買以太坊 買以太坊
Ctrl+D 買以太坊
ads

GATE:跨鏈橋安全事故頻發 我還能用嗎?_ARG

Author:

Time:1900/1/1 0:00:00

跨鏈互操作性的安全性,取決于其最薄弱的鏈接,而基于信任的跨鏈協議的安全模型,都考慮了第三方的額外安全假設。

昨晚,AxieInfinity專屬側鏈Ronin被曝被盜價值6.24億美元的加密資產,這也是迄今損失最為慘重的跨鏈橋安全事故。

令人尷尬的是,這次黑客事件還是在6天前發生的。

那Ronin究竟是如何被盜的呢?作為一條以太坊側鏈,Ronin的跨鏈橋采用的是MPC門限簽名技術,其設置的9個驗證者密鑰中,需要有5個或5個以上的驗證者密鑰批準才能進行存款和取款交易。

而其中有4個密鑰是由同一個人負責管理的,這意味著,只要攻擊者控制了SkyMavis的密鑰,然后再控制另一個驗證者密鑰,那么整個Ronin網絡的資金就被黑客掌控了。

而目前多數跨鏈橋項目,均采用了這樣的多重簽名技術,因此,理論上,這些項目也都可能會遭受類似的攻擊。

Layer2跨鏈橋Orbiter Finance現已支持OKX Web3錢包:4月26日消息,OKX Web3 錢包與 Layer2 跨 Rollup 橋 Orbiter Finance 達成官方合作,用戶可連接 OKX Web3 錢包登錄 Orbiter Finance 網站并使用其進行跨鏈交易,同時 OKX Web3 錢包的 Discover 板塊也收錄了 Orbiter Finance,用戶可搜索并進入 Orbiter Finance 在 L2 之間進行轉賬。[2023/4/26 14:27:56]

已經出現過的跨鏈攻擊方式

而私鑰攻擊,僅僅是攻擊跨鏈橋手段的其中一種方式。

例如此前的PolyNetwork黑客事件,黑客并不是通過盜取私鑰來完成攻擊,而是通過合約權限漏洞?實施了攻擊。

以太坊跨鏈橋Across Protocol已開放空投查詢頁面:10月11日消息,以太坊跨鏈橋Across Protocol已開放空投查詢頁面,Bridge Traveler計劃參與者(9月1日前首次使用Across的用戶)、社區成員、早期橋接用戶、以及流動性提供者可在次頁面查詢空投資格。

在啟動時,總計將鑄造10萬枚ACX,并通過空投的方式將1.25萬枚ACX分發給已為Across做出貢獻的用戶。對于社區成員的空投快照已于9月1日完成,對于早期橋接用戶的空投快照已于7月18日完成。流動性提供者認領空投的資格為在代幣發布之前將ETH、USDC、WBTC或DAI匯集到Across協議中。[2022/10/11 10:30:47]

再比如前段時間出事的Wormhole跨鏈橋,攻擊者也是利用了跨鏈橋的合約漏洞,欺騙了多重簽名人的簽名,鑄造出了12萬WormholeETH,最終將鎖定的8萬ETH轉移到了攻擊者自己的錢包。

Paradigm研究員:BSC跨鏈橋的驗證方式存在BUG:10月7日消息,Paradigm研究員samczsun在社交媒體上發文表示,鏈上數據及相關代碼顯示,BSC跨鏈橋的驗證方式存在BUG,該BUG可能允許攻擊者偽造任意消息。

本次攻擊中,攻擊者偽造信息通過了BSC跨鏈橋的驗證,使跨鏈橋向攻擊者地址發送了200萬枚BNB。[2022/10/7 18:41:33]

