2022年自年初至今,僅5次的跨鏈橋攻擊就導致了13.17億美元的損失——這個數字是2022年Web3.0行業因黑客、欺詐、漏洞等事件造成總資產損失金額的57%。
之所以跨鏈橋攻擊的損失如此巨大,是因其本身的固有安全漏洞及整個領域缺乏防御攻擊專業意識和相關理論知識。
規模位于前三的跨鏈橋攻擊事件分別為:RoninNetwork,造成6.24億美元的損失;Solana跨鏈橋項目蟲洞,造成3.26億美元的損失;Nomad,造成1.9億美元的損失。
本文將通過分析今年發生的這5起尤其是具有代表性的NomadBridge攻擊事件,與大家探討跨鏈橋的安全問題及解決方式。
跨鏈橋安全
在分析這幾起攻擊事件前,我們需要明確一下跨鏈橋存在的固有安全問題。
V神VitalikButerin曾在Reddit上寫道,因為51%攻擊的影響,他對跨鏈應用持悲觀態度。然而除此之外,還有更多需要考慮的其他問題。
Archblock使用Chainlink的儲備證明系統進行TrueUSD驗證:金色財經報道,TrueUSD穩定幣的發行商Archblock表示,它將使用Chainlink的儲備證明系統,讓用戶通過自動數據饋送驗證其儲備是否已完全抵押在區塊鏈上。[2023/2/22 12:23:10]
在2022年7月22日發布的一個推特視頻中,Nomad的創始人JamesPrestwich解釋了為何行業普遍在跨鏈應用建立安全模型方面缺乏專業知識,以及為何獲取這些標準的專業知識需要花費一年的時間。
對于個人用戶來說,很難將資產從一個區塊鏈轉移到另一個區塊鏈,因此必須通過跨鏈橋來實現這一操作。跨鏈橋協議的原理是:用戶在A鏈將代幣存入,隨后在B鏈上收到債務代幣。一旦B鏈的債務代幣被銷毀,則A鏈存儲的代幣就會被釋放。
為了實現這一功能,跨鏈橋需要實現這幾個功能:保管用戶存入的代幣,向用戶釋放債務代幣,以及在不同鏈之間發送消息的預言機。這使得跨鏈橋在安全方面更加脆弱——黑客可以下手的地方實在太多了。
條條大路通跨鏈橋,對黑客來說,又怎么能輕易拒絕這種快速暴富的攻擊渠道?攻擊造成的后果并不只是存款損失,一旦跨鏈橋產生漏洞或遭到攻擊,整個跨鏈橋的代幣將很可能失去所有價值。
Blur發布版稅更新政策,包括推薦不使用OpenSea:金色財經報道,據Blur官推發布公告,該NFT市場宣布更新版稅政策,其中概述了創作者版稅一些選擇,每一種都會對Blur、創作者和OpenSea(Blur競爭獨守)產生不同的影響,主要涉及四種情況:1、如果藏品不使用Block,將無法禁止零版稅或可選版稅市場,在這種情況下,Blur將收取0.5%的版稅,而OpenSea則是可選版稅;2、Block Blur,任何禁止Blur或其他零版稅/版稅可選市場的NFT項目都將在OpenSea上被強制執行版稅,但交易仍可以在Blur上進行,需要收取最低0.5%的版稅;3、Blur推薦不使用OpenSea,Blur希望創作者不使用OpenSea,任何不使用OpenSea的NFT項目在Blur上都會被強制執行全額版稅;4、Blur要求OpenSea取消對Blur上NFT項目設置可選版稅的設置,如果OpenSea取消該政策,NFT項目將可以同時在兩個平臺上收取版稅。目前NFT項目創作者無法同時在Blur和OpenSea上收取版稅,只能在OpenSea或Blur兩者之一收取全部版稅,但不能同時收取。[2023/2/16 12:09:38]
RoninNetwork
