比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads

CHA:黑客事件頻發 如何選擇相對安全的跨鏈橋?

Author:

Time:1900/1/1 0:00:00

在行業快速步入多鏈生態后,用戶對跨鏈橋的需求也愈發強烈。然而目前的市場上,各公鏈的官方橋往往支持的鏈有限,因此,第三方跨鏈協議憑借著更廣泛的公鏈支持數量成為了用戶跨鏈的主流選擇。與此同時,跨鏈橋也成了黑客們垂涎的目標。

就在剛剛過去的 1 月 18 日,第三方跨鏈協議 Multichain(原 Anyswap)再次遭到黑客攻擊,合計損失約 600 萬美元。

由于近期針對跨鏈橋的安全事件頻發,為了幫助讀者在使用中避免可能的風險,我們將近期發生的跨鏈橋安全事件進行了簡單的總結。

2021 年 6 月 29 日,THORChain 遭遇第一次攻擊,損失約 35 萬美元。在隨后的 7 月,THORChain 又接連遭遇了兩次攻擊,損失約 1600 萬美元。

2021 年 7 月 11 日,ChainSwap 遭到攻擊,官方凍結 BSC 映射 Token 地址以過濾掉黑客地址。合作方 RAI Finance 因 ChainSwap 合約漏洞被盜超 70 萬枚 RAI Token。

SBF:Mango黑客事件表明預言機規范的重要性:金色財經報道,FTX創始人SBF在社交媒體分析了Mango Markets黑客時間的教訓,他表示:“真正的問題取決于預言機的規范是什么,預言機準確地報告了 MNGO 的當前價格,只是'當前價格'與'公平價格'并不接近。一些頭寸,如 MNGO,規模龐大且流動性不足,以至于風險引擎(提供市場風險測量和投資分析的軟件)迫使頭寸被完全抵押。” 完全抵押意味著在整個貸款過程中,借款人提供抵押品。在這種情況下,抵押品是加密貨幣。Mango Markets 要求初始抵押品比率為 120%,維持抵押品比率為 110%。如果用戶的抵押率低于 110%,賬戶將被清算,而Mango Market 攻擊者利用漏洞來模擬擁有足夠的抵押品。

SBF補充稱:“如果一個預言機報告‘MNGO:0.40 美元’,是不是錯了?如果它只是承諾告訴你 MNGO 目前的交易價格,而且,在短時間內,在某些交易所,MNGO 實際上的交易價格為 0.40 美元。問題在于使用原始預言機價格。預言機有時能告訴你一切,有時也無法代表任何信息,它們只是反映市場的歷史和現狀,風險引擎的工作就是利用這些信息,并決定哪些頭寸是安全的,有時風險引擎不能只是反芻預言機所說的話,而是要自己去認真分析。”[2022/10/13 10:33:16]

2021 年 7 月 12 日,Anyswap 發布公告表示,新推出的 V3 跨鏈流動性池在昨日凌晨遭到黑客攻擊,總計損失為 239 萬 USDC 與 550 萬 MIM,損失總額超過 787 萬美元

日本逮捕30名參與Coincheck黑客事件的犯罪分子:根據《日經亞洲》(Nikkei Asia)發表的一份報告,日本已逮捕30名與5.3億美元Coincheck黑客事件有關的進行非法交易的個人。據悉,Coincheck在2018年1月遭受了一次大規模黑客入侵,其熱錢包中的5.23億NEM(XEM)代幣損失。同年3月,該公司向受影響的客戶提供了總計4.35億美元的巨額現金補償。[2021/1/22 16:44:44]

2021 年 8 月 10 日,Poly Network(O3 Swap)遭受黑客攻擊,約 6.1 億美元資產被轉走。

2021 年 11 月 7 日,跨鏈協議 Synapse(原名 Nerve)被黑客攻擊,約 800 萬美元資產受到影響。

2021 年 11 月 23 日,Celo 官方橋 Optics 跨鏈橋多簽錢包所有權被未知人士轉移,Optics 跨鏈橋暫停使用。

推特黑客事件策劃者Graham Clark對指控拒不認罪:推特黑客事件幕后黑手之一17歲佛羅里達州居民Graham Ivan Clark對指控拒不認罪。根據法庭記錄,Clark周二上午在佛羅里達州立法院針對由法官Christopher Nash提出的30多項指控進行抗辯。他定于周三再次出庭,就他要求更改保釋金數額和釋放條件舉行聽證會。(BNNBloomberg)[2020/8/5]

