回顧史上規模最大的十次跨鏈橋攻擊_WOR

跨鏈橋又雙叒叕出事了。今日早間，BNBChian跨鏈橋BSCTokenHub遭遇攻擊。黑客利用跨鏈橋漏洞分兩次共獲取200萬枚BNB，總價值高達5.66億美元。關于此次事件的具體過程，Odaily星球日報已在《解析：約5.66億美元BNB被盜全過程》一文中做了詳細梳理。跨鏈橋一直都是黑客事件的高發區，Chainalysis在八月初發布的一份報告中曾提及，跨鏈橋相關的金額損失已高達20億美元，其中大部分發生在2022年間，占今年行業總數據的69%。

即便是BNBChian這次高達5.8億美元的超大額資金損失，放在跨鏈橋的“黑歷史”中也只是堪堪擠進前三名。下文中，Odaily星球日報將對過往十次較大規模的跨鏈橋黑客事件再做一次簡單復盤，希望所有開發團隊都能以史為鑒，提高警惕。

Compound創始人發推回顧項目歷史，成功并非一朝一夕:Compound創始人Leshner發推回顧了Compound發展歷史，并表示Compound的成功并非一朝一夕，成功也靠站在巨人的肩膀之上。以下為Leshner提及的Compound發展歷史：

2017年，Compound是一個去中心化貨幣市場，這得益于以太坊基金會、Consensys等將以太坊構建為一個完整的生態系統，使得其上智能合約的部署成為可能。

2018年9月，Compound v1上線，主要做了這些初始工作：實現池子流動性（而非通過訂單簿）；基于供需實現算法利率；利率指數（用于為不限量的用戶調整持幣余額）。

Compound v2中，引入了cToken概念，這是一種代幣化余額，該想法的靈感來自于和@delitzer的對話，@delitzer一直在探究DeFi的可組合性。

Compound治理系統基于協議和社區決策，MakerDAO系統的首個可行治理方案為Compound提供了借鑒。

COMP代幣整合了投票委托功能，靈感來自Tezos。

COMP代幣分發是將項目主要價值給到用戶和協議參與者的一次實驗，靈感來自Synthetix在DeFi激勵機制中的設計，以及中本聰的比特幣白皮書。[2020/6/20]

Block.one發文回顧近期EOSIO版本更新:Block.one近日發布EOSIO版本最近更新回顧，并表示將在發布最新版本的同時，對早期版本進行各種 Bug修復和穩定性更新補丁。

1. EOSIO-explorer v1.2.0：2020年5月5日，發布eosio-explorer v1.2.0，并將其更新為EOSIO v 2.0.5。

2. EOSIO v 2.0.5：2020年4月21日，發布EOSIO v 2.0.5。此版本中的更新包括安全性，穩定性和其他更改。

3. EOSIO-swift v0.4.0：2020年4月14日，發布 eosio-swift v0.4.0。

4. Elemental Battles（元素之戰）：2020年4月27日，發布Elemental Battles v1.1.12，并將其更新為 EOSIO v 2.0.5。（MEET.ONE）[2020/6/18]

1.RoninNetwork

事件回顧丨美聯儲降息至0 市場短暫波動回吐所有漲幅:美聯儲今日緊急宣布降息100個基點至0-0.25%的水平，并宣布啟動了一項規模達7000億美元的規模擴大寬松計劃。此舉是美聯儲史上最大的行動。降息和量化寬松政策，但都在一天內完成，且距離上一次緊急降息僅12日。

受此影響現貨黃金開盤跳漲1.4%，跳空高開逾20美元。隨后一度擴大漲幅至近3%并上破1570美元關口，然而數分鐘后急劇回落，悉數回吐所有漲幅。現貨白銀漲1.44%，一度重回15美元關口，但沒能站穩。

油市延續上一周跌勢，WTI原油跌幅擴大至10%，失守30美元/桶。

而比特幣今日也從凌晨5點開始，價格大幅拉升，最高時達到5939USDT，隨后回吐漲幅至5300USDT附近。[2020/3/16]