除此之外,歷史上還出現過假幣充值、偽造網站等跨鏈攻擊方式,基本上都是圍繞私鑰與合約漏洞展開的。

LayerZero的安全隱患

下面,我們來談談最近比較火的跨鏈項目LayerZero,以及基于該協議的第一個跨鏈應用stargate。

截至發稿時,stargate的池子里已經有了價值33.8億美元的穩定幣。

LayerZero旗下跨鏈橋Stargate Finance總鎖倉量突破25億美元:金色財經報道,據官網數據顯示,LayerZero旗下跨鏈橋協議Stargate Finance自上線以來,TVL已經超過25億美元。據悉,Stargate Finance是一個可組合的全鏈(Omnichain)原生資產跨鏈橋,目前已在以太坊、Avalanche、Polygon、BNBChain、Fantom、Arbitrum和Optimism等網絡上線,并支持用戶提供USDC、USDT、BUSD等幣種的流動性。(stargate.finance)[2022/3/25 14:17:54]

然而,該跨鏈項目的安全隱患問題同樣令人擔心。

跨鏈橋Wormhole宣布接入Fantom:3月9日消息,跨鏈橋 Wormhole 宣布接入 Fantom 網絡,目前已支持八條公鏈。據悉,Wormhole 此前已接入包括以太坊、Solana、Terra、BNB Chain、Polygon、Avalanche 和 Oasis 在內的七條公鏈。[2022/3/9 13:46:09]

例如,上周Optimism團隊向其發出警告,稱有人開始嘗試對Stargate進行不尋常的攻擊,隨后stargate團隊向samczsun等白帽黑客發起求助,后來修復了這個嚴重漏洞。而Stargate的問題不止于此,前幾日,Stargate被曝其核心合約都是由一個EOA地址私鑰控制的,這意味著如果這個私鑰遭到泄露,或者項目方想要作惡,那后果將不堪設想。

目前,盡管Stargate已經改成了2/3多重簽名機制?,但其依然有可能會遭遇類似RoninNetwork這樣的管理密鑰攻擊風險。

那跨鏈橋的安全問題那么多,真的就沒有希望了嗎?

信任最小化的跨鏈橋

并非那么絕對,只是說我們仍處于跨鏈的早期階段,而通過采用trustless的方式,我們可以降低一些潛在的攻擊面,以此提升系統的安全性

依靠欺詐證明的Nomad

例如,Nomad采用的是一種樂觀機制來提高跨鏈通信的安全性,其避免使用新的密碼學,并依靠欺詐證明和發布證明?來防止通道失敗。

該協議的設計核心是revocation而不是permission,這意味著密鑰管理者只能撤銷訪問,而不能允許訪問,換句話說,即便攻擊者控制了系統所有的管理密鑰,他也無法竊取資金,而他能夠做的最糟糕的事就是DoS攻擊整個網絡。

注:Nomad依然有可能會存在合約漏洞風險。

采用輕客戶端的IBC、Near彩虹橋等

多年來,采用輕客戶端&中繼的跨鏈通信協議被證明是當前最安全的跨鏈方式,例如Cosmos生態的IBC通信協議,其安全性就來自Tendermint共識的最終性,其設計沒有引入需要信任的第三方,握手首先在想要連接的兩個鏈之間啟動,然后確認。為了確認交易,一條鏈的有效性規則直接編碼到另一條鏈上的IBC輕客戶端中,并根據這些規則執行狀態驗證。

然后,輕客戶端可以根據交易對手鏈的最新一致狀態驗證與交易相關聯的區塊頭的Merkle證明,從而驗證ibc交易另一端鏈的狀態。

這種狀態驗證技術,以及來回傳遞數據包的中繼器運營商的實時網絡,確保IBC保持高度安全且無需許可。

然而,采用輕客戶端的方式,意味著IBC目前只能局限于其生態之內,而無法有效擴展到以太坊等EVM生態。

除此之外,通過IBC進行跨鏈,也并非是絕對安全的,正如Vitalik在2個月前撰寫的一篇帖子?里提到,當跨鏈協議連接的區塊鏈越多,問題就會變得越遭,如果有100條區塊鏈通過IBC互相連接,那么這些鏈之間就會有許多相互依賴的dapp,而51%攻擊其中一條鏈,也會造成系統性傳染,從而威脅整個生態系統的經濟。

