宇宙链 宇宙链
Ctrl+D收藏宇宙链

又一跨链项目Wormhole被盗,跨链真的是伪命题吗?

作者:

时间:1900/1/1 0:00:00

跨链协议Wormhole遭到黑客攻击,损失高达12万枚wETH,是继PolyNetwork这个DeFi史上最大被盗案之后,被盗金额第二大的事件了。

而无独有偶的是,DeFi史上第一大和第二大的被盗案都是发生在跨链的项目上,这不禁让众人担心起来,跨链是否有必要,或者说,为了安全性就不应该有跨链。而这样的担心很容易让大家想起前段时间引起多方讨论的V神的观点“未来将是多链的,对跨链应用持悲观态度。”

此次被盗事件究竟是怎么回事,跨链真的会像V神那样吗?波卡生态的从业者又会如何看待这次的被盗事件,容我们一一道来。

被盗不是跨链的罪,跨链市场依旧有前景

那么Wormhole被盗到底是怎样一回事呢?Wormhole的被盗是否说明“跨链”市场的末日已至?在解释这两个问题之前,我们先来回顾一下Wormhole到底是什么?

Wormhole是Solana、以太坊的第一个双向跨链桥。Wormhole允许用户将ERC20通证锁定在以太坊智能合约中,并在Solana上铸造相应的SPL通证。作为Solana上最大的跨链桥,Wormhole还具备NFT认证工具,能够跨链发送以太坊和Solana的NFT,包括当下最火的NFT之一CryptoPunks。

当前Wormhole锁定的价值超过了10亿美元,并支持Terra、Solana、Ethereum、BinanceSmartChain、Avalanche和Polygon等六大公链。作为备受瞩目的明星项目,Wormhole的未来似乎一片光明,直到此次被盗事件的发生。

一夕之间,12万wETH被盗,价值约3亿美元,一跃成为了DeFi史上的第二大黑客事件。

而Wormhole事件与PolyNetwork事件都发生在跨链协议上,是否说明了跨链协议就是原罪?来让我们对事件进行简单的还原。

最开始攻击者在Solana上铸造了0.1WormholeETH,得到了“transfermessage”合约中的“post_vaa”函数,然后通过加载一个外部的合约绕过了签名检查合约,生成了Wormhole函数“complete_wrapped”所需的参数,进而进行了无限铸币。而发生这一切的根本原因是Wormhole使用了过期的系统合约,而没有对参数所需的合约进行最新的升级。

清华大学教授沈阳:元宇宙是信息技术产业又一次生产力大提升:5月2日消息,清华大学新闻学院元宇宙文化实验室主任沈阳在接受《中国科技信息》杂志采访时称,元宇宙与当初的移动互联网类似,是人类在信息技术产业领域的又一次生产力大提升。未来元宇宙在跨平台要素方面会发展比较快。如果以目前的产品对标,未来VR很大程度上会替代现有的个人计算机,AR眼镜会替代手机,手机会逐步退化成一个计算设备,而不是交互设备。他还认为,看待元宇宙绝不能存在投机的目光。做一个极端性的假设,假如苹果推出元宇宙设备但遇冷,那么可能投机者会选择出局,就混不下去了。只有真正的务实者和胸怀理想的企业才能坚持下来。[2022/5/2 2:45:27]

一句话概括就是黑客通过一次很小金额的尝试就获得了一个函数,并通过外部的合约绕过Wormhole的协议验证进而取了120,000ETH,并成功转走了93,750ETH,剩下的wETH被紧急锁定在了Solana中。而这不仅给Wormhole带来了损失,甚至可能会导致wETH的贬值,最终导致一些基于此的项目方资不抵债。

Wormhole事件为我们再一次拉响警钟,将跨链协议的安全性问题推向了历史舞台。引发了社区的热议,V神年初对“跨链”的论断再一次被大家从故纸堆里翻了出来,似乎是一条神预言。

V神在其发布的Reddit中指出,“想象一下如果你将100ETH移到Solana上的一座桥上以获得100Solana-WETH,然后以太坊受到51%的攻击,会发生什么情况?