今年三月下旬，AxieInfinity側鏈RoninNetwork的跨鏈橋遭到攻擊，損失總額高達6.24億美元。根據后續各方的披露，Ronin所遭受的攻擊系社會工程學攻擊。首先，一家虛假公司的員工通過領英聯系到了AxieInfinity和Ronin開發商SkyMavis的員工，并邀請他們來工作；隨后，SkyMavis的一名員工在面試后獲得了假Offer，在他下載了偽造的Offer文件之后，黑客軟件滲透到Ronin系統中，并接管了9個驗證者節點中的4個；再然后，黑客通過SkyMavis控制了AxieDAO，后者曾允許SkyMavis代表其簽署各種交易；最終，黑客控制了絕大多數的驗證者節點，繼而控制了整個網絡。Ronin一事不單單是跨鏈橋歷史上規模最大的黑客事件，如果按照事件發生時的市場價格計算，這更是整個加密貨幣歷史上涉案金額最大的黑客事件。幸運的是，通過后續融資，RoninNetwork此后啟動了對用戶的賠付，并于六月底重啟了其跨鏈橋。2.PolyNetwork

精選 | 九月區塊鏈聲音回顧:1.經合組織(OECD)秘書長：區塊鏈不是一種政策或監管而是一種工具。

2.央行主管金融時報：區塊鏈技術與央行數字貨幣存在三大分歧。

3.中國信通院：當前區塊鏈技術的發展趨勢體現在五個方面，面臨四大挑戰。

4.薩摩亞中央銀行：加密貨幣發起人將被視為金融機構，加密貨幣不是法幣。

5.中關村區塊鏈產業聯盟理事長元道：通證發行與IC0融資沒有必然關系。

6.清華大學邢春曉：要抓住區塊鏈帶來的科技革命和產業變革機遇。

7.中國政法大學許曉東：哈希值校驗是可信時間戳和區塊鏈技術的基礎環節。

8.孟巖：對實體經濟的通證化道路提出四點建議。

9.中國農行私人銀行部副總裁：利用區塊鏈等技術加快實施數字化轉型。

10.伯克利大學經濟學教授：穩定幣并不能解決所有問題。

11.肖風：穩定幣技術在未來一年將會迅猛發展。

12.中國旅游研究院產業所副所長：區塊鏈未來會改變在線旅游的格局。

13.余額寶創始人周杰：通證經濟才是區塊鏈的血液。

14.螞蟻金服副總裁蔣國飛：更看好公鏈技術。[2018/9/30]

去年八月，跨鏈互操作性項目PolyNetwork突遭黑客攻擊，損失金額高達6.1億美元。關于該起事件發生的原因，綜合多家安全公司的分析，釀成本次事件的禍因在于EthCrossChainData合約的keeper可由EthCrossChainManager合約進行修改，而EthCrossChainManager合約的verifyHeaderAndExecuteTx函數又可以通過_executeCrossChainTx函數執行用戶傳入的數據。盡管在各方的持續努力之下，黑客最終選擇了歸還全部6.1億美元贓款，但作為一起注定會被記入歷史的驚天大案，針對該事件本身及其相關趨勢進行復盤和梳理仍有著較大的警示意義。3.BSCTokenHub

回顧丨上周熱點事件：“投票”、“反彈”、“風險”排名前三:根據火幣區塊鏈大數據周度數據洞察，上周熱點事件排名前三的為“投票”、“反彈”和“風險”。其中“投票”主要涉及EOS超級節點的投票，以及幣安投票上幣等；“反彈”主要反映經歷上周幣價的暴跌后，本周幣價有所反彈；“風險”相關話題主要集中在：1、由于比特幣價格下跌和算力增長導致的挖礦風險，2、EOS主網上線后技術漏洞風險，3、場外交易風險（銀行卡凍結等）。[2018/6/25]

也就是本次事件，詳見《解析：約5.66億美元BNB被盜全過程》。4.Wormhole

今年二月，Solana生態最主要的跨鏈橋項目Wormhole遭到攻擊，損失約12萬枚ETH，價值約3.26億美元。該事件的具體流程為，攻擊者起初先是在Solana上鑄造了0.1WormholeETH，得到了“transfermessage”合約中的“post_vaa”函數，然后通過加載一個外部的合約繞過了簽名檢查合約，生成了Wormhole函數“complete_wrapped”所需的參數，進而實現了無限鑄幣。而發生這一切的根本原因是Wormhole使用了過期的系統合約，而沒有對參數所需的合約進行最新的升級。好在，當時還沒被UST打的JumpCrypto隨后宣布為Wormhole投入12萬ETH，以彌補被盜損失。5.Nomad

