比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads
首頁 > 屎幣 > Info

NEAR:去中心化DeFi生態系統被盜超30億,為何跨鏈橋安全事件頻發

Author:

Time:1900/1/1 0:00:00

過去一年,整個去中心化金融(DeFi)生態系統被盜超過30億美元,其中超過三分之二的被盜案件源自跨鏈橋。為了使DeFi發展成為一個可信且安全的生態系統,需要減輕該領域內的漏洞。本報告深入探討了跨鏈橋的工作原理、過去一年發生的黑客攻擊類型,以及一個跨鏈橋如何能夠阻止兩次單獨的攻擊嘗試。

初識跨鏈橋

跨鏈橋能夠在區塊鏈之間傳輸數據,主要是代幣資產,以利用更大的流動性,在成本和交易最終性方面建立更好的用戶體驗,并通過在更大的生態系統中分配交易負載來減少主鏈擁塞。

跨鏈橋的去中心化程度各不相同。在受信任或更集中的設置中,跨鏈橋的安全性來自監督其操作的指定方。在信任最小化或更分散的設置中,跨鏈橋的安全性來自底層鏈的驗證者和操作跨鏈橋的算法。

大多數雙向跨鏈橋使用lock和mint以及burn和mint模型的組合。為了將資產從一個生態系統轉移到另一個生態系統,用戶將他們的代幣存入原始鏈上的智能合約中,然后在目標鏈上鑄造等量的資產并提取給用戶。為了轉移回原始生態系統,用戶將鑄造的資產存入目標鏈上的智能合約中,然后這些資產將被燒毀,原始資產將在原始源鏈上發布。這種方法可確保在所有平臺上持續供應代幣。

去中心化流媒體平臺Theta Network即將進行v3.3硬分叉升級:3月7日,去中心化流媒體平臺Theta Network即將進行v3.3硬分叉升級,將見證節點質押門檻從原先的200萬THETA降低到20萬THETA,從而使更多的社區成員可以成為見證節點,進一步提高Theta協議的去中心化程度。[2022/3/7 13:42:53]

跨鏈橋頻頻被盜的一年

跨鏈橋對黑客來說是一個有吸引力的目標。數百萬美元的代幣不僅被鎖定在一個中心位置,而且通過跨多個鏈運行,跨鏈橋增加了它們潛在的故障點。所有前面提到的跨鏈橋被盜案都屬于以下三類之一:

后端漏洞多重簽名智能合約漏洞/執行錯誤后端漏洞

后端漏洞,或Web2攻擊向量,意味著攻擊者針對的是用戶而不是跨鏈橋本身。在BadgerDAO的案例中,黑客利用他們的網絡托管服務提供商Cloudflare生成了三個具有API權限的獨li賬戶。通過API將惡意腳本集成到協議中,黑客誘使橋接用戶簽署代幣批準調用,代表他們轉移資金。這些資金隨后被清算并通過BadgerBridge轉移。

在這種特殊情況下,BadgerDAO團隊很難單獨阻止攻擊,因為漏洞在于第三方。除了選擇更可靠的服務提供商外,跨鏈橋的用戶在給予無限代幣批準時需要更加謹慎。

印度加密貨幣交易所Unocoin采用去中心化Unstoppable Domains以簡化加密交易:印度加密貨幣交易所Unocoin已經采用了基于區塊鏈的Unstoppable Domains,通過將區塊鏈地址轉換為人類可讀的網址,簡化了加密交易。(Cointelegraph)[2021/2/25 17:50:59]

多重簽名隱患

泄露的私鑰導致了迄今為止最大的DeFi攻擊,即Ronin橋黑客攻擊。具有諷刺意味的是,黑客攻擊可能是最容易防止的攻擊媒介。通過有針對性的魚叉式網絡釣魚策略,黑客能夠訪問大多數驗證者私鑰。在Ronin橋的案例中,SkyMavis的一名員工在不知不覺中下載了惡意軟件\\關注公眾號:枯藤老樹新芽,回復1進入社區\\使攻擊者能夠訪問相關的IT基礎設施。從那里,他們能夠輕松地偷走九個中的五個私鑰。在一次類似的網絡釣魚攻擊中,攻擊者獲得了Harmony的Horizon橋的內部工作記錄,并轉移了近一億美金。