攻击者将一堆自己的ETH存入Solana-WETH,然后在Solana方确认后立即在以太坊方恢复该交易。Solana-WETH合约现在不再完全支持,也许你的100Solana-WETH现在只值60ETH。即使有一个完美的基于ZK-SNARK的桥梁来完全验证共识,它仍然容易受到此类51%攻击的盗窃。”

然而真的如此么?可实际上V神提出的问题和Wormhole事件毫无关联。

V神指出了,由于跨链产生了许多相互依赖的DApp,在任何一条链受到51%攻击时,都有可能导致系统性的传染,继而威胁整个经济系统的经济。他认为以太坊上的应用程序应该彼此紧密连接,Avax上的应用程序应该彼此紧密连接,而不是跨链。跨链使得整个区块链系统抵御51%攻击的能力下降。

声音 | 世界经济论坛创始人:区块链是第四次工业革命的又一代表性成果:据经济参考报消息,在近日举行的第十二次夏季达沃斯论坛上,世界经济论坛创始人兼执行主席克劳斯·施瓦布表示,区块链是第四次工业革命的又一代表性成果。预计到2025年之前,全球GDP总量的10%将使用区块链技术储存。当前,众多知名企业、投资人密切关注区块链动向。他们期待借助区块链技术,改善传统业务流程,创造崭新的业务模式。[2018/9/21]

Wormhole事件并不存在51%攻击,也不是系统性传染导致的被盗,而仅仅是合约漏洞。被盗不是跨链的罪。

虽然我们不得不承认一点,“在以太坊上持有以太坊原生资产或在Solana上持有Solana原生资产总是比在Solana上持有以太坊原生资产或在以太坊上持有Solana原生资产更安全。”

毕竟在这个世界上没有完美的代码,跨链协议需要不断的升级延化。可是跨链市场的存在依旧非常的重要。随着DeFi赛道的高速发展,我们需要跨链协议来满足快速膨胀的资金量。

跨链资产被盗事件的背后不是跨链之罪,而是其飞速发展的锁仓量和复杂的流程。巨大的资金量和具有挑战性的破解流程就像一个巨大的蛋糕吸引着黑客们的目光。

Wormhole事件和PolyNetwork事件就是合约中的漏洞导致,这也进一步让项目方去思考,在跨链交易事件的验证及合约权限管理的设计上似乎需要更加的谨慎小心。

Acala联合创始人陈锡亮、Moonbeam中文社区的Yuki、以及Astar中文区负责人宋明时,看看他们是如何看待此次跨链被盗的。注:以下仅为个人观点。

Acala联合创始人陈锡亮:

目前来说,大家普遍认为以后的区块链生态会是一个多链的生态。因为不同的区块链可以针对各自的应用场景进行不同的优化,所以从技术上来说应该是不可能有一条单一链从全方位角度优胜于所有的其他的链。

每一条链就类似一台服务器,固然可以运行各种各式各样的应用,但我们能有今天的互联网,从字面上来说,就是因为各个服务器直接是互联互通的。

金色财经现场报道 现代密码学之父:近几年是密码学的又一次复兴:金色财经现场报道,今日在Coindesk 2018共识会议上,现代密码学之父,图灵奖得主,Cryptic Labs首席科学家Whitfield Diffie表示,最近几年是密码学的又一次复兴,区块链是密码学方面的重新对焦。他表示喜欢“引入市场力量”的说法, 从市场力量的角度看待密码学的发展可能是最好的。Diffie还称赞了比特币创始人Satoshi,他说:“多年来密码学领域的许多人都想到如何发展金钱技术,在Satoshi之前没有人取得成功。”[2018/5/15]

跨链桥就是让不同区块链互联互通的技术之一。包括Wormhole在内,主流的桥都是基于门限签名的半中心化技术,如果签名人联合作恶,或者私钥泄露,或者签名验证方案有漏洞,就会导致攻击者可以几乎无限制的增发跨链资产,造成严重损失。

那么这说明什么呢?是Wormhole团队技术不行么?为什么明知道这种半中心化跨链技术有这么大的安全隐患,几乎所有的主流跨链桥都还使用这种技术呢?

