声明:本文旨在传递更多市场信息,不构成任何投资建议。文章仅代表作者观点,不代表火星财经官方立场。
边肖:记得要集中注意力。
资料来源:白话区块链
虽然Axie Infinity和DeFi Kingdoms等游戏DApp维持了Ronin和Harmony等整个生态系统,但Fantom或Avalance等网络协议在DeFi浪潮中赚了很多钱。这些区块链已经成为以太坊的汽油费和相对缓慢的交易时间的重要替代品。现在比以往任何时候都迫切需要找到一种简单的方法来在不同区块链上的协议之间移动资产。
这是区块链桥的诞生地。
由于多链场景的应用,所有DeFi DApp的总锁定值飙升。截至2022年5月,该行业的TVL估计为1112.8亿美元。这些在DeFi DApp锁定和桥接的巨额资产引起了恶意黑客的注意。最新趋势显示,攻击者可能已经发现了区块链桥梁的薄弱环节。
根据Rekt数据库,2022年第一季度有12亿美元的加密资产被盗,占同一来源历史上被盗资金的35.8%。有趣的是,2022年至少有80%的丢失资产是从链桥上被盗走的。
最严重的一次攻击发生在3月份,当时Ronin Bridge遭到黑客攻击,损失了5.4亿美元。在此之前,索拉纳虫洞和BNB链中的量子位金融桥在2022年被盗超过4亿美元。加密史上最大的黑客攻击发生在2021年8月,当时PolyNetwork Bridge被盗6.1亿美元,但被盗资金后来被追回。
链桥是区块链工业中最有价值的工具之一,但是它们的互操作性给建造它们的项目带来了重大挑战。
理解区块链大桥和曼哈顿大桥相似。区块链桥是连接两种不同网络协议的平台,可以实现资产和信息从一个区块链到另一个的跨链传输。通过这种方式,加密货币和NFT不会被孤立在自己的链条中,而是可以跨不同的区块链“桥接”,从而提高这些资产的利用率。
由于链桥的存在,比特币可以在基于智能合约的网络中使用,用于DeFi目的或用于NFL和NFT从流桥连接到以太坊进行细分或作为抵押品。
当然,还有其他不同的转移资产的方式。例如,顾名思义,Lock-and-Mint的工作原理是在发送方的智能契约中锁定原始资产,而接收方网络在另一端铸造原始令牌的副本。如果以太坊是从以太坊桥连接到索拉纳的,那么索拉纳的以太坊只是一个复制品,而不是令牌本身。
锁定和造币机制|来源:MakerDAO
虽然锁定和铸造方法是目前最流行的桥接方法,但还有其他方法来完成资产转移,如“烧毁和铸造”或通过智能合同在两个网络之间交换资产。Connext(原名xPollinate)和cBridge是依赖原子交换的链桥。
从安全性的角度来看,链桥可以分为可信和不可信两类。可信链桥是一个依靠第三方来验证交易的平台,但更重要的是,它可以充当桥接资产的托管人。几乎所有区块链特有的桥都可以找到可信桥的案例,如币安桥、多边形POS桥、WBTC桥、雪崩桥、和谐桥、Terra Shuttle桥,以及DApps,如Multichain(以前称为Anyswap)或Just Cryptos of Tron。
相反,一个单纯依靠智能合约和算法来管理资产的平台,是通往信任的链桥。不可信链桥的安全系数与资产桥接的底层网络有关,也就是资产被锁定的地方。信任链桥可以在NEAR的彩虹桥,Solana的虫洞,Polkadot的雪桥,Cosmos IBC,Hop,Connext和Celer中找到。
乍一看,不受信任的链桥似乎为在区块链之间转移资产提供了更安全的选择。然而,可信链桥和不可信链桥面临不同的挑战。
可信和不可信链桥的局限性作为一个集中式的可信操作平台,Ronin链桥使用多签名钱包来托管桥资产。简而言之,多签名钱包是需要两个或更多加密签名来批准交易的地址。在Ronin的例子中,侧链中有九个验证者,需要五个不同的签名来批准存款和取款。
其他平台也用同样的方法,但风险更分散。例如,Polygon依赖于8个验证器,需要5个签名。这五个签名由不同的政党控制。就Ronin而言,Sky Mavis团队单独持有四个签名,导致单点故障。黑客一次性控制四个Sky Mavis签名后,只需要一个签名就可以批准提取资产。
3月23日,攻击者控制了阿谢道的签名,这是完成攻击所需的最后一部分。在历史上第二大加密攻击中,173600 ETH和2550万USDC通过两次不同的交易从Ronin的托管合同中丢失。另外值得注意的是,Sky Mavis团队在近一周后才发现黑客攻击,这说明Ronin的监控机制至少存在一些不完善之处,这也暴露了这个可信平台的一个缺陷。
虽然集权存在根本性缺陷,但由于软件和编码的错误和漏洞,不信任的链桥也容易受到攻击。
索拉纳虫洞是实现索拉纳和以太坊跨桥交易的平台,2022年2月遭到攻击。由于索拉纳监护合同的漏洞,3.25亿美元被盗。虫洞契约中的一个漏洞允许黑客设计跨链验证器。攻击者从以太坊向Solana发送0.1 ETH,以触发一组“传输消息”,诱导程序批准假设的120,000 ETH存款的转移。
由于合同分类和结构上的缺陷,2021年8月保利网络被盗6.1亿美元后,发生了虫洞黑客事件。DApp的跨链交易由一个名为“Guardian”的中央节点组批准,并通过网关合同在接收网络上验证。在这种攻击中,黑客可以获得管理员的特权,从而通过设置自己的参数来欺骗网关。攻击者在以太坊、BinancDe、Neo和其他区块链中重复这一过程,以获取更多资产。