在這兩種情況下,如果私鑰存儲得更安全或跨鏈橋具有更高程度的去中心化,攻擊本可以很容易地被阻止。可以說,更多的驗證者節點分布在不同平臺上可以阻止攻擊。為了應對這些搶jie,SkyMavis已將Ronin驗證器的門檻從5提高到8,而Harmony已經建立了一個安全運營團隊來打擊前端的攻擊。

FShares集團已上線去中心化云服務FShares Cloud:據官方消息,近日,FShares集團正式上線去中心化云服務FShares Cloud,為行業伙伴提供去中心化產品服務,并和去中心化交易所FDEX、FShares Wallet、FShares區塊瀏覽器共同構成區塊鏈“泛安全”矩陣。[2020/5/11]

一般來說,受信任的跨鏈橋比不信任的跨鏈橋更不去中心化且安全性更低,因為它們依賴于外部驗證者。鑒于這些事件,更多信任最小化跨鏈橋的開發和使用可能會增加。

智能合約漏洞

在所有DeFi攻擊中,最常見的類型是通過智能合約代碼中的漏洞。漏洞的類型因協議而異,通常取決于現有的基礎設施。以下是以這種方式攻擊的跨鏈橋出現的問題的細分:

PolyNetwork:通過其中一個智能合約中的錯誤,黑客能夠調用他自己的智能合約來重置橋上的中繼器名稱。他替換了所有四橋的中繼器變為自己,成為這座橋的唯一“keeper”。

Multichain:Multichain團隊發布公告指示用戶撤銷錢包批準,因為他們注意到他們的一個智能合約中有一個未使用的功能的錯誤。所述功能將允許不良行為者在沒有有效簽名的情況下將其個人合約作為轉移目的地。看到此公告后,黑客利用此確切漏洞從用戶賬戶中提取資金。

聲音 | 何治國:去中心化必須尊重現實 否則極易淪為烏托邦:據網易財經消息,清華經管數字金融資產研究中心學術顧問何治國稱,在中本聰提出比特幣這種點對點電子支付方式之前,在計算機領域已經有很多在這方面有意義以及突破性的嘗試。中本聰比特幣作為電子現金系統的一種實施方案只是把前人各種結果進行了另一個突破性的整合。去中心化必須尊重現實,否則極易淪為烏托邦。[2018/9/14]

Qbridge:由于存款功能的邏輯錯誤,黑客能夠在沒有觸發預設故障保護的情況下輸入惡意數據。然后,他們在不提供押金的情況下,在橋的一側鑄造了無抵押資產。

Wormhole:蟲洞橋有一個“監護人”網絡,通過觀察和證明事件來保護橋免受惡意行為者的侵害。在功能升級后,黑客能夠欺騙監護人簽名來批準交易。

Meter'sPassport:預先存在的功能允許自動包裝和展開原生代幣。本質上,打包的原生代幣不需要被燒毀或鎖定即可轉移,因為它們在技術上已經解包。黑客利用此功能來模擬橋上的傳輸,通過對代碼的不正確信任假設來鑄造資產。

Nomad:由于執行不善的智能合約更新未能正確驗證交易輸入,一位用戶能夠從橋中提取不屬于他們的資金。成千上萬的其他用戶復制了原始攻擊者的通話數據,用自己的地址進行了修改,然后開始提空資產。