最主要的原因其实是包括比特币和以太坊在内,很多L1本身在设计的时候,其实是没有考虑到跨链的兼容性的,导致非常难实现更加安全的跨链技术。

主流L1都是EVM环境,而EVM支持的加密算法非常有限,而直接用EVM实现需要大量计算的加密算法又会导致gas非常高,甚至超过一个区块支持的最大gas。这使得简单容易实现的多签桥成为了性价比最高的选择。

类似Wormhole的多签桥可能是目前的最优解,但并不说明这个会是一个最合适的长期方案。

波卡的共享安全设计从共识层面就解决了处理跨链消息最难的问题之一:回滚攻击。如果要回滚一条平行链,就要回滚波卡主链,那么同时也会回滚所有其他平行链,如果大家都一起回滚,就不会有数据不一致的问题。

W3F还为波卡设计和实现了XCM跨链消息通用格式,为更复杂的跨链交互打下了基础,包括跨链合约调用,超过两条链的跨链消息等等,为跨链技术提供了一个扎实的基础。

BTC又一次跌破9000美元大关:根据火币全球专业站数据显示,在USDT交易区,BTC价格再度跌破9000美元大关,暂时报价为8947.47美元,跌幅达到2.4%,而其他主流加密货币也纷纷出现下跌现象,如BCH(-3.71%)、EHT(-0.87%)、EOS(-1.05%)。[2018/3/13]

Acala团队是最早参与到XCM版本的设计和测试之中的,第一个实现了测试中的跨链转账,Karura也是第一个在Kusama中实现跨链功能的网络。

目前在Karura上已经出了可以通过XCM和Kusama,Statemine,Bifrost等链进行安全的跨链转账,也通过XCM实现了完全去中心化的跨链质押衍生品产品LKSM,让用户可以在享受Kusama质押收益的同时可以通过LKSM参与Karura上面的各种不同DeFi协议。

随着跨链技术的成熟和完善,我们将会在波卡生态中看到更多不同类型的跨链应用,真正的实现Web3中区块链互联网的愿景。

Moonbeam中文社区经理Yuki:

区块链间的信息孤岛逐渐减弱,开发者正快速意识到跨链桥在多链世界中的机遇。使用者对跨区块链使用资产的需求越来越大,跨链桥作为跨不同生态并承载资产流动的“外交官“,是保障使用者在安全、低成本的前提下获得和使用跨链资产的关键因素。

在Moonbeam生态中,我们很高兴看到许多为安全和互操作性努力的跨链桥开发者,比如Nomad、Axelar、Cbridge、Multi-chain、Connext等团队,期待未来能出现更多解决使用者实际需求的跨链桥项目,提升不同链间的互操作性和安全性能。

Astar中国区负责人宋明时:

Wormhole跨链被盗事件的起因是黑客通过监护人签名在Solana上铸造wETH并解锁盗走以太坊上ETH资产,再次敲响了跨链安全性的警钟。

目前最常见的跨链解决方案仍然是通过公证人机制实现的异构跨链桥,通过在链A上锁定资产并在链B上1:1映射发行新资产实现,主流跨链桥包括Multichain、cBridge等等都是利用公证人方案。

继蔡凯龙之后,又一券商大佬加盟火币:此前曾有消息称袁煜明将就职于火币集团,就此事金色财经向火币官方进行确认,火币官方表示:“袁煜明已经正式加盟火币中国,担任火币区块链应用研究院院长,负责区块链行业研究与规范制度。”据了解,袁煜明曾囊括业内几乎所有重量级大奖,包括新财富、水晶球、保险行业最佳分析师,第一财经,汤森路透,天眼等。[2018/3/3]

但公证人方案在工程实现有很多有较高风险的步骤,包括充币合约权限漏洞、多签验证漏洞、公证人信任问题等等。从Wormhole被盗事件中,我们看见的并不是“跨链是伪需求”,而是日益增长的跨链需求和异构跨链桥安全风险之间的矛盾。

异构跨链桥的安全风险本质上是来源于链A链B的安全性不同状态不一致,相比之下,Polkadot的XCMP跨链机制完全消除了这样的问题。

Polkadot平行链间的安全性是共享的,平行链间的消息和资产转移信息会由平行链收集人打包到输入输出队列,再由中继链验证人验证,整个过程由同一组验证人同时保证跨链消息的正确和链的安全,无需信任第三方验证人,也不涉及安全性差异。从这样的角度来看,Polkadot的跨链机制能够很好解决多链背景下互操作性和跨链安全性的困局。

