以太幣交易所 以太幣交易所
Ctrl+D 以太幣交易所
ads

5次跨鏈橋漏洞攻擊總損失已超13億美元,誰來為這天價損失買單?_ETH

Author:

Time:1900/1/1 0:00:00

2022年自年初至今,僅5次的跨鏈橋攻擊就導致了13.17億美元的損失。

2022年自年初至今,僅5次的跨鏈橋攻擊就導致了13.17億美元的損失——這個數字是2022年Web3.0行業因黑客、欺詐、漏洞等事件造成總資產損失金額的57%。

之所以跨鏈橋攻擊的損失如此巨大,是因其本身的固有安全漏洞及整個領域缺乏防御攻擊專業意識和相關理論知識。

規模位于前三的跨鏈橋攻擊事件分別為:RoninNetwork,造成6.24億美元的損失;Solana跨鏈橋項目蟲洞,造成3.26億美元的損失;Nomad,造成1.9億美元的損失。

本文將通過分析今年發生的這5起尤其是具有代表性的NomadBridge攻擊事件,與大家探討跨鏈橋的安全問題及解決方式。

跨鏈橋安全

第115次以太坊ACDC會議:Devnet 8將在下周初推出:8月11日消息,Galaxy 研究副總裁 Christine Kim 發文總結第 115 次以太坊核心開發者共識會議(ACDC)表示,Devnet 8 將在下周初推出。這將是第一個專用的測試網,其中包含了 Cancun/Deneb 升級的所有已完成 EIP。此外,Holesky 測試網將于 9 月底推出,擁有 140 萬個驗證者,是主網規模的兩倍。開發人員重申了將 EIP 4788 重寫為普通合約的決定。[2023/8/12 16:21:36]

在分析這幾起攻擊事件前,我們需要明確一下跨鏈橋存在的固有安全問題。

V神VitalikButerin曾在Reddit上寫道,因為51%攻擊的影響,他對跨鏈應用持悲觀態度。然而除此之外,還有更多需要考慮的其他問題。

在2022年7月22日發布的一個推特視頻中,Nomad的創始人JamesPrestwich解釋了為何行業普遍在跨鏈應用建立安全模型方面缺乏專業知識,以及為何獲取這些標準的專業知識需要花費一年的時間。

對于個人用戶來說,很難將資產從一個區塊鏈轉移到另一個區塊鏈,因此必須通過跨鏈橋來實現這一操作。跨鏈橋協議的原理是:用戶在A鏈將代幣存入,隨后在B鏈上收到債務代幣。一旦B鏈的債務代幣被銷毀,則A鏈存儲的代幣就會被釋放。

CertiK:5月份記錄了35次重大攻擊,總損失約為7330萬美元:金色財經報道,據CertiK監測,5月份記錄了35次重大攻擊,總損失約為7330萬美元。[2023/6/3 11:55:27]

為了實現這一功能,跨鏈橋需要實現這幾個功能:保管用戶存入的代幣,向用戶釋放債務代幣,以及在不同鏈之間發送消息的預言機。這使得跨鏈橋在安全方面更加脆弱——黑客可以下手的地方實在太多了。

條條大路通跨鏈橋,對黑客來說,又怎么能輕易拒絕這種快速暴富的攻擊渠道?攻擊造成的后果并不只是存款損失,一旦跨鏈橋產生漏洞或遭到攻擊,整個跨鏈橋的代幣將很可能失去所有價值。

RoninNetwork

RoninNetwork漏洞是有史以來最大的DeFi漏洞。

3月底,CertiK審計團隊監測到NFT游戲AxieInfinity側鏈RoninNetwork遭到攻擊,損失價值約6.24億美元的17.36萬枚ETH以及2550萬枚USDC。

RoninNetwork需要驗證九個驗證節點中的五個簽名。而攻擊者黑了4個SkyMavis的私鑰,制造了5個合法的簽名,即:4個SkyMavis驗證器和1個AxieDAO運行的第三方驗證器產生的簽名。

比特幣在2021年被宣布“死亡”45次:金色財經報道,根據比特幣教育門戶網站99Bitcoins的比特幣訃告數據,比特幣在2021年被宣布“死亡”的次數多達45次,是2020年的至少三倍。盡管2021年批評比特幣的人數不斷增加,但今年的“被死亡”次數仍遠低于2017年的記錄。BTC在2017年首次接近20,000美元,BTC在那一年“死亡”了124次。[2021/12/31 8:15:54]