所有的桥都通向以太坊。以太坊仍然是行业内最重要的DeFi生态系统,占行业内TVL的近60%。与此同时,这些不同的网络协议(它们是以太坊中DApp定义的替代品)的兴起,也引发了区块链桥的跨链活动。
业内最大的桥梁是WBTC桥,由RenVM背后的团队BitGo、Kyber和Republic Protocol主持。由于比特币令牌在技术上与基于智能合约的区块链不兼容,WBTC桥将原始比特币“打包”,锁定在桥托管合约中,并在以太坊上铸造其ERC-20版本。这座桥在DeFi summer非常受欢迎(自2020年夏天以来,它在DeFi市场上经历了惊人的增长,因此被称为“DeFi Summer”),现在它持有价值约125亿美元的比特币。WBTC允许BTC作为Dapp的抵押品,如Aave、Compound和Maker,或在各种DeFi协议中产生收入或赚取利息。
Multichain原名Anyswap,是一种DApp,通过内置的链桥向40多个区块链提供跨链交易。Multichain在基于所有连接的网络上持有65亿美元。然而,以太坊的Fantom桥是迄今为止最大的池,锁定了35亿美元。在2021年下半年,股权证明网络成为一个受欢迎的DeFi领域,因为它有吸引力的收入农场,包括FTM,各种稳定的硬币或wETH,如在SpookySwap上发现的。
与Fantom不同,大多数L1区块链使用独立的直接网桥连接到网络。雪崩桥主要由雪崩基础承载,是最大的L1L1桥。Avalanche是最强大的DeFi领域之一,因为它拥有包括Trader Joe,Aave,Curve和Platypus Finance在内的Dapp。
币安桥也以45亿美元的锁定资产脱颖而出,其次是索拉纳虫洞,TVL为38亿美元。
同样,就TVL而言,多边形、Arbitrum、最优性等延拓解也是最重要的桥梁之一。多边形POS桥是以太坊与其侧链之间的主要入口点,是第三座桥,保管近60亿美元。与此同时,Arbitrum和Optimality等热门L2平台的链桥流动性也在上升。
另一座值得一提的桥是彩虹桥附近,它旨在解决著名的互操作性困境(去中心化、扩展和安全性)。这个用以太坊连接Near和Aurora的平台,可能为实现不可信链桥的安全性提供了一个宝贵的机会。
如何提高跨链安全性作为托管桥接资产的两种方式,可信桥接和不可信桥接都容易出现基础和技术上的缺陷。尽管如此,仍然有一些方法可以防止和减少黑客对区块链恶意破坏的影响。
在可信链桥的情况下,显然需要增加所需签名者的比例,同时让多个签名分布在不同的钱包中。虽然不可信链桥消除了与集中化相关的风险,但仍然存在漏洞和其他技术限制的风险,如Solana虫洞或量子位金融的剥削案例。所以要实施线下行动,尽可能保护跨链平台。
协议之间的合作是必要的。Web3空间的特点是它的社区统一性,因此希望业内最聪明的人一起努力,使空间成为一个更安全的地方。Animoca Brands、币安和其他Web3品牌筹集了1.5亿美元,帮助Sky Mavis减少因黑客攻击导致的Ronin Bridge财务危机。通过共同努力和合作,互操作性可以提升到一个新的水平,为未来的多链。
类似地,与链分析平台和CEX的协调和合作将有助于跟踪和标记被盗令牌。这种情况可能会在中期抑制犯罪分子的积极性,因为将加密货币兑换成法定货币的网关应该由CEX既定的KYC计划控制。上个月,两名20岁的年轻人在NFT球场实施欺诈后受到了法律的惩罚。对已被确认的黑客要求同样的惩罚才公平。
审计和漏洞奖励是提高任何Web3平台(包括chain bridge)安全性的另一种方法。Certik、Chainsafe、Blocksec等认证机构帮助Web3交互更加安全。所有链桥活动应至少由一个认证组织审核。
与此同时,漏洞赏金计划在该项目及其社区之间建立了协同作用。在其他黑客实施恶意攻击之前,白黑客在识别漏洞方面起着至关重要的作用。例如,Sky Mavis最近启动了一项100万美元的漏洞赏金计划,以增强其生态系统的安全性。
结论L1和L2解决方案的扩散,作为一个整体的区块链系统,挑战着以太坊中DApp的生态系统,它们的扩散催生了通过跨链在网络间移动资产的需求。这是互操作性的本质,也是Web3的支柱之一。
然而,当前的互操作性场景依赖于跨链协议而不是多链方法,这是Vitalik在今年年初发布的。尽管对空间互操作性的需求是显而易见的,但是在这样的平台中仍然需要更强的安全措施。
不幸的是,这一挑战不会轻易被克服。可信平台和不可信平台都有设计缺陷。这些固有的交叉链缺陷变得很明显。到目前为止,12亿美元的黑客攻击中,超过80%的损失是通过有缺陷的链桥窃取的。
另外,随着行业价值的不断提升,黑客技术也变得越来越强大。社会工程、钓鱼攻击等传统网络攻击已经成为Web3的过去发展历史。
所有令牌版本本地对应每个区块链的多链方法还很遥远。所以跨链平台一定要吸取过去的经验教训,加强流程监管,最大限度减少黑客攻击的成功。