BTC/HKD-0.38%
HK$ 493652
$ 62912.1

ETH/HKD-0.67%
HK$ 19944
$ 2541.76

LTC/HKD+0.15%
HK$ 510.74
$ 65.09

DOT/HKD+0.31%
HK$ 33.92
$ 4.323

ADA/HKD-0.78%
HK$ 2.76
$ 0.352

SOL/HKD-1.58%
HK$ 1142.6
$ 145.62

XRP/HKD+0.51%
HK$ 4.57
$ 0.583

DOGE/US-0.34%
HK$ 0.82
$ 0.105

比特幣交易所最好的比特幣交易所

幣安

世界排名第一的比特幣交易所

URL：https://www.binance.com

火幣

成立於2013年的比特幣交易所

URL：https://www.huobi.com

歐易OKX

成立於2014年的比特幣交易所

URL：https://www.okx.com

ETH:5次跨鏈橋漏洞攻擊總損失已超13億美元誰來為這天價損失買單？

Author：

Time：1900/1/1 0:00:00

2022年自年初至今，僅5次的跨鏈橋攻擊就導致了13.17億美元的損失——這個數字是2022年Web3.0行業因黑客、欺詐、漏洞等事件造成總資產損失金額的57%。

之所以跨鏈橋攻擊的損失如此巨大，是因其本身的固有安全漏洞及整個領域缺乏防御攻擊專業意識和相關理論知識。

規模位于前三的跨鏈橋攻擊事件分別為：RoninNetwork，造成6.24億美元的損失；Solana跨鏈橋項目蟲洞，造成3.26億美元的損失；Nomad，造成1.9億美元的損失。

本文將通過分析今年發生的這5起尤其是具有代表性的NomadBridge攻擊事件，與大家探討跨鏈橋的安全問題及解決方式。

跨鏈橋安全

在分析這幾起攻擊事件前，我們需要明確一下跨鏈橋存在的固有安全問題。

V神VitalikButerin曾在Reddit上寫道，因為51%攻擊的影響，他對跨鏈應用持悲觀態度。然而除此之外，還有更多需要考慮的其他問題。

基礎設施提供商Flashbots推出新協議MEV-Share:2月16日消息，區塊鏈研究和基礎設施提供商Flashbots推出了一種名為MEV-Share的新協議，該協議將通過最大可提取價值 (MEV) 賺取的部分資金分配給以太坊用戶，而不僅僅是驗證者和區塊構建者。這個新協議是由Flashbots 團隊在其社區論壇上宣布的，目前仍處于提案階段。

MEV-Share是一種新的協議，它允許以太坊用戶從MEV產生的利潤中受益，并成為交易供應鏈的一部分。Flashbots的產品負責人Robert Miller表示，通過引入一種稱為“媒人”（matchmaker）的新實體，MEV-Share可以將來自搜索者的交易包與用戶交易進行匹配，從而使搜索者能夠進一步優化他們的 MEV 捕獲工作。該團隊表示，錢包地址等敏感的用戶交易細節將保密。（The Block）[2023/2/16 12:11:53]

在2022年7月22日發布的一個推特視頻中，Nomad的創始人JamesPrestwich解釋了為何行業普遍在跨鏈應用建立安全模型方面缺乏專業知識，以及為何獲取這些標準的專業知識需要花費一年的時間。

Magic Eden為用戶引入折扣和獎勵系統:金色財經報道，Solana的NFT市場Magic Eden宣布了一個獎勵系統，允許用戶根據他們在平臺上的活動獲得獎勵、折扣和其他福利。Magic Eden Rewards將于12月14日美國東部標準時間下午5點正式啟動。

Magic Eden首席執行官Jack Lu和營銷主管Tiffany Huang在電子郵件中說“這個工具不同于Open Creator Protocol，它是專門創建的，允許創作者通過不同的協議啟用機制來激勵版稅支付，比如動態版稅定價、定制可轉讓性和受保護的版稅。雖然Magic Eden費用將在2023年之前免除，但用戶可以在費用恢復時根據交易者的角色獲得5%-45%的交易折扣。”（The Block）[2022/12/15 21:45:33]

對于個人用戶來說，很難將資產從一個區塊鏈轉移到另一個區塊鏈，因此必須通過跨鏈橋來實現這一操作。跨鏈橋協議的原理是：用戶在A鏈將代幣存入，隨后在B鏈上收到債務代幣。一旦B鏈的債務代幣被銷毀，則A鏈存儲的代幣就會被釋放。

為了實現這一功能，跨鏈橋需要實現這幾個功能：保管用戶存入的代幣，向用戶釋放債務代幣，以及在不同鏈之間發送消息的預言機。這使得跨鏈橋在安全方面更加脆弱——黑客可以下手的地方實在太多了。

Alameda Research貸款給SBF本人33億美元:11月17日消息，根據法庭文件， Alameda Research貸款給SBF本人33億美元。（Bitcoin Magazine）[2022/11/17 13:18:15]

條條大路通跨鏈橋，對黑客來說，又怎么能輕易拒絕這種快速暴富的攻擊渠道？攻擊造成的后果并不只是存款損失，一旦跨鏈橋產生漏洞或遭到攻擊，整個跨鏈橋的代幣將很可能失去所有價值。