比特幣全網未確認交易數量為261筆:金色財經報道,BTC.com數據顯示,目前比特幣全網未確認交易數量為261筆,全網算力為263.83 EH/s,24小時交易速率為3.92交易/s,目前全網難度為34.09 T,預測下次難度上調8.40%至36.96 T,距離調整還剩2天8小時。[2023/1/14 11:11:18]
RoninNetwork漏洞是有史以來最大的DeFi漏洞。
3月底,CertiK審計團隊監測到NFT游戲AxieInfinity側鏈RoninNetwork遭到攻擊,損失價值約6.24億美元的17.36萬枚ETH以及2550萬枚USDC。
RoninNetwork需要驗證九個驗證節點中的五個簽名。而攻擊者黑了4個SkyMavis的私鑰,制造了5個合法的簽名,即:4個SkyMavis驗證器和1個AxieDAO運行的第三方驗證器產生的簽名。
這導致5個驗證器節點被破壞,高級魚叉式網絡釣魚攻擊是造成這一情況的罪魁禍首。
比特幣礦企Marathon成為BTC持有量第二大上市公司:11月9日消息,在11月8日舉行的第三季度財報電話會議上,比特幣礦企Marathon Digital首席執行官Fred Thiel宣布該公司持有的BTC數量已經達到11,300枚,價值約合2.05億美元,躋身成為BTC持有量第二大的上市公司,僅次于MicroStrategy,超過了加密貨幣交易所Coinbase和Jack Dorsey旗下支付公司Block Inc.。(Cointelegraph)[2022/11/9 12:37:26]
Solana跨鏈橋項目蟲洞
北京時間2022年2月3日凌晨1點58分,CertiK審計團隊監測到Solana跨鏈橋項目蟲洞遭到攻擊。
此次事件中,攻擊者通過注入一個欺騙性的sysvar賬戶繞過了系統驗證步驟,并成功生成了一條惡意“消息”,指定要鑄造12萬枚wETH。最后,攻擊者通過使用惡意“消息”調用了“complete_wrapped”函數,成功鑄造了12萬枚wETH,價值約3.26億美元。
鑄幣兩分鐘后,攻擊者將1萬枚ETH橋接到以太坊鏈上,約20分鐘后,以太坊鏈上又產生了8萬枚ETH的交易。時至今日,這些資金仍在攻擊者的錢包里。
圖靈獎獲得者邁克爾·斯通布雷克:元宇宙落地尚早:金色財經報道,2014年圖靈獎獲得者、全球知名數據庫專家邁克爾·斯通布雷克在第八屆中國國際大數據產業博覽會上發表題為《如何從數據資產中獲得最大價值》的主旨演講,他認為,“數字經濟”有多層含義,里面不乏數字貨幣、數字化B-to-B供應鏈、數字服務、數字購物等“元素”,但表示“元宇宙落地尚早”,當下的“元宇宙”還只停留在概念階段,大多數時候被社交媒體和游戲廠商當做營銷口號、吸睛噱頭,這樣似是而非的“元宇宙”,只會讓該項技術落地變得越來越復雜。[2022/6/1 3:54:35]
該事件造成的損失金額之大,令其成為了跨鏈橋史上第二大黑客攻擊事件。
Harmony?Bridge
北京時間2022年6月23日19:06:46,CertiK審計團隊監測到Harmony鏈和以太坊之間的跨鏈橋經歷了多次惡意攻擊。
CertiK團隊安全專家分析,此次攻擊事件可能源于黑客掌握了owner的私鑰——攻擊者控制MultiSigWallet的所有者直接調用confirmTransaction從Harmony的跨鏈橋上轉移大量代幣,導致Harmony鏈上價值約9700萬美元的資產被盜,該筆資金后被轉移至TornadoCash。
這起攻擊事件涉及到了12筆價值約5萬美元到4120萬美元以上的交易及3個攻擊地址,涉及到的代幣包括ETH、USDC、WBTC、USDT、DAI、BUSD、AAG、FXS、SUSHI、AAVE、WETH和FRAX。
Qubit?Bridge