這導致5個驗證器節點被破壞,高級魚叉式網絡釣魚攻擊是造成這一情況的罪魁禍首。

Solana跨鏈橋項目蟲洞

北京時間2022年2月3日凌晨1點58分,CertiK審計團隊監測到Solana跨鏈橋項目蟲洞遭到攻擊。

此次事件中,攻擊者通過注入一個欺騙性的sysvar賬戶繞過了系統驗證步驟,并成功生成了一條惡意“消息”,指定要鑄造12萬枚wETH。最后,攻擊者通過使用惡意“消息”調用了“complete_wrapped”函數,成功鑄造了12萬枚wETH,價值約3.26億美元。

Certik復盤Yearn閃電貸攻擊:黑客完成5次DAI與USDT從3crv中存取操作后償還閃電貸:Certik發布文章,復盤Yearn閃電貸攻擊。黑客操作的具體操作如下:

1.利用閃電貸籌措攻擊所需初始資金。

2.利用 Yearn.Finance 合約中漏洞,反復將 DAI 與 USDT 從 3crv 中存入和取出操作,目的是獲得更多的3Crv代幣。這些代幣在隨后的3筆轉換代幣交易中轉換為了USDT與DAI穩定幣。

3.完成5次重復的DAI 與 USDT 從 3crv 中存取操作后,償還閃電貸。[2021/2/5 18:57:51]

鑄幣兩分鐘后,攻擊者將1萬枚ETH橋接到以太坊鏈上,約20分鐘后,以太坊鏈上又產生了8萬枚ETH的交易。時至今日,這些資金仍在攻擊者的錢包里。

該事件造成的損失金額之大,令其成為了跨鏈橋史上第二大黑客攻擊事件。

FTX平臺幣FTT已完成第35次回購銷毀:據官方消息,根據FTT白皮書約定,數字資產衍生品交易所FTX已完成對其平臺幣FTT的第35次回購銷毀,共銷毀169,711 FTT(約41.55萬美金),銷毀頻率為每周。FTX平臺已銷毀FTT總數達3,362,830 FTT(約822.55萬美金)。現FTT市價為2.44美金,市值約為2.09億美元。作為FTX交易平臺幣,FTT可作為合約保證金,同時,FTT持幣人可享受交易手續費折扣。FTT同時也已上線Binance,?BitMax,?CoinEx,?Huobi, 和?Bitfinex交易所。[2020/3/26]

HarmonyBridge

北京時間2022年6月23日19:06:46,CertiK審計團隊監測到Harmony鏈和以太坊之間的跨鏈橋經歷了多次惡意攻擊。

CertiK團隊安全專家分析,此次攻擊事件可能源于黑客掌握了owner的私鑰——攻擊者控制MultiSigWallet的所有者直接調用confirmTransaction從Harmony的跨鏈橋上轉移大量代幣,導致Harmony鏈上價值約9700萬美元的資產被盜,該筆資金后被轉移至TornadoCash。

這起攻擊事件涉及到了12筆價值約5萬美元到4120萬美元以上的交易及3個攻擊地址,涉及到的代幣包括ETH、USDC、WBTC、USDT、DAI、BUSD、AAG、FXS、SUSHI、AAVE、WETH和FRAX。

QubitBridge

發生于年初的Qubit攻擊事件也是一個典型的跨鏈橋漏洞事件。

2022年1月27日,CertiK審計團隊監測到Qubit遭到攻擊,導致了約8000萬美元的損失。

攻擊者調用了QBridge合約,在沒有提供任何加密貨幣的情況下使bridge合約產生了攻擊者已存款的虛假時間證明。

ETH和ERC-20的存款共享相同的事件證明,因此允許攻擊者調用該函數利用不存在的ERC20存款事實生成虛假的ETH存款事件證明,并以此在另一條鏈上提取ETH。因此,攻擊者在沒有向合約發送任何代幣的情況下通過了QBridgeHandler證明,并在交叉鏈上鑄造了大約77,162個qxETH。黑客隨后將盜取的資金存入了TornadoCash。

