区块链网站|NFTS DeFi DeFi无法承受之重:跨链桥成了“黑客提款机”

DeFi无法承受之重:跨链桥成了“黑客提款机”

广告位

DeFi 不可承受之重:跨链桥已成“黑客提款机”

声明:本文旨在传递更多市场信息,不构成任何投资建议。文章仅代表作者观点,不代表火星财经官方立场。

边肖:记得要集中注意力。

资料来源:白话区块链

虽然Axie Infinity和DeFi Kingdoms等游戏DApp维持着Ronin和Harmony等整个生态系统,但Fantom或Avalance等网络协议已经在DeFi wave赚了很多钱。这些区块链已经成为以太坊的汽油成本和相对缓慢的交易时间的重要替代品。现在比以往任何时候都迫切需要一种简单的方法来在不同区块链上的协议之间移动资产。

这是区块链跨链桥的诞生地。

由于多链场景的应用,所有Defidapps的总锁定值飙升。截至2022年5月,该行业的TVL估计为1112.8亿美元。这些在DeFi DApp锁定和桥接的巨额资产引起了恶意黑客的注意。最新的趋势表明,攻击者可能已经发现了区块链桥梁的薄弱环节。

根据Rekt数据库,2022年第一季度有12亿美元的加密资产被盗,占同一来源历史被盗资金的35.8%。有趣的是,2022年至少有80%的丢失资产是从链桥上被盗走的。

最严重的一次攻击发生在3月份,Ronin Bridge被黑客攻击,损失了5.4亿美元。在此之前,索拉纳虫洞和BNB链中的量子位金融桥在2022年被盗超过4亿美元。加密史上最大的黑客攻击发生在2021年8月,PolyNetwork Bridge被盗6.1亿美元,但被盗资金被追回。

链条是区块链行业中最有价值的工具之一,但它们的互操作性对建造它们的项目构成了重大挑战。

理解区块链桥类似于曼哈顿桥。区块链桥是连接两种不同网络协议的平台,可以实现资产和信息从一个区块链到另一个的跨链传输。通过这种方式,加密货币和NFT不会被孤立在自己的链条中,而是可以跨不同的区块链“桥接”,从而提高这些资产的利用率。

由于链桥的存在,比特币可以在基于智能合约的网络中用于DeFi目的,或者NFL和NFT可以从Flow bridge连接到以太坊进行细分或作为抵押品。

当然,还有一些其他不同的转移资产的方式。例如,顾名思义,Lock-and-Mint的工作原理是锁定发送方智能合约中的原始资产,而接收方网络在另一方铸造原始令牌的副本。如果以太坊是从以太坊桥到索拉纳,那么索拉纳的以太坊只是一个复制品,而不是令牌本身。

以及锁定造币的机制|来源:MakerDAO

虽然锁定和铸造方法是目前最流行的桥接方法,但还有其他方法来完成资产转移,如“烧毁和铸造”或通过智能合约本身在两个网络之间交换资产的原子互换。Connext(原名xPollinate)和cBridge是依赖原子交换的链桥。

从安全性的角度来看,链桥可以分为可信和不可信两类。可信链桥是一个依靠第三方来验证交易的平台,但更重要的是,它可以充当桥接资产的托管人。几乎在所有区块链特有的桥中都可以找到可信桥的案例,如币安桥、Polygon POS桥、WBTC桥、雪崩桥、和谐桥、Terra Shuttle桥,以及DApps,如Multichain(以前称为Anyswap)或Tron的Just Cryptos。

相反,单纯依靠智能合约和算法管理资产的平台,是通往信任的链桥。去信任链桥的安全系数与资产桥接的底层网络有关,也就是资产被锁定的地方。你可以在NEAR的彩虹桥,Solana的虫洞,Polkadot的雪桥,Cosmos IBC,Hop,Connext和Celer找到de-trust的链桥。

乍一看,去信任链桥似乎为区块链之间转移资产提供了一个更安全的选择。然而,可信链桥和不可信链桥面临不同的挑战。

可信和不可信链桥的局限性Ronin链桥作为集中式可信运行平台,使用多签名钱包托管桥资产。简而言之,多签名钱包是需要两个或更多加密签名来批准交易的地址。在Ronin的案例中,侧链中有九个验证者,需要五个不同的签名来批准存款和取款。

其他平台也用同样的方法,但是风险分散更好。例如,Polygon依赖于8个验证器,需要5个签名。这五个签名由不同的政党控制。就Ronin而言,Sky Mavis团队单独持有四个签名,导致单点故障。黑客一次性控制四个Sky Mavis签名后,只需要一个签名就可以批准提取资产。

3月23日,攻击者控制了阿谢道的签名,这是完成攻击所需的最后一部分。在有史以来第二大的加密攻击中,通过两次不同的交易,Ronin的托管合同损失了173600 ETH和2550万USDC。同样值得注意的是,Sky Mavis团队在近一周后才发现黑客攻击,这表明Ronin的监控机制至少存在一些不完善之处,这也暴露了这个可信平台的一个缺陷。

虽然集权有一个根本性的缺陷,但是去信任的链桥也容易因为软件和编码的错误和漏洞而受到攻击。

Solana虫洞是Solana和以太坊之间实现跨桥交易的平台,2022年2月遭到攻击,由于Solana的托管合同存在漏洞,3.25亿美元被盗。虫洞契约中的一个漏洞允许黑客设计跨链验证器。攻击者从以太坊向索拉纳发送0.1 ETH来触发一组“传输消息”,诱导程序批准假设的12万ETH存款转账。

