宇宙链 宇宙链
Ctrl+D收藏宇宙链

5次跨链桥漏洞攻击总损失已超13亿美元 谁来为这天价损失买单?

作者:

时间:1900/1/1 0:00:00

2022年自年初至今,仅5次的跨链桥攻击就导致了13.17亿美元的损失——这个数字是2022年Web3.0行业因黑客、欺诈、漏洞等事件造成总资产损失金额的57%。

之所以跨链桥攻击的损失如此巨大,是因其本身的固有安全漏洞及整个领域缺乏防御攻击专业意识和相关理论知识。

规模位于前三的跨链桥攻击事件分别为:RoninNetwork,造成6.24亿美元的损失;Solana跨链桥项目虫洞,造成3.26亿美元的损失;Nomad,造成1.9亿美元的损失。

本文将通过分析今年发生的这5起尤其是具有代表性的NomadBridge攻击事件,与大家探讨跨链桥的安全问题及解决方式。

跨链桥安全

在分析这几起攻击事件前,我们需要明确一下跨链桥存在的固有安全问题。

V神VitalikButerin曾在Reddit上写道,因为51%攻击的影响,他对跨链应用持悲观态度。然而除此之外,还有更多需要考虑的其他问题。

TRC20-USDT发行量突破431亿枚,创历史新高:据官方消息,TRC20-USDT发行量突破431亿枚,创历史新高。TRC20-USDT持有账户数已超过2158万。

TRC20-USDT是Tether公司基于波场TRON网络发行的锚定美元的稳定币,转账速度快、低手续费的特点已经吸引了大批用户,且已经有Binance、Huobi、OKX、Bitfinex、MEXC、KuCoin、Gate、Poloniex等多家交易所的支持。基于TRC20版本的USDT将大幅提升波场TRON现有的去中心化应用生态系统,带来更高的整体价值存储和更强的去中心化交易所流动性,并为企业级合作伙伴与机构投资者提供更便捷的区块链入口。[2023/3/22 13:18:51]

在2022年7月22日发布的一个推特视频中,Nomad的创始人JamesPrestwich解释了为何行业普遍在跨链应用建立安全模型方面缺乏专业知识,以及为何获取这些标准的专业知识需要花费一年的时间。

对于个人用户来说,很难将资产从一个区块链转移到另一个区块链,因此必须通过跨链桥来实现这一操作。跨链桥协议的原理是:用户在A链将代币存入,随后在B链上收到债务代币。一旦B链的债务代币被销毁,则A链存储的代币就会被释放。

为了实现这一功能,跨链桥需要实现这几个功能:保管用户存入的代币,向用户释放债务代币,以及在不同链之间发送消息的预言机。这使得跨链桥在安全方面更加脆弱——黑客可以下手的地方实在太多了。

Bain Capital Ventures通过两只基金筹集19亿美元:金色财经报道,Bain Capital Ventures已通过两只基金筹集了 19 亿美元,一只用于种子期到成长阶段的初创公司,规模约为 14 亿美元,另一只基金投资后期阶段公司,已完成4.93亿美元募资。此外,Bain Capital Crypto 于 2022 年 3 月完成了一个 5 亿美元的基金,该公司本月早些时候宣布了一个 24 亿美元的 Tech Opportunities 基金。

据悉,BCV 投资了多个 Web3 项目,该公司目前管理的总资金为 120 亿美元。[2023/2/28 12:34:49]

条条大路通跨链桥,对黑客来说,又怎么能轻易拒绝这种快速暴富的攻击渠道?攻击造成的后果并不只是存款损失,一旦跨链桥产生漏洞或遭到攻击,整个跨链桥的代币将很可能失去所有价值。

RoninNetwork

RoninNetwork漏洞是有史以来最大的DeFi漏洞。

3月底,CertiK审计团队监测到NFT游戏AxieInfinity侧链RoninNetwork遭到攻击,损失价值约6.24亿美元的17.36万枚ETH以及2550万枚USDC。