發生于年初的Qubit攻擊事件也是一個典型的跨鏈橋漏洞事件。
2022年1月27日,CertiK審計團隊監測到Qubit遭到攻擊,導致了約8000萬美元的損失。
攻擊者調用了QBridge合約,在沒有提供任何加密貨幣的情況下使bridge合約產生了攻擊者已存款的虛假時間證明。
ETH和ERC-20的存款共享相同的事件證明,因此允許攻擊者調用該函數利用不存在的ERC20存款事實生成虛假的ETH存款事件證明,并以此在另一條鏈上提取ETH。因此,攻擊者在沒有向合約發送任何代幣的情況下通過了QBridgeHandler證明,并在交叉鏈上鑄造了大約77,162個qxETH。黑客隨后將盜取的資金存入了TornadoCash。
NomadBridge
北京時間2022年8月2日,CertiK安全團隊監測到NomadBridge遭受攻擊,導致了價值約1.9億美元的損失。
合約的問題在于在initialize()函數被調用的時候,“committedRoot”被設成了0x00地址。因此,攻擊者可以通過消息的驗證,將在橋合約中的代幣轉移。鎖倉總價值由1.9億美元驟降為1.2萬美元——這實質上使得攻擊者可以在A鏈上存入1ETH而在B鏈上收到100ETH。
這個漏洞的神奇之處在于,看起來好像沒有任何一個直接攻擊者。但至少有41個錢包參與了此次攻擊,我們可以認為它是Web3.0世界第一個「群體作案」。也許正是因為這個原因,攻擊者可以輕易地從橋上提取資金。
第一筆可疑交易發生在8月2日凌晨5:32,100wBTC被轉移到0x56d8......我們可以觀察到代幣從這里開始持續瘋狂轉移。
這樣的漏洞也在吸引著如RariCapital攻擊者這樣的以往Web3.0黑客。
另外有個有意思的地方是,還有個惡意者試圖對這起事件的黑客進行網絡釣魚攻擊,ta持有ENSnomadexploiter.eth的EOA向持黑客EOA發送了鏈上信息,在8月2日注冊冒充Nomad與黑客進行談判:
Nomad在推特上發布聲明稱這不是他們干的
寫在最后
這些攻擊事件的漏洞在持續警醒我們:跨鏈橋漏洞所能造成的破壞性極其巨大。
Web3.0世界目前急需更安全和更廣泛的跨鏈應用。未來同類性質的漏洞可能會出現的越來越多、越來越頻繁。
我們可以盡力而為的至少是確保項目代碼經過了完備的測試和安全審計,這將大幅提高面對高破壞性黑客攻擊的抵御能力。
來源:金色財經
由于Cardano網絡創始人查爾斯·霍斯金森向用戶保證,在將Vasil硬分叉推遲數周后,不應再有進一步的延遲,ADA投資者已經進入了積累模式.
1900/1/1 0:00:00跨鏈互連應用的最佳去中心化開發平臺Moonbeam宣布與Interlay在波卡上集成。Interlay的旗艦產品是interBTC.
1900/1/1 0:00:00內容概要 2022年6月24日,由Layer1公鏈Harmony開發的,以太坊與Harmony間的資產跨鏈橋Horizon遭到攻擊,損失金額約為1億美元.
1900/1/1 0:00:00多頭和空頭目前處于交戰狀態。自6月中旬以來,比特幣一直在穩步上漲,并且由于這種價格走勢,大多數山寨幣都已大幅上漲.
1900/1/1 0:00:00每一個投資者都是從投資小白開始的,但并不是所有的投資者最終都能夠從投資小白進階成投資大神,要想從投資小白完成向投資大神的蛻變,就需要經歷系統的投資理論課程學習.
1900/1/1 0:00:00自今年4月以來,美國通脹率首次下降。根據最新公布的數據,CPI年率小幅回落至8.5%,與6月份相比相對持平。7月份的預期CPI為8.7%.
1900/1/1 0:00:00