NomadBridge

北京時間2022年8月2日,CertiK安全團隊監測到NomadBridge遭受攻擊,導致了價值約1.9億美元的損失。

合約的問題在于在initialize()函數被調用的時候,“committedRoot”被設成了0x00地址。因此,攻擊者可以通過消息的驗證,將在橋合約中的代幣轉移。鎖倉總價值由1.9億美元驟降為1.2萬美元——這實質上使得攻擊者可以在A鏈上存入1ETH而在B鏈上收到100ETH。

這個漏洞的神奇之處在于,看起來好像沒有任何一個直接攻擊者。但至少有41個錢包參與了此次攻擊,我們可以認為它是Web3.0世界第一個「群體作案」。也許正是因為這個原因,攻擊者可以輕易地從橋上提取資金。

第一筆可疑交易發生在8月2日凌晨5:32,100wBTC被轉移到0x56d8......我們可以觀察到代幣從這里開始持續瘋狂轉移。

這樣的漏洞也在吸引著如RariCapital攻擊者這樣的以往Web3.0黑客。

另外有個有意思的地方是,還有個惡意者試圖對這起事件的黑客進行網絡釣魚攻擊,ta持有ENSnomadexploiter.eth的EOA向持黑客EOA發送了鏈上信息,在8月2日注冊冒充Nomad與黑客進行談判:

Nomad在推特上發布聲明稱這不是他們干的

寫在最后

這些攻擊事件的漏洞在持續警醒我們:跨鏈橋漏洞所能造成的破壞性極其巨大。

Web3.0世界目前急需更安全和更廣泛的跨鏈應用。未來同類性質的漏洞可能會出現的越來越多、越來越頻繁。

我們可以盡力而為的至少是確保項目代碼經過了完備的測試和安全審計,這將大幅提高面對高破壞性黑客攻擊的抵御能力。

在加密行業你想抓住下一波牛市機會你得有一個優質圈子,大家就能抱團取暖,保持洞察力。如果只是你一個人,四顧茫然,發現一個人都沒有,想在這個行業里面堅持下來其實是很難的。

想抱團取暖,或者有疑惑的,歡迎加入我們

感謝閱讀,我們下期再見!

Tags:ETHHarmonyUSDETH錢包地址ETH挖礦app下載Etherael指什么寓意Harmony幣是什么幣USD幣USD價格

幣安app官方下載最新版
BLUR風險爆發,將會變成泡沫?_BLUR

BLUR已經連續五日交易量和交易次數都超過opensea,而且是碾壓式的。很多人說是挖k驅動的,這話只說對了一小半,當初搞交易挖k的looksrare、x2y2也沒能分走opensea的零頭.

1900/1/1 0:00:00
2023 年我們應該期待什么?百倍方向的選擇!_加密貨幣

2022年來了又去,無疑是坎坷的一年。2022年是加密歷史上最動蕩的年份之一,在大流行期間經歷了爆炸性的幾年后進入了熊市在看到加密貨幣在2020年和2021年躍升至全新水平之后,今年是市場出現一.

1900/1/1 0:00:00
為什么 ETH 看起來準備開始牛市至 2000 美元_以太坊

在過去的一年中,以太坊價格與其他加密貨幣市場一起暴跌,并且表現不佳。盡管如此,鑒于過去幾個月中出現了各種不同的看漲情況,許多人認為ETH的價格可能很快就會升值并重回2000美元大關.

1900/1/1 0:00:00
如何利用 DeFiLlama 挖掘未被發現的 10 倍潛力項目_TVL

公鏈的流動性牽引效應 想象一下你正在購買房地產,你首先一定會查看哪些是備受關注的一線熱門城市,這一樣是你看待每個生態系統時應有的態度.

1900/1/1 0:00:00
以太坊「ETH」即將投降?先看看這些 PoS 指標_ETH

一個盈利的交易日真的很難得。特別是當一位美國億萬富翁投資者剛剛呼吁禁止加密貨幣時。有趣的是,在他向CNBC發表聲明后14小時,市場離末日還很遙遠.

1900/1/1 0:00:00
比特幣“在任何月底跌破2萬美元的可能性非常小”——這就是原因_比特幣

其中一位加密貨幣分析師表示,比特幣可能會保持在20,000美元以上序號改善了BTC礦工的狀態。在過去的幾天里,比特幣突破了24,000美元的關口,占據了頭條新聞,這仍然是一個重要的心理水平.

1900/1/1 0:00:00
ads