2022 年 1 月 18 日,Multichain(原 Anyswap)再次遭到黑客攻擊,合計損失約 600 萬美元。

針對最近 Multichain 安全事件,@0x_Todd 評論認為,對于 DeFi 應用,只要出過一次安全問題,就會接二連三地出問題。而一個協議如果一直不出問題,那么就一直不會出問題。

黑客事件發生前幾周 推特曾加緊尋求新任首席信息安全官:消息人士透露,在周三的黑客事件發生的前幾周,推特曾試圖加快新任首席信息安全官的招募工作。據悉,自2018年5月Michael Coates離職后,摩根大通前高管Joe Camilleri臨時接替了信息安全領導工作,但直至今日,該公司一直沒有一名常任的首席信息安全官。(紐約郵報)[2020/7/17]

我們當然知道這句話有一定的調侃意味,并不能真的作為定理去評估項目風險。但是從行業內發生的某些案例來看,那些有過安全事故記錄的項目,確實是更容易接二連三不斷翻車。比如著名的 DeFi 保險項目 Cover 在歸零前反復被黑客攻擊了多次。做保險的協議自己不保險,Cover 協議簡直成了黑客的便攜提款機。

其實出現這種現象的原因,在于安全事故的發生其實并不是一個偶然事件,其背后反映出了這個應用開發團隊在內部發布流程、風控意識等方面或許都存在著嚴重的問題。

事故的發生往往只是內部管理失敗的外在表現形式而已。如果不能徹底清除掉內部的風險隱患,而只是頭疼醫頭腳疼醫腳地解決表面問題,那么相似的安全事故只會接二連三地不斷出現。

Coincheck黑客事件已經約有半數被洗:Coincheck黑客事件之后,被盜總數約580億日元的NEM目前已約有半數以上被交換成為其他加密貨幣。2月7日,監視盜竊嫌疑人賬戶的白色黑客Cheena注意到,有少量NEM被匯向其他的不特定賬戶,同時發現嫌疑人在暗網(dark web)開設了自己的交易所,并以低于市場價15%的價格來吸引顧客購買。但是結算時用的加密貨幣不僅僅是NEM,也包括了比特幣以及其他加密貨幣,清晰顯示了這是“洗錢”行為。白色黑客表示盡管追蹤很困難,但還是會堅持下去。[2018/3/19]

然而目前許多加密行業內的創業團隊,在工作中并不具備相對嚴謹的工作態度。他們往往是在倉促解決了眼前的故障后,繼續快馬揚鞭向前推進項目的開發進度并搶占市場,使得協議內部積累的風險隱患越來越大。

那么,對于普通用戶來講,在跨鏈已經逐漸變為剛需的今天,如何才能找到一個相對讓人放心的跨鏈橋?

這里我們先對之前 @0x_Todd 提到的「定理」進行一下修正。首先,目前沒有出現安全風險的協議并不等于絕對的安全。但加入這個協議的 TVL 足夠大,并且協議上線運行的時間足夠長,那么可以說其安全風險是相對較低的。畢竟對于這樣一塊「肥肉」來說,其代碼一定早已被各類頂級黑客所反復分析過了。

此外,如果說對于發生過一次安全事故的協議全部一棒子打死有些過于絕對,那么對于那些已經連續發生兩次甚至更多安全事故的協議,還是盡量敬而遠之。

最后,我們按照這個標準,對目前市場上 TVL 已經有一定規模,且對各個公鏈兼容性比較廣泛的第三方跨鏈橋進行了盤點。

當然,由于多鏈生態以及跨鏈橋基本都是近一年中快速發展的結果,因此這些協議所經歷的考驗或許并不充分。對于下方所列出的沒有發生過安全問題的跨鏈橋,依然建議用戶能夠在控制好自身風險的前提下謹慎使用。

Allbridge 是由 APYSwap 團隊開發的跨鏈橋,其主要特點是在支持主流 EVM 兼容鏈跨鏈的同時,支持主流的非 EVM 鏈(如 Solana、Terra)跨鏈。