貴陽市委常委徐昊:區塊鏈是去中介化,而不是去中心化:今晚央視《對話》欄目中,貴陽市委常委常務副市長徐昊表示,比特幣是區塊鏈技術最成功的應用,這是大家的共識,區塊鏈不等于比特幣。區塊鏈的本質到底是什么?很多人都在提去中心化,我對這個詞稍稍做一個修改。我認為區塊鏈本質是去中介化,中心是不可能去掉的,無論在現實當中還是在虛擬世界當中不可能去掉,如果真的把全世界的節點全部消滅掉,那我的理解一定會產生一個超級節點。這在現實當中是不可能的,所以從某種意義上講,區塊鏈因為去中介,因為它要建立一種自證清白的信任機制,所以在金融領域的應用就水到渠成,因為金融對信任的需求是最高的。[2018/6/3]

在過去的一年中,有針對性的智能合約盜竊是按被盜價值計算的最大黑客類型,包括非橋接DeFi盜竊。在大多數情況下,這種攻擊向量很難緩解。大規模應對這些風險將需要更強大的安全審計,并代表開發人員需要更加關注細節。跨鏈橋的設計需要充分了解它們存在很大的攻擊風險。

大規模的盜竊攻擊往往會在加密貨幣領域引起相當多的關注。每一次黑客攻擊都是關于如何保護一個依然相關初期并不斷發展的生態系統的教訓。在過去的幾個月里,彩虹橋憑借其獨特的基礎設施和預防策略,已經阻止了兩次單獨的漏洞攻擊嘗試。

彩虹橋RainbowBridge

彩虹橋在以太坊主網與NEAR和Aurora網絡之間轉移資產。自推出以來,價值超過28億美元的資產已通過這座橋轉移。查看源自以太坊的跨鏈橋,目前超過85%的傳輸量發生在以太坊與Polygon、Arbitrum和Optimism之間。彩虹橋目前約占總價值鎖定市場份額的6%。

彩虹橋是一個無需信任、無需許可的雙向橋,它繼承了以太坊和NEAR網絡的安全性。從表面上看,這座橋的基礎設施采用了典型的鎖定和鑄造模型。有四個附加組件為橋提供功能:

Relays中繼:ETH2NEAR和NEAR2ETH中繼是跨鏈橋的消息傳遞協議。它們將相關信息從相應的鏈中繼到相應的客戶端。由于網橋是無需信任的,因此任何人都可以與協議進行交互。

LightClients輕客戶端:輕客戶端代理實現專注于通過少量計算跟蹤其相應鏈的狀態。計算和數據處理是如此之小,以至于它們可以在智能合約中運行而不會影響成本或效率。ETHonNEAR客戶端是在Rust中作為NEAR智能合約實現的以太坊輕客戶端。同樣,NEARonETH是在以太坊上以Solidity實現的NEAR輕客戶端。

Provers證明者:證明者負責驗證特定的密碼信息。它們與相應的輕客戶端分開實現,以實現可擴展性、增強的特異性和分離操作的關注點。

Watchdogs看門狗:NEARonETH輕客戶端驗證除驗證器簽名之外的所有標頭數據。它采用了一種樂觀的方法,假設所有簽名都是有效的,除非另有證明。這就是watchdog發揮功用的地方。有一個4小時的挑戰窗口,預先批準的watchdog可以對簽名數據提出異議。

如前所述,彩虹橋是無需信任的未經許可的,任何人都可以在未經許可的情況下與智能合約交互或部署、維護或使用橋接器。此外,用戶只需要信任NEAR和Ethereum網絡的安全性;沒有額外的驗證者來監督橋上資產的流動。

在兩個不同的場合,黑客試圖以完全相同的方式利用彩虹橋。他們充當中繼者,向NEARonETH客戶端發送無效數據,試圖從網橋中提取資金。該交易已成功提交到以太坊網絡,需要5ETH的保證金。在漏洞利用嘗試不到一分鐘后,自動看門狗就對惡意交易提出了質疑,不僅阻止了攻擊,而且還導致攻擊者損失了他們的保證金。

NEAR團隊在設計這座橋時假設它會受到攻擊。他們完全避免了集中故障點帶來的額外風險,并實施了自動緩解系統來保護網橋免受攻擊。此外,橋接器定期接受審計以驗證功能,要求用戶存款以阻止他們攻擊系統,為團隊提供自動警報系統,并運行頻繁的漏洞賞金計劃以補償那些發現他們沒有發現的漏洞的人。