今年八月初，跨鏈通訊協議Nomad遭遇攻擊，致使橋內約1.9億美元的流動性被迅速耗盡。與其它黑客事件不同，Nomad可以說是被一群“黑客”集體薅禿的。據知名安全大神samczsun的分析，本次事故是因為Nomad在一次合約升級中將可信根初始化為0x00，導致任何人都可以使用一筆有效的交易，用自己的地址替換對方的地址，然后將交易廣播出去即可從跨鏈橋提取資金。事后統計顯示，本次攻擊共涉及到了1251個ETH地址。事后，在各方的努力下，Nomad最終收回了至少20%，并已于九月下旬發布了重啟計劃。6.HarmonyHorizon

今年六月，Harmony官方跨鏈橋Horizon遭到攻擊，損失約為1億美元。事后，Harmony創始人StephenTse承認，攻擊系因私鑰泄漏導致，資金從跨鏈橋的以太坊一側被盜，攻擊者成功訪問和解密其中一些密鑰，其中一些用于簽署未經授權的交易。事后，Harmony曾嘗試追回贓款，但最終無果。七月，Harmony發布了一版希望通過增發ONE代幣來賠償用戶損失的修復方案，但遭到了社區的集體反對，最終Harmony放棄了該方案。九月下旬，Harmony又提出了另一版不涉及代幣增發的修復方案，并計劃從10月開始為Horizon跨鏈橋恢復分配資金。7.Qubit

今年一月，借貸協議Qubit的跨鏈橋QBridge遭到攻擊，損失約8000萬美元。關于該起事故發生的原因，系因合約對白名單內代幣進行轉賬操作時未對其是否是0地址再次進行檢查，導致本該通過native充值函數進行充值的操作卻能順利走通普通代幣充值邏輯。事件發生后，Qubit的開發團隊TeamMound宣布已無法維持，因此決定解散，由該團隊領導開發的Bunny和Qubit協議將由DAO管理。社區將擁有升級合約、更改費用結構等所有相關權限。目前Qubit幾乎已無人使用，TeamMound雖表示會繼續賠付，但當前僅賠付了極小一部分資金。8.EvoDeFiBridge

今年六月，Oasis生態用戶發現其鏈上DEXValleySwap上的USDT和USDC出現嚴重脫錨，深究之后發現根本原因系因其依賴的跨鏈橋EvoDeFiBridge涉嫌在抵押不足的狀態下憑空鑄造橋接資產。具體來說，EvoDeFiBridge在Oasis鏈上生成了8300萬USDT和3300萬USDC，但抵押資產僅有1060萬USDT和1020萬USDC。根據安全數據庫Rekt的統計，該事件的給用戶造成的具體損失總額約為6600萬美元。事后，Oasis表態稱ValleySwap和EvoDeFiBridge和自己并沒有關系，后者的官方社交媒體也在此后停止更新，疑似已跑路。9.THORChain

去年六月至七月，跨鏈橋項目THORChain連續三次遭受黑客攻擊，合計損失約1600萬美元。事后，THORChain表態將分三步進行補償，第一批通過"國庫"劃撥出資產補償，第二批通過RUNE作為抵押從IronBank借出資產進行償還，第三批將在網絡重新運行后再進行補償。今年二月，THORChain在公布2021年第四季度財報時表示，此前因被盜所產生的債務已經全部償還。10.pNetwork

去年九月，跨鏈協議pNetwork遭受黑客攻擊，損失了277枚pBTC。針對該起事件，pNetwork表示系因黑客利用了其代碼庫中的一個漏洞，并從BSC區塊鏈中抽取pBTC，其它鏈上的合約則不受影響。事后，pNetwork曾表態如果不能追回贓款，將會啟動相應的賠付方案，但此后并未披露具體的賠付進展。小結

關于跨鏈橋的安全問題，業界早已是“老生常談”了。為什么跨鏈相關協議如此容易遭到攻擊？跨鏈橋到底該如何平衡效率與安全性？在安全形勢愈發嚴峻的當下，項目方、用戶等不同角色需要注意些什么？倘若真的發生了極端事故，又有哪些行之有效的彌補手段？此前，Odaily星球日報曾就這一系列問題采訪過PeckShield、BlockSec等知名安全公司，感興趣的讀者可以看看《對話頭部安全公司，為什么受傷的總是跨鏈橋？》一文。

Tags：WORCOMPCOMOMPGSENetworkcomp幣最新消息COMBIKompass

區塊鏈