上線時間:2021 年 7 月

TVL:5.46 億美元(DeFi Llama 1 月 20 日數據)

cBridge?是目前這幾個跨鏈橋中支持的 EVM 鏈(包括 Layer 2)最多的跨鏈橋,基本完整覆蓋了市面上能見到的 EVM 兼容鏈,現已支持 19 條鏈和層的跨鏈橋接。其總跨鏈資金已達 24 億美金,而其鎖倉量也在 V2 版本推出后出現了快速增長,目前已超過 2 億美元的規模。

不同于其他第三方跨鏈橋只針對資產跨鏈,cBridge 的目標顯得更加宏大。除了做好資產跨鏈以外,cBridge 還在近期發布了 Celer 跨鏈消息框架(Celer Inter-chain Message,簡稱 Celer IM),正式進軍信息跨鏈領域,試圖成為未來多鏈生態中跨鏈互操作的底層基礎設施協議。

根據官方文檔的描述,未來依托 Celer IM 構建的新一代多鏈原生 dApp,將會成為未來多鏈世界的第一批原生跨鏈應用。可以幫助用戶實現在一條鏈上質押資產,并直接在另一條鏈上借出資產,或者讓用戶在一次交易中跨多條鏈交換資產等功能。

上線時間:2021 年 2 月

TVL:1.95 億美元(cBridge 官方 1 月 21 日數據)

Hop Protocol 的突出優勢是在支持主流 EVM 鏈跨鏈的同時,還支持以太坊上主流 Layer 2 如 Arbitrum、Optimism 的跨鏈。目前支持的跨鏈資產種類包括 ETH、USDC、USDT、DAI、MATIC。

TVL:1.06 億美元

xPollinate 支持的跨鏈種類同樣很豐富,除了主流 EVM 兼容鏈以外,還支持 Layer 2 跨層以及波卡生態的 EVM 兼容平行鏈的跨鏈。

上線時間:19 年 9 月

TVL:2668 萬美元

文章的最后再次提示一下風險,過往沒有發生安全事故的項目并不等于絕對的安全。用戶在使用跨鏈工具時,依然有必要保持良好的賬戶使用習慣。如及時清理授權,或將主要資產保存地址與日常交互地址分開管理等等。畢竟,在個人擁有絕對主權的加密世界中,唯一能為自己負責的其實只有我們自己。?

Tags:CHAHAIAINChainWebchainHealth care chainAB-Chain RTBChain Pet

幣安app官網下載
MET:22個新項目 元宇宙黑客松Metathon獲獎項目一覽

歷時兩個月, 由 Metaverse Alliance 和 LD Capital 聯合舉辦的元宇宙線上黑客松比賽「Metathon」于 2022 年 1 月 22 號完美落幕.

1900/1/1 0:00:00
區塊鏈:十年損失超200億美元 黑客盯著區塊鏈

技術不懂是非善惡,區塊鏈黑客事件從未斷絕。2021年的區塊鏈世界,光明面欣欣向榮,黑暗面也在穩步發展.

1900/1/1 0:00:00
GAS:以太坊EIP-1559可能并不穩定

自以太坊因其Gas費高昂而漸漸被其他公鏈覬覦其市場份額后,EIP-1559的上線就備受大眾關注,被寄予厚望.

1900/1/1 0:00:00
INC:2021年度數字貨幣反洗錢暨DeFi行業安全報告

武漢江漢:2022年培育50家區塊鏈技術研究、應用類企業:8月12日消息,據武漢市江漢區人民政府官方網站消息,為打造武漢市區塊鏈產業創新發展示范區,江漢區已簽約3個重點項目.

1900/1/1 0:00:00
TRAT:容易被忽略的BEEFY也能對波卡產生巨大的影響

“波卡知識圖譜”是我們針對波卡從零到一的入門級文章,我們嘗試從波卡最基礎的部分講起,為大家提供全方位了解波卡的內容,當然這是一項巨大的工程,也充滿了挑戰.

1900/1/1 0:00:00
元宇宙:虛擬人+展覽展示 元宇宙時代率先落地的應用場景

虛擬人+展覽展示 元宇宙時代率先落地的應用場景隨著智能手機等硬件銷量以及視頻、游戲等流量的見頂,移動互聯網也迎來了成熟化的階段,行業亟需發掘新的增長空間.

1900/1/1 0:00:00
ads