總體而言,由于其自動檢查系統和團隊對細節的關注,彩虹橋的安全級別有所提高。橋是去中心化的:沒有可以泄露密鑰的集中式運營商。然而,這并不意味著這座橋是完全防黑客的。隨著任何即將到來的升級,開發人員需要確保所有代碼簡潔、高效和安全,以防止任何智能合約漏洞。

結論

更大的加密生態系統會演變為一個多鏈世界,沒有一個單一的區塊鏈會統治所有這些世界。互操作性對于實現這一目標至關重要。跨鏈橋不僅有助于消除孤立的生態系統,還提供更大的流動性、更好的用戶體驗并減少單個網絡擁塞。

跨鏈橋對于黑客來說是有吸引力的目標,需要在設計時考慮到這種風險。更高程度的去中心化和更細心的開發人員監督是兩個有助于防止未來攻擊的解決方案。包括彩虹橋背后的團隊在內的開發人員還實施了更強大的安全措施、阻止漏洞利用的賞金計劃和系統審計,以確保橋上資金的安全。為了讓DeFi發展成為一個可信的生態系統,需要減少橋梁中的漏洞。

在加密行業你想抓住下一波牛市機會你得有一個優質圈子,大家就能抱團取暖,保持洞察力。如果只是你一個人,四顧茫然,發現一個人都沒有,想在這個行業里面堅持下來其實是很難的。

想抱團取暖,或者有疑惑的,歡迎加入我們——公眾號:枯藤老樹新芽

感謝閱讀,我們下期再見!

Tags:NEAR區塊鏈ETH以太坊near幣的未來泰達幣區塊鏈交易查詢METH幣以太坊幣最新價格美元行情

屎幣
FAT:FatMan稱其推銷的投資計劃是一個設計好的“騙局”

金色財經報道,Terra研究員FatMan發推稱,此前其在Twitter上推銷的投資計劃其實只是一個實驗。他表示,創造這個假的投資計劃給了人們一個教訓,不要盲目聽從有影響力的人們的投資建議.

1900/1/1 0:00:00
WEB:千億美元級創作者經濟盛宴 FavorTube如何還創作者自由

每分鐘,全球有500小時的視頻被上傳到油管,有超過4萬條視頻被上傳到抖音。每天,用戶累計在油管上觀看超過10億小時的視頻,用戶平均花在油管、Tiktok的時間達45分鐘,遠超Twitter、Sn.

1900/1/1 0:00:00
以太坊:小白必看!合并以太坊升級:所有你需要知道的

介紹 自2015年推出以來,以太坊已在區塊鏈行業確立了其作為流行的去中心化計算平臺的地位,允許在其區塊鏈上創建數千個項目.

1900/1/1 0:00:00
以太坊:幣圈老呂:以太坊1798美元為此輪下跌分界線,比特幣靜候高空

大家好,我是幣圈老呂。接上篇,許久不見,近期一直沒有更新一直在處理手中的事,第一件事是穩號,第二件事孩子開學了,一年之中能真正回歸家庭的機會很少,所以再忙也要暫時放下.

1900/1/1 0:00:00
DXY:美元指數觸及20年高點、加密貨幣總市值繼續崩盤

8月29日的9400億美元總市值是43天以來的最低點。惡化的情況伴隨著傳統市場的大幅回調,自8月15日以來,以科技股為主的納斯達克綜合指數下跌了12%,甚至WTI油價在8月29日至9月1日期間也.

1900/1/1 0:00:00
OBI:Launch of Spot Trading For TRX/USDC and NFT/USDC Trading Pairs on 2022/9/6

DearValuedUsers,HuobiGlobalwillbeopeningTRX/USDCandNFT/USDCspottradingat07:00(UTC)onSeptember6.

1900/1/1 0:00:00
ads