比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads
首頁 > Coinw > Info

ETH:5次跨鏈橋漏洞攻擊總損失已超13億美元 誰來為這天價損失買單?

Author:

Time:1900/1/1 0:00:00

2022年自年初至今,僅5次的跨鏈橋攻擊就導致了13.17億美元的損失——這個數字是2022年Web3.0行業因黑客、欺詐、漏洞等事件造成總資產損失金額的57%。

之所以跨鏈橋攻擊的損失如此巨大,是因其本身的固有安全漏洞及整個領域缺乏防御攻擊專業意識和相關理論知識。

規模位于前三的跨鏈橋攻擊事件分別為:RoninNetwork,造成6.24億美元的損失;Solana跨鏈橋項目蟲洞,造成3.26億美元的損失;Nomad,造成1.9億美元的損失。

本文將通過分析今年發生的這5起尤其是具有代表性的NomadBridge攻擊事件,與大家探討跨鏈橋的安全問題及解決方式。

跨鏈橋安全

在分析這幾起攻擊事件前,我們需要明確一下跨鏈橋存在的固有安全問題。

V神VitalikButerin曾在Reddit上寫道,因為51%攻擊的影響,他對跨鏈應用持悲觀態度。然而除此之外,還有更多需要考慮的其他問題。

基礎設施提供商Flashbots推出新協議MEV-Share:2月16日消息,區塊鏈研究和基礎設施提供商Flashbots推出了一種名為MEV-Share的新協議,該協議將通過最大可提取價值 (MEV) 賺取的部分資金分配給以太坊用戶,而不僅僅是驗證者和區塊構建者。這個新協議是由Flashbots 團隊在其社區論壇上宣布的,目前仍處于提案階段。

MEV-Share是一種新的協議,它允許以太坊用戶從MEV產生的利潤中受益,并成為交易供應鏈的一部分。Flashbots的產品負責人Robert Miller表示,通過引入一種稱為“媒人”(matchmaker)的新實體,MEV-Share可以將來自搜索者的交易包與用戶交易進行匹配,從而使搜索者能夠進一步優化他們的 MEV 捕獲工作。該團隊表示,錢包地址等敏感的用戶交易細節將保密。(The Block)[2023/2/16 12:11:53]

在2022年7月22日發布的一個推特視頻中,Nomad的創始人JamesPrestwich解釋了為何行業普遍在跨鏈應用建立安全模型方面缺乏專業知識,以及為何獲取這些標準的專業知識需要花費一年的時間。

Magic Eden為用戶引入折扣和獎勵系統:金色財經報道,Solana的NFT市場Magic Eden宣布了一個獎勵系統,允許用戶根據他們在平臺上的活動獲得獎勵、折扣和其他福利。Magic Eden Rewards將于12月14日美國東部標準時間下午5點正式啟動。

Magic Eden首席執行官Jack Lu和營銷主管Tiffany Huang在電子郵件中說“這個工具不同于Open Creator Protocol,它是專門創建的,允許創作者通過不同的協議啟用機制來激勵版稅支付,比如動態版稅定價、定制可轉讓性和受保護的版稅。雖然Magic Eden費用將在2023年之前免除,但用戶可以在費用恢復時根據交易者的角色獲得5%-45%的交易折扣。”(The Block)[2022/12/15 21:45:33]

對于個人用戶來說,很難將資產從一個區塊鏈轉移到另一個區塊鏈,因此必須通過跨鏈橋來實現這一操作。跨鏈橋協議的原理是:用戶在A鏈將代幣存入,隨后在B鏈上收到債務代幣。一旦B鏈的債務代幣被銷毀,則A鏈存儲的代幣就會被釋放。

為了實現這一功能,跨鏈橋需要實現這幾個功能:保管用戶存入的代幣,向用戶釋放債務代幣,以及在不同鏈之間發送消息的預言機。這使得跨鏈橋在安全方面更加脆弱——黑客可以下手的地方實在太多了。

Alameda Research貸款給SBF本人33億美元:11月17日消息,根據法庭文件, Alameda Research貸款給SBF本人33億美元。(Bitcoin Magazine)[2022/11/17 13:18:15]

條條大路通跨鏈橋,對黑客來說,又怎么能輕易拒絕這種快速暴富的攻擊渠道?攻擊造成的后果并不只是存款損失,一旦跨鏈橋產生漏洞或遭到攻擊,整個跨鏈橋的代幣將很可能失去所有價值。