RoninNetwork需要验证九个验证节点中的五个签名。而攻击者黑了4个SkyMavis的私钥,制造了5个合法的签名,即:4个SkyMavis验证器和1个AxieDAO运行的第三方验证器产生的签名。

WEMIX被4家韩国交易所下架,价格日内跌幅67.1%:11月24日消息,WEMIX已被韩国Bithumb、Upbit等多家交易所下架。此前,韩国数字资产交易所联合协会(DAXA)决定将WEMIX标记为警告项目,这导致了韩国交易所纷纷下架该代币。

WEMIX价格一度跌至0.42 USDT,现报0.51 USDT,日内跌幅67.1%。(coinness)[2022/11/24 8:05:18]

这导致5个验证器节点被破坏,高级鱼叉式网络钓鱼攻击是造成这一情况的罪魁祸首。

Solana跨链桥项目虫洞

北京时间2022年2月3日凌晨1点58分,CertiK审计团队监测到Solana跨链桥项目虫洞遭到攻击。

此次事件中,攻击者通过注入一个性的sysvar账户绕过了系统验证步骤,并成功生成了一条恶意“消息”,指定要铸造12万枚wETH。最后,攻击者通过使用恶意“消息”调用了“complete_wrapped”函数,成功铸造了12万枚wETH,价值约3.26亿美元。

报告:勒索软件攻击频率随着比特币价格下跌而下降:7月26日消息,据美国网络安全公司 SonicWall 的一份报告,2022 年上半年全球勒索软件攻击的数量呈下降趋势。SonicWall 的研究人员在 2022 年上半年记录了 2.361 亿次勒索软件尝试,同比下降 23%。研究人员表示,加密货币价格的暴跌使网络犯罪分子远离勒索软件。(theblock)[2022/7/26 2:39:04]

铸币两分钟后,攻击者将1万枚ETH桥接到以太坊链上,约20分钟后,以太坊链上又产生了8万枚ETH的交易。时至今日,这些资金仍在攻击者的钱包里。

该事件造成的损失金额之大,令其成为了跨链桥史上第二大黑客攻击事件。

Starling Bank完成1.65亿美元融资:金色财经消息,英国Starling Bank以25亿英镑估值完成1.305亿英镑融资(约合1.65亿美元),投资方包括Fidelity Management and Research Company、RPMI Railpen、Qatar Investment Authority、高盛和HaraldMcPike等。该银行将利用这笔资金进行更多收购,重点会放在贷款领域。Starling Bank由Anne Boden于2014年创立,该公司希望于2023年上市。(TheBlock)[2022/4/26 5:13:26]

Harmony?Bridge

北京时间2022年6月23日19:06:46,CertiK审计团队监测到Harmony链和以太坊之间的跨链桥经历了多次恶意攻击。

CertiK团队安全专家分析,此次攻击事件可能源于黑客掌握了owner的私钥——攻击者控制MultiSigWallet的所有者直接调用confirmTransaction从Harmony的跨链桥上转移大量代币,导致Harmony链上价值约9700万美元的资产被盗,该笔资金后被转移至TornadoCash。

这起攻击事件涉及到了12笔价值约5万美元到4120万美元以上的交易及3个攻击地址,涉及到的代币包括ETH、USDC、WBTC、USDT、DAI、BUSD、AAG、FXS、SUSHI、AAVE、WETH和FRAX。

Qubit?Bridge

发生于年初的Qubit攻击事件也是一个典型的跨链桥漏洞事件。

2022年1月27日,CertiK审计团队监测到Qubit遭到攻击,导致了约8000万美元的损失。

攻击者调用了QBridge合约,在没有提供任何加密货币的情况下使bridge合约产生了攻击者已存款的虚假时间证明。

ETH和ERC-20的存款共享相同的事件证明,因此允许攻击者调用该函数利用不存在的ERC20存款事实生成虚假的ETH存款事件证明,并以此在另一条链上提取ETH。因此,攻击者在没有向合约发送任何代币的情况下通过了QBridgeHandler证明,并在交叉链上铸造了大约77,162个qxETH。黑客随后将盗取的资金存入了TornadoCash。