再來回顧一下文章開頭的那句話:跨鏈互操作性的安全性,取決于其最薄弱的鏈接。這實際上也意味著,Cosmos生態在不解決共享安全的情況下,就很難實現更多長尾鏈的擴展,而這也是Cosmos在今年的重點。

當然,Vitalik也提到了,這些問題不會立即出現,51%攻擊任何一條PoS鏈,代價都是很大的,但他的提醒,確實是值得我們關注的

信任最小化的rollup跨鏈橋

再來簡單談談目前以太坊生態最依賴的rollup跨鏈橋,相比側鏈跨鏈橋,當前的rollup跨鏈橋可能看上去并沒有什么本質上的不同,兩者都會依賴n-of-m聯邦信任模型,但rollup跨鏈橋可以隨著發展去掉這個信任模型,而最終的風險點在于智能合約本身,而側鏈的跨鏈橋,當前只能依賴這個聯邦信任信任模型,同時還會面臨智能合約風險以及51%攻擊風險。

一些簡單的建議

跨鏈的水太深了,幾乎每種方案都會面臨多種潛在的攻擊方式,而系統設計的越是復雜,遭遇攻擊的可能性也就越大,因此,筆者并不建議通過現有的跨鏈橋在各個公鏈之間轉移過多的資產。如果實在有需求,那我會建議采取以下幾種方式,以降低遭遇攻擊的風險;

通過較安全的中心化交易所,兌換對應鏈的原生資產,然后將其提取到相應鏈,以避免可能的智能合約風險。

采用信任最小化的跨鏈橋,例如IBC、Nomad以及成熟的rollup跨鏈橋。

暫時不看TVL指標,這個值越高,跨鏈橋被黑客攻擊的可能性也就越大。

采用長期存在,并且從未出過安全事故的跨鏈橋,同時盡量避免使用不同生態之間的跨鏈橋。

最后,衷心希望跨鏈橋能夠越來越安全。

Tags:ARGGATGATEANCCHARGED價格gate.io交易平臺安全嗎gate.io怎么賣幣Yoco Finance

歐易交易所app下載
TOKE:從傳統投資到加密市場DeFi掘金 投資者們的正確方式_DAO

巨鯨伯克希爾,散戶望塵莫及? 伯克希爾的誕生? 1956年,時年二十六歲的沃倫·巴菲特成立了一家投資合伙企業,以收購中小企業和入股大型企業.

1900/1/1 0:00:00
NFT:歐易氣象播報 一文讀懂行業晴雨表_okex幣圈

“冷暖反轉”: 近日,美聯儲加息冷空氣襲來。據悉,本次冷空氣具有時間周期長、覆蓋范圍廣、降溫力度大等特點,并且可能會在縮表的影響下再度升級.

1900/1/1 0:00:00
PLU:金色趨勢丨BTC站上120日線 牛就回來了?_Virtacoinplus

金色晚報 | 11月27日晚間重要動態一覽:12:00-21:00關鍵詞:PlusToken、Libra、ETC硬分叉、Upbit交易所 1.

1900/1/1 0:00:00
穩定幣:金色趨勢丨BTC到頂了嗎?_比特幣行情圖三條線

月線已收線,BTC未能站上頂底0.5回撤位47711美金上方,這與去年519大跌后筑底再反彈的情況不同,上圖可以看到前期月線是有效突破0.5壓制線,后面月線回踩后繼續向上拉升.

1900/1/1 0:00:00
LOCK:SEC:加密資產托管者應將其視為負債并披露風險_BCB Blockchain

金色財經報道,根據美國證券交易委員會(SEC)周四發布的指南,上市加密貨幣交易所必須在其資產負債表上把其客戶的數字代幣列為負債.

1900/1/1 0:00:00
ATM:北京上海深圳都在建設:獨家專訪解密“數據交易所”_比特幣行情圖分析

在2月28日的國新辦發布會上,工信部總工程師、新聞發言人田玉龍透露,要積極培育數據要素市場,支持北京、上海建設數據交易所。京滬兩地的數據交易所已經在2021年相繼成立.

1900/1/1 0:00:00
ads