RoninNetwork

RoninNetwork漏洞是有史以來最大的DeFi漏洞。

3月底,CertiK審計團隊監測到NFT游戲AxieInfinity側鏈RoninNetwork遭到攻擊,損失價值約6.24億美元的17.36萬枚ETH以及2550萬枚USDC。

RoninNetwork需要驗證九個驗證節點中的五個簽名。而攻擊者黑了4個SkyMavis的私鑰,制造了5個合法的簽名,即:4個SkyMavis驗證器和1個AxieDAO運行的第三方驗證器產生的簽名。

這導致5個驗證器節點被破壞,高級魚叉式網絡釣魚攻擊是造成這一情況的罪魁禍首。

俄羅斯中央銀行重新考慮其在加密貨幣挖礦方面的立場:金色財經報道,俄羅斯中央銀行第一副行長Ksenia Yudayeva表示,該銀行對使用加密貨幣進行國際支付持開放態度,俄羅斯媒體還補充說,該銀行也在重新考慮其在加密貨幣挖礦方面的立場。Yudayeva稱,我們改變了對采礦的立場,也允許在外貿和國外使用加密貨幣。 Vedomosti 報道稱,財政部在統一俄羅斯黨在弗里達舉行的一次討論會上公布了該法律草案。在那次討論中,俄羅斯議會下議院國家杜馬的成員Anton Gorelkin提到了中央銀行參與的必要性,草案中已經考慮了許多國家機構和部委的意見。允許加密貨幣國際貿易的規定是法律上的一項創新。經濟發展部官員Anatoly Dyubanov在統一俄羅斯會議上表示,將其加入現行法律是一個權宜之計。

金色財經此前報道,俄羅斯正積極討論在國際結算交易中使用數字貨幣的想法。(路透社)[2022/6/1 3:55:00]

Solana跨鏈橋項目蟲洞

韓國或提出懲罰加密貨幣操縱者的法案:金色財經報道,韓國可能會提出一項法案,懲罰那些通過抬高幣價、內幕交易或虛假訂單從加密貨幣交易中獲取不公平利潤的人。在韓國議會要求研究加密貨幣監管后,韓國金融服務委員會(FSC)準備了這份研究報告。FSC提出的條例將比資本市場規制更加嚴格。根據該提案,對不正當獲取利益的人將處以罰款、賠償責任等民事、行政處罰,并處以監禁等刑事處罰。據悉韓國議會和政府將在立法過程中討論細節。(韓國經濟日報)[2022/5/18 3:23:44]

北京時間2022年2月3日凌晨1點58分,CertiK審計團隊監測到Solana跨鏈橋項目蟲洞遭到攻擊。

此次事件中,攻擊者通過注入一個欺騙性的sysvar賬戶繞過了系統驗證步驟,并成功生成了一條惡意“消息”,指定要鑄造12萬枚wETH。最后,攻擊者通過使用惡意“消息”調用了“complete_wrapped”函數,成功鑄造了12萬枚wETH,價值約3.26億美元。

鑄幣兩分鐘后,攻擊者將1萬枚ETH橋接到以太坊鏈上,約20分鐘后,以太坊鏈上又產生了8萬枚ETH的交易。時至今日,這些資金仍在攻擊者的錢包里。

該事件造成的損失金額之大,令其成為了跨鏈橋史上第二大黑客攻擊事件。

Harmony?Bridge

北京時間2022年6月23日19:06:46,CertiK審計團隊監測到Harmony鏈和以太坊之間的跨鏈橋經歷了多次惡意攻擊。

CertiK團隊安全專家分析,此次攻擊事件可能源于黑客掌握了owner的私鑰——攻擊者控制MultiSigWallet的所有者直接調用confirmTransaction從Harmony的跨鏈橋上轉移大量代幣,導致Harmony鏈上價值約9700萬美元的資產被盜,該筆資金后被轉移至TornadoCash。

這起攻擊事件涉及到了12筆價值約5萬美元到4120萬美元以上的交易及3個攻擊地址,涉及到的代幣包括ETH、USDC、WBTC、USDT、DAI、BUSD、AAG、FXS、SUSHI、AAVE、WETH和FRAX。