由于合同分类和结构上的缺陷,2021年8月保利网络被盗6.1亿美元后,发生了虫洞黑客事件。DApp的跨链交易由名为“守护者”的中央节点组批准,并通过网关合同在接收网络上验证。在这种攻击中,黑客可以获得管理员的特权,从而通过设置自己的参数来欺骗网关。攻击者在以太坊、BinancDe、Neo和其他区块链中重复这一过程,以获取更多资产。

所有的桥都通向以太坊。以太坊仍然是行业内最重要的DeFi生态系统,占行业内TVL的近60%。同时,这些不同网络协议的兴起,作为以太坊DeFi DApp的替代品,也引发了区块链桥的跨链活动。

业内最大的桥梁是WBTC桥,由RenVM背后的团队BitGo、Kyber和Republic Protocol主持。由于比特币令牌在技术上与基于智能合约的区块链不兼容,WBTC桥将原生比特币“打包”,锁定在桥托管合约中,并在以太坊上铸造其ERC-20版本。这座桥在DeFi summer非常受欢迎(自2020年夏天以来,DeFi市场经历了惊人的增长,因此被称为“DeFi Summer”),现在它持有价值约125亿美元的比特币。WBTC允许BTC作为Dapp的抵押品,如Aave、Compound和Maker,或在各种DeFi协议中产生收入或赚取利息。

Multichain原名Anyswap,是一种DApp,通过内置的链桥向40多个区块链提供跨链交易。Multichain在基于所有连接的网络上持有65亿美元。然而,以太坊的Fantom桥是迄今为止最大的池,锁定了35亿美元。在2021年下半年,股权证明网络已经成为一个受欢迎的DeFi领域,因为它具有吸引力的收入农场,包括FTM,各种稳定的硬币或wETH,如在SpookySwap上发现的。

与Fantom不同,大多数L1区块链使用独立的直接网桥连接到网络。雪崩桥主要受雪崩基金会委托,是最大的L1L1桥。Avalanche是DeFi最强大的领域之一,因为它拥有包括Trader Joe、Aave、Curve和Platypus Finance在内的Dapp。

币安桥也以45亿美元的锁定资产脱颖而出,其次是索拉纳虫洞,TVL为38亿美元。

同样,就TVL而言,多边形、Arbitrum和乐观主义等扩展解决方案也是最重要的桥梁之一。多边形POS桥是以太坊与其侧链之间的主要入口点,也是第三座桥,托管近60亿美元。与此同时,Arbitrum和乐观等受欢迎的L2平台的链桥的流动性也在上升。

另一个值得一提的桥梁是彩虹桥附近,旨在解决众所周知的互操作性困境(去中心化、容量扩展和安全性)。这个用以太坊连接Near和Aurora的平台,可能会提供一个实现去信任链桥安全的宝贵机会。

如何提高跨链安全性作为托管桥接资产的两种方式,可信桥接和不可信桥接都容易出现基础和技术上的缺陷。尽管如此,仍然有一些方法可以防止和减少黑客恶意破坏区块链造成的影响。

在可信链桥的情况下,显然需要增加所需签名者的比例,同时使多个签名分布在不同的钱包中。尽管去信任的链桥消除了与中心化相关的风险,但仍然存在漏洞和其他技术限制的风险情况,如Solana Wormhole或Qubit Finance的漏洞利用案例所示。所以要实施线下行动,尽可能保护跨链平台。

协议之间的合作是必要的。Web3空间的特点是它的社区联盟,所以希望业内最聪明的人一起努力,让这个空间成为一个更安全的地方。Animoca Brands、币安和其他Web3品牌已经筹集了1.5亿美元,帮助Sky Mavis减少因黑客攻击而导致的Ronin Bridge财务危机。通过共同努力和合作,互操作性可以提升到一个新的水平,为未来的多链。

同样,与链分析平台和CEX的协调和合作有助于追踪和标记被盗令牌。这种情况可能会在中期抑制犯罪分子的积极性,因为将加密货币兑换成法定货币的网关应该由既定CEX的KYC计划控制。上个月,两名20岁的青年在NFT球场犯下欺诈罪后受到了法律的惩罚。对已确认的黑客施以同样的惩罚才公平。

而审计漏洞赏金是提高任何Web3平台(包括链桥)安全性的另一种方式。Certik、Chainsafe、Blocksec等认证机构帮助Web3交互更加安全。所有链桥活动应至少由一个认证组织审核。

与此同时,漏洞奖励计划在项目和其社区之间创造了协同效应。在其他黑客进行恶意攻击之前,白人黑客在识别漏洞方面起着至关重要的作用。例如,Sky Mavis最近推出了100万美元的漏洞赏金计划,以加强其生态系统的安全性。

结论L1和L2解决方案的扩散,作为一个完整的区块链系统,挑战着DApp以太坊的生态系统,它们的扩散催生了通过跨链在网络之间移动资产的需求。这是互操作性的本质,也是Web3的支柱之一。

然而,当前的互操作性场景依赖于跨链协议,而不是Vitalik在今年年初发布的多链方法。虽然对空间互操作性的需求是显而易见的,但在这类平台中仍然需要采取更强的安全措施。

不幸的是,这一挑战不会轻易被克服。可信平台和不可信平台都有设计缺陷。这些固有的交叉链缺陷变得很明显。到目前为止,12亿美元的黑客攻击中超过80%的损失是通过脆弱的链桥被盗的。

另外,随着行业价值的不断提升,黑客技术也变得越来越强大。社会工程、钓鱼攻击等传统网络攻击已经成为Web3的过去发展历史。

所有令牌版本本地对应每个区块链的多链方法还很遥远。所以跨链平台一定要吸取过去的经验教训,加强流程监管,最大限度减少黑客攻击的成功。

广告位
本文来自网络,不代表区块链网站|NFTS立场,转载请注明出处:https://www.qklwz.com/defi/10118.html
上一篇
下一篇

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

返回顶部