，在研究對Polygon的支持時，發現Polygon官方跨鏈橋合約在以太坊端相較Polygon端多出了價值約2700萬美元的資產。

ZenGo稱，此舉或由于從Polygon上通過官方跨鏈橋跨鏈至以太坊后需要手動申領跨鏈的代幣，但很多用戶并未執行申領操作。其中，0x0076開頭的地址從Polygon上向以太坊跨鏈轉賬超812枚WETH和超54枚WBTC（總價值超200萬美元）但均未在以太坊端進行申領。[2022/11/29 21:08:25]

對此，Multichain發推稱：其MPC地址上的鎖定資產已異常移動到未知地址。團隊不確定發生了什么，目前正在進行調查。建議所有用戶暫停使用Multichain服務，并撤銷所有與Multichain相關的合約授權。

報告：Nomad跨鏈橋事件中有88%的攻擊地址是“模仿者”:8月11日消息，Coinbase在博客文章中對上周Nomad跨鏈橋黑客攻擊事件進行了分析，根據該文章，參與此次攻擊的地址中，88%的地址已被確定為“模仿者”，在8月1日盜取了總價值8800萬美元的代幣。“模仿”方法是原始漏洞利用的變體，該漏洞利用了Nomad智能合約中的一個漏洞，允許用戶從不屬于他們的跨鏈橋中提取資金。模仿者復制相同的代碼，但修改目標代幣、代幣數量和接收地址。就提取的資金總額而言，前兩名黑客是盜取的資金最多。由于wBTC、USDC和wETH代幣在Nomad跨鏈橋中的集中度最高，最初的黑客首先攻擊的是Bridge的wBTC，其次是USDC和wETH。

截至8月9日，從Nomad跨鏈橋合約中被盜的17%的資金已歸還，大部分歸還發生在Nomad跨鏈橋要求于8月3日將資金發送到回收地址后的幾個小時內，而最近幾天的速度比最初發布地址時要慢。34%的被盜資金尚未移動， 49%的被盜資金已從攻擊地址轉入其他地方。[2022/8/11 12:18:05]

Odaily星球日報通過多個渠道了解，有以下幾個方面說法：

跨鏈橋Stargate總鎖倉量接近40億美元:4月4日消息，數據顯示，由LayerZero Labs開發的跨鏈橋項目Stargate總鎖倉量已達39.67億美元。[2022/4/4 14:02:47]

安全公司派盾質疑：這可能與跨鏈平臺LayerZero增加對四種代幣（USDC、USDT、WETH和WBTC）的支持有關，這些代幣與被移動的代幣有重合但不完全一致。

LayerZeroCEOBryanPellegrino對此回應稱：這個問題與該平臺無關，并認為這是一次針對Multichain的黑客。Multichain橋用戶可能會提取資產，將其帶到LayerZero。

物聯網區塊鏈平臺IoTeX即將推出跨鏈橋ioTube v4:官方消息，物聯網區塊鏈平臺IoTeX即將推出跨鏈橋ioTube v4，支持跨鏈幣安智能鏈BSC，實現BSC,IoTeX和ETH之間的資產雙向跨鏈轉換。

據悉，今年IoTeX跨鏈基礎設施不斷完善發展，后續還將支持波卡，Heco，Fantom等更多公鏈跨鏈，IoTeX生態dapp和DeFi項目啟動后將實現無縫跨鏈流動。ioTube 是 IoTeX 2019年開始推出的跨鏈基礎設施，是物聯網開放金融#DeFIoT 的系列基礎組件之一，為開發者提供去中心化資產和數據跨鏈協議模塊，同時支持桌面和移動版本。[2021/3/13 18:42:10]

Wintermute研究主管IgorIgamberdiev表示，這很可能是控制Multichain的人所為，因為交易發生時，Fantom一側的資金并沒有被銷毀。奇怪的是，收到大量USDC的錢包還在幾個小時前從舊的BinanceSmartChain（即BNB Chain）橋上進行了交易。

新火科技研究員0xLoki在推特上表示：“Multichain攻擊者大概率不是黑客，Multichain或已失去MPC多簽控制權。"并列下以下3點闡述：

1. 轉移者有充足的時間，考慮到MPC的技術特點，轉移者很可能通過某種方式完全取得了超過閾值的私鑰分片的控制權。

2. 攻擊方式非常簡單，就是單純的轉賬操作，沒有合約，還有測試，攻擊者大概率不是黑客。

3. 轉移者并未進行進一步的處置和變現，操作人可能沒有絕對的決定權。

目前，事件的真相還需官方做出解答，Odaily星球日報查看 DefiLlama上關于Multichain的TVL變化，發現24小時內已經有99.76%的資金撤出，說明用戶針對此事件反應相對猛烈。

3444444444444

距離上次PolyNetwork黑客事件還不到一周時間，跨鏈橋中頭部項目Multichain再次發生資金風險問題。當下，跨鏈橋已經成為黑客攻擊等安全事故的重災區，根據0xScope團隊在《跨鏈橋為什么這么多事故？》中表述，跨鏈橋資金風險主要體現在三個方面：

1. 充值代幣方面：充幣合約權限漏洞、假幣充值問題、幣種適配性問題。

2. 跨鏈消息轉移：充幣消息監聽和處理發起、充幣正確性驗證、跨鏈處理確認。

3. 多重簽名驗證問題：多重簽名的去中心化程度。

在萬鏈互聯的大環境下，跨鏈橋作為互聯的關鍵點，其沉淀巨額資金，并且自身技術復雜、技術環節較多，加上其頻繁更新，極易作為黑客攻擊的首選，目前出事的項目一定是有漏洞被利用，還沒出事的項目也無法保證未來就不會有問題。我們應該如何自救？

1. 當事故出現時，盡快撤銷對該跨鏈橋的合約授權，防止進一步風險蔓延，可以通過所在區塊鏈的瀏覽器中approvalchecker進行撤銷，同時建議大家定期審核清理一些對自身無用的合約授權，黑客常常會通過智能合約中的漏洞來多次提取資產。

2. 有頻繁跨鏈需求的用戶需要密切關注跨鏈橋的相關信息，比如安全公司預警的風險提示，官方預告的升級等，第一時間了解做好應對準備。

作為跨鏈橋 LP 的參與者，面對此類事件，要積極與項目方溝通，鎖定的資產要做好記錄，等待事后的解決。

金色財經

企業專欄

閱讀更多

金色早8點

Block unicorn

DAOrayaki

曼昆區塊鏈法律

Tags：AINCHAChainHAIblockchain官方網站supmchaindatachainKoHo Chain

MATIC