Qubit?Bridge

發生于年初的Qubit攻擊事件也是一個典型的跨鏈橋漏洞事件。

2022年1月27日,CertiK審計團隊監測到Qubit遭到攻擊,導致了約8000萬美元的損失。

攻擊者調用了QBridge合約,在沒有提供任何加密貨幣的情況下使bridge合約產生了攻擊者已存款的虛假時間證明。

ETH和ERC-20的存款共享相同的事件證明,因此允許攻擊者調用該函數利用不存在的ERC20存款事實生成虛假的ETH存款事件證明,并以此在另一條鏈上提取ETH。因此,攻擊者在沒有向合約發送任何代幣的情況下通過了QBridgeHandler證明,并在交叉鏈上鑄造了大約77,162個qxETH。黑客隨后將盜取的資金存入了TornadoCash。

NomadBridge

北京時間2022年8月2日,CertiK安全團隊監測到NomadBridge遭受攻擊,導致了價值約1.9億美元的損失。

合約的問題在于在initialize()函數被調用的時候,“committedRoot”被設成了0x00地址。因此,攻擊者可以通過消息的驗證,將在橋合約中的代幣轉移。鎖倉總價值由1.9億美元驟降為1.2萬美元——這實質上使得攻擊者可以在A鏈上存入1ETH而在B鏈上收到100ETH。

這個漏洞的神奇之處在于,看起來好像沒有任何一個直接攻擊者。但至少有41個錢包參與了此次攻擊,我們可以認為它是Web3.0世界第一個「群體作案」。也許正是因為這個原因,攻擊者可以輕易地從橋上提取資金。

第一筆可疑交易發生在8月2日凌晨5:32,100wBTC被轉移到0x56d8......我們可以觀察到代幣從這里開始持續瘋狂轉移。

這樣的漏洞也在吸引著如RariCapital攻擊者這樣的以往Web3.0黑客。

另外有個有意思的地方是,還有個惡意者試圖對這起事件的黑客進行網絡釣魚攻擊,ta持有ENSnomadexploiter.eth的EOA向持黑客EOA發送了鏈上信息,在8月2日注冊冒充Nomad與黑客進行談判:

Nomad在推特上發布聲明稱這不是他們干的

寫在最后

這些攻擊事件的漏洞在持續警醒我們:跨鏈橋漏洞所能造成的破壞性極其巨大。

Web3.0世界目前急需更安全和更廣泛的跨鏈應用。未來同類性質的漏洞可能會出現的越來越多、越來越頻繁。

我們可以盡力而為的至少是確保項目代碼經過了完備的測試和安全審計,這將大幅提高面對高破壞性黑客攻擊的抵御能力。

來源:金色財經

Tags:ETH加密貨幣RIDGEDGEethicaldilemma加密貨幣行情分析Bridge OracleAllbridge

Coinw
ETH:Link將在以太坊合并后運行、不支持Pow分叉 !

去中心化預言機Chainlink表示合并期間和之后都將繼續在以太坊運行、不支持PoW在內的硬分叉。此外,包括Tether在內的兩家穩定幣發行商也都已表態支持ETH2.

1900/1/1 0:00:00
EER:以太坊再次蓄力上沖加劇重演? ? 本次看局勢方向

以太坊目前走勢多頭蓄力再次像8.3號一樣起沖上來,也確實也本身行情應該有的整體方向,因為畢竟在前天的走勢當中破位1670位置后.

1900/1/1 0:00:00
GAS:以太坊區塊鏈賬戶抽象概覽

計算機編程中的抽象和數據抽象指的是隱藏除了「對象」相關數據以外的所有數據的過程,目的是減少復雜性并提高有效性。它通過省略不必要細節的方式來表示對象.

1900/1/1 0:00:00
以太坊:DAOrayaki |以太坊社區需要什么樣的社會恢復系統

原文作者:?Vitalik,isthisanart 創作者:Xinyang 審核者:DAOctor 原文:?WhattheEthereumcommunitywouldliketoseeinaso.

1900/1/1 0:00:00
比特幣:8月8日以太坊行情分析 #比特幣 #以太坊 #數字貨幣 #區塊鏈

ETH高位在現,多軍還能走多遠?ETH多頭勢頭破竹再次占領高位,當前承壓1780一帶區間震蕩。那么昨日也說過,短線沖高是趨勢,而后回落是為更好的上漲,給出的1670附近的多單進場,達到目標175.

1900/1/1 0:00:00
WEB:剖析:從 Web3 基礎設施到 Web3 框架架構

撰寫:EricHu 互聯網已經從根本上改變了社會、個體和經濟。作為開啟知識轉移的工具,它迎來了信息時代,成為實現應用、網絡和服務的基本平臺.

1900/1/1 0:00:00
ads