挫折无法阻止历史的车轮

尽管,已经有多起跨链项目被盗事件,并且金额巨大,又因为涉及多条链和应用,影响甚广,但是如果从科技进步和商业发展的角度来看,历史上还没有因为黑客问题而阻碍发展的前进的。

黑客事件是由于设计机制或者代码层面有漏洞,被黑客加以利用从而造成财产损失。它是一种人为的事故,不是因为遇到技术瓶颈突破不了的困境,因此有非常多的方式来消化和处理这类问题。主要是事前预防、事后补救和新的解决方案。

1、事前预防

代码审计已经是当前项目方正式推出项目前所必须要经过的一个步骤,可以发现并解决大部分低级错误和避免出现以前出现过的漏洞,以大幅提高项目的安全性。

但是,代码审计主要还是出于防守和比较靠经验值,面对一些新兴的技术解决方案,往往作为进攻方的黑客能够在已经被审核过的代码中找到一些新的漏洞,但是技术的成熟往往是通过不断地打磨和迭代的,当越来越多的漏洞问题被发现并解决,一项技术足够成熟了,那么出现黑客事件的概率就会降低许多。

当然,这其中还有一个最重要的前提是,这个市场是真实有效的,不会因为黑客事件而被打击到消亡,那么只要需求还在,就依然会有应用朝着这个方向去发展,在前人的基础之上做到更好更安全。如此,才能让这个技术更加成熟。

2、事后补救

①直接有效,用钱解决

事后补救,虽然略有一点马后炮的感觉,但是如果换个角度来讲,又可以看作是亡羊补牢为时不晚。

支付宝在刚开始做的时候,由于技术比较新有非常多的漏洞,所以时常发生被盗事件,而当时的支付宝就是采用的金钱大法,让大家放心使用,有损失他们全赔,相当于用钱来保障这个技术能安稳的度过新手期走向成熟,如今的支付宝已经构建出一个庞大的安全堡垒,固若金汤。

同理,面对Crypto领域里发生的被盗事件,如果本身的业务没有问题,并且市场很大,发生了因为漏洞而导致的损失,那么如果赔付了这些损失并修复了漏洞,自然还是可以继续运营的。

而此次跨链协议Wormhole发生3.2亿美元的黑客攻击事件便是用的同样的方法解决的。就在攻击发生后,JumpCrypto——JumpTrading旗下加密投资部门,及时介入,自掏腰包地补充了120,000ETH,短短一天后,Wormhole桥便重新上线。

②用技术方式来解决

项目方可以将区块链回滚的方式,回到被攻击前,从而避免黑客得逞。比如基于Monero的隐私稳定币协议HavenProtocol就通过回滚的方式解决被黑客攻击的影响,并修复铸币漏洞。

又比如最经典的以太坊“TheDAO”黑客攻击事件,最终通过将当时的以太坊硬分叉,回滚交易,就将被盗的资产给召回了,不过以太坊也因此分拆成为两个不同的项目以太坊经典和如今大家熟知的以太坊。

③通过治理的方式

当下,各个公链都在朝着去中心化治理的方式来管理该链未来的发展和处理相关事务。比如EOS就曾经成立了一个ECAF组织,处理过被盗的资金。

所以,链上治理会是一个非常值得挖掘的方向,甚至会成为未来区块链领域的重要组成部分。如何通过去中心化的方式去仲裁一些行为,并对一些不好的行为进行积极干预,从而保障生态的健康发展,这将会是一个不小的难题,但是一旦有成功的可行方案,将会很快地扩散到各个区块链中,为各条链的发展保驾护航。

④发动社区的力量

黑客攻击造成的被盗对所有Crypto从业者都是有伤害的,所以往往遇到这些事情后,会有非常多从业者积极参与其中发动各方力量来解决被盗带来的影响。

比如一些加密资产是通过中心化机构背书而发行的,比如USDT,那么便可以通过联系这些机构对被盗的资金进行冻结。又或者利用一些圈外的治理力量,比如警察等行政力量,对黑客施压甚至追踪到黑客,从而逼迫黑客退回资金,或者抓住黑客等等。