RoninNetwork

RoninNetwork漏洞是有史以來最大的DeFi漏洞。

3月底，CertiK審計團隊監測到NFT游戲AxieInfinity側鏈RoninNetwork遭到攻擊，損失價值約6.24億美元的17.36萬枚ETH以及2550萬枚USDC。

RoninNetwork需要驗證九個驗證節點中的五個簽名。而攻擊者黑了4個SkyMavis的私鑰，制造了5個合法的簽名，即：4個SkyMavis驗證器和1個AxieDAO運行的第三方驗證器產生的簽名。

這導致5個驗證器節點被破壞，高級魚叉式網絡釣魚攻擊是造成這一情況的罪魁禍首。

俄羅斯中央銀行重新考慮其在加密貨幣挖礦方面的立場:金色財經報道，俄羅斯中央銀行第一副行長Ksenia Yudayeva表示，該銀行對使用加密貨幣進行國際支付持開放態度，俄羅斯媒體還補充說，該銀行也在重新考慮其在加密貨幣挖礦方面的立場。Yudayeva稱，我們改變了對采礦的立場，也允許在外貿和國外使用加密貨幣。 Vedomosti 報道稱，財政部在統一俄羅斯黨在弗里達舉行的一次討論會上公布了該法律草案。在那次討論中，俄羅斯議會下議院國家杜馬的成員Anton Gorelkin提到了中央銀行參與的必要性，草案中已經考慮了許多國家機構和部委的意見。允許加密貨幣國際貿易的規定是法律上的一項創新。經濟發展部官員Anatoly Dyubanov在統一俄羅斯會議上表示，將其加入現行法律是一個權宜之計。

金色財經此前報道，俄羅斯正積極討論在國際結算交易中使用數字貨幣的想法。（路透社）[2022/6/1 3:55:00]

Solana跨鏈橋項目蟲洞

韓國或提出懲罰加密貨幣操縱者的法案:金色財經報道，韓國可能會提出一項法案，懲罰那些通過抬高幣價、內幕交易或虛假訂單從加密貨幣交易中獲取不公平利潤的人。在韓國議會要求研究加密貨幣監管后，韓國金融服務委員會（FSC）準備了這份研究報告。FSC提出的條例將比資本市場規制更加嚴格。根據該提案，對不正當獲取利益的人將處以罰款、賠償責任等民事、行政處罰，并處以監禁等刑事處罰。據悉韓國議會和政府將在立法過程中討論細節。（韓國經濟日報）[2022/5/18 3:23:44]

北京時間2022年2月3日凌晨1點58分，CertiK審計團隊監測到Solana跨鏈橋項目蟲洞遭到攻擊。

此次事件中，攻擊者通過注入一個欺騙性的sysvar賬戶繞過了系統驗證步驟，并成功生成了一條惡意“消息”，指定要鑄造12萬枚wETH。最后，攻擊者通過使用惡意“消息”調用了“complete_wrapped”函數，成功鑄造了12萬枚wETH，價值約3.26億美元。

鑄幣兩分鐘后，攻擊者將1萬枚ETH橋接到以太坊鏈上，約20分鐘后，以太坊鏈上又產生了8萬枚ETH的交易。時至今日，這些資金仍在攻擊者的錢包里。

該事件造成的損失金額之大，令其成為了跨鏈橋史上第二大黑客攻擊事件。

Harmony?Bridge

北京時間2022年6月23日19:06:46，CertiK審計團隊監測到Harmony鏈和以太坊之間的跨鏈橋經歷了多次惡意攻擊。

CertiK團隊安全專家分析，此次攻擊事件可能源于黑客掌握了owner的私鑰——攻擊者控制MultiSigWallet的所有者直接調用confirmTransaction從Harmony的跨鏈橋上轉移大量代幣，導致Harmony鏈上價值約9700萬美元的資產被盜，該筆資金后被轉移至TornadoCash。

這起攻擊事件涉及到了12筆價值約5萬美元到4120萬美元以上的交易及3個攻擊地址，涉及到的代幣包括ETH、USDC、WBTC、USDT、DAI、BUSD、AAG、FXS、SUSHI、AAVE、WETH和FRAX。

Qubit?Bridge

發生于年初的Qubit攻擊事件也是一個典型的跨鏈橋漏洞事件。

2022年1月27日，CertiK審計團隊監測到Qubit遭到攻擊，導致了約8000萬美元的損失。

攻擊者調用了QBridge合約，在沒有提供任何加密貨幣的情況下使bridge合約產生了攻擊者已存款的虛假時間證明。

ETH和ERC-20的存款共享相同的事件證明，因此允許攻擊者調用該函數利用不存在的ERC20存款事實生成虛假的ETH存款事件證明，并以此在另一條鏈上提取ETH。因此，攻擊者在沒有向合約發送任何代幣的情況下通過了QBridgeHandler證明，并在交叉鏈上鑄造了大約77,162個qxETH。黑客隨后將盜取的資金存入了TornadoCash。