NomadBridge

北京时间2022年8月2日,CertiK安全团队监测到NomadBridge遭受攻击,导致了价值约1.9亿美元的损失。

合约的问题在于在initialize()函数被调用的时候,“committedRoot”被设成了0x00地址。因此,攻击者可以通过消息的验证,将在桥合约中的代币转移。锁仓总价值由1.9亿美元骤降为1.2万美元——这实质上使得攻击者可以在A链上存入1ETH而在B链上收到100ETH。

这个漏洞的神奇之处在于,看起来好像没有任何一个直接攻击者。但至少有41个钱包参与了此次攻击,我们可以认为它是Web3.0世界第一个「群体作案」。也许正是因为这个原因,攻击者可以轻易地从桥上提取资金。

第一笔可疑交易发生在8月2日凌晨5:32,100wBTC被转移到0x56d8......我们可以观察到代币从这里开始持续疯狂转移。

这样的漏洞也在吸引着如RariCapital攻击者这样的以往Web3.0黑客。

另外有个有意思的地方是,还有个恶意者试图对这起事件的黑客进行网络钓鱼攻击,ta持有ENSnomadexploiter.eth的EOA向持黑客EOA发送了链上信息,在8月2日注册冒充Nomad与黑客进行谈判:

Nomad在推特上发布声明称这不是他们干的

写在最后

这些攻击事件的漏洞在持续警醒我们:跨链桥漏洞所能造成的破坏性极其巨大。

Web3.0世界目前急需更安全和更广泛的跨链应用。未来同类性质的漏洞可能会出现的越来越多、越来越频繁。

我们可以尽力而为的至少是确保项目代码经过了完备的测试和安全审计,这将大幅提高面对高破坏性黑客攻击的抵御能力。

来源:金色财经

标签:ETHUSDBRIBRIDGEhttps://etherscan.iousdt币怎么兑换人民币汇率brise币发行量Bridge Mutual

欧易交易所热门资讯
Bankless:这五类应用或将成为下一轮牛市的催化剂

你可能比较疑惑为什么熊市通常被称为致富的契机,因为这个阶段会有大量低价买入项目或代币的机会。困难在于如何选择合适的项目,但可以肯定的是机会是很明确的。 本文将概述加密市场正在兴起的技术和应用,他们可能是引领下一波牛市的源动力.

1900/1/1 0:00:00
拆解数据可用性层 模块化未来中被忽视的乐高积木

模块化区块链中,执行层和共识层已是红海市场,数据可用性层的价值仍然有待被发掘。原文标题:《IOSGWeeklyBrief|拆解数据可用性层:模块化未来中被忽视的乐高积木#136》?撰文:Jiawei,IOSGVentures tl;d.

1900/1/1 0:00:00
V神:分析当前4种不同类型ZK-EVM的优缺点及未来展望

最近有许多“ZK-EVM”项目高调发布公告,但并不是每一个项目的“等效性”都一样。这篇文章将尝试描述EVM等价性的不同“类型”的分类,以及尝试实现每种类型的好处和成本.

1900/1/1 0:00:00
8月9日比特币短线下跌无力 能否把握做多机会

BTC行情分析 ???昨天我们说多头上涨无量偏弱,若继续如此保持,随后出现了空头发力的信号,就可以做空,随后的市场直接快速上涨,完全没有给到做空的信号,就直接放弃了交易。随后重点关注价格24700附近.

1900/1/1 0:00:00
8.7多头上行受阻行情冲高回落 周线预计先下后上

币圈咨询 8月7日热点; 1.中非共和国总统:支持比特币在全国范围内使用2.马斯克要求与TwitterCEO进行公开辩论.

1900/1/1 0:00:00
三分钟读懂 InfiniGods:专注提升乐趣的 Web3 游戏工作室

InfiniGods志在创造有趣的游戏并将区块链技术结