DeFi史上最大被盗案PolyNetwork能顺利解决,社区的力量功不可没。

4、小结

还是那句话,只要市场依旧存在,就挡不住历史车轮的前进。黑客问题不只是区块链领域的问题,只要有新的技术,它便会如影随形,但是也正因为有这些事件的发生,才会让我们更加积极地去迭代技术,相信最终区块链世界也一定会发展成为固若金汤的成熟技术。

后记

正好前几天Gavin提到XCM的新升级,我们需要密切关注其发展。

上周波卡创始人GavinWood在推特上分享了波卡的最新技术进展,他表示,XCMv3版本桥的基础设施几乎准备就绪,这意味着在波卡上的平行链能将XCM发送给彼此,也可以发送到Kusama上的平行链。

我们知道XCM作为波卡跨链协议的重要构成部分,其技术开发难度也不容小觑,XCM是Cross-ConsensusMessageFormat的简称,也就是跨共识消息格式,简单来说,XCM的定义就像一种广义的语言一样,只要语言基本定义相同,任何人都可以实现在该模块下的跨链,不管是信息还是资产,都可以无缝衔接。

因此,波卡的跨链或许将会给跨链发展带来新的故事,毕竟现阶段的跨链确实存在一些不容忽视的安全问题,但我们有理由相信随着XCM的完善,跨链流程也会迎来转变,这才是我们在区块链技术发展上需要关注和期待的东西,而不仅仅局限于Crypto市场本身,毕竟价值与价格之间往往需要时间来平衡。

当然,像Wormhole这样的事件或许还会发生,除了技术上的进步与发展,还需要整个区块链行业的参与者共同加入到安全防护的阵营中,毕竟天下没有密不透风的墙,只有共同努力把这堵安全之墙搭建好,才能保证行业参与者的资产安全,也才能促使行业发展的更好。

*Polkadot生态研究院所提供的信息不代表任何投资暗示,所发布文章仅代表个人观点,仅供参考学习,鉴于国内尚未出台数字资产相关政策及法规,请用户谨慎关注Crypto的发展。

欢迎大家加入我们Polkadot生态研究院的电报群:

https://t.me/polkadot_eri

欢迎大家访问波卡生态研究院的Mirror地址:

https://mirror.xyz/0x9A259b3a2316281Cc948cE2Cf1Ac610a79844f05

标签:WORORMOLEWORMtopnetwork币最新消息Brother Music PlatformblackholecoinWORMS价格

比特币交易热门资讯
HashCash首席执行官表示,加密货币市场正在中东扩张

在中东地区,尤其是阿联酋长国(UAE),正在见证着一场范式转变,因为该地区的利益正在从石油转向加密和元宇宙,以及其他区块链创新。阿联酋的目标是成为区块链的首都,它正在通过建立一个法律框架来帮助基于加密货币和区块链的公司运营.

1900/1/1 0:00:00
Gate.io HODL & Earn: Lock FLY To Earn 100% APR(Phase 1)

TheLockFLY&Earn#1(term14days)willlaunchat8:00UTConFeb23atGate.io's“HODL&Earn”section.

1900/1/1 0:00:00
2022年必备的加密行业术语大全,你的了解有多少?

原文来源:崛起社区灞灞 2021年出现了一些新的技术流行语,以反映不断变化的技术场景。以下是今年出现的一些词及其含义。Facebook将其母公司更名为Meta,在虚拟世界中展示其雄心之后,这个词一直在每个人的嘴里.

1900/1/1 0:00:00
Chainlink VRF v2正式上线,五方面详解新版本优势所在

过去一年中,Chainlink可验证随机函数成为了行业标准的随机数生成器解决方案,为智能合约以及链下系统提供随机数,并保障其加密安全性、透明性以及可验证的公平性.

1900/1/1 0:00:00
幣安寶上線「AXS早春限定」高收益活動,活期年化高達10%

親愛的用戶:“幣安寶”活期現已上線「AXS早春專屬」高收益活動,年化利率高達10%。AXS的活期收益調整如下:原利率新階梯利率幣種APY階梯1階梯2階梯3AXS3%0-5AXS5AXS<持倉≤20AXS>20AXS10%1.

1900/1/1 0:00:00
Gate.io Stobox Token (STBU) Trading Competition, Win a Share of $21,300 Mega Reward

Gate.ioiscurrentlyholdingaSTBUtradingcompetition.Wehaveapoolof1,562,000STBU($21.

1900/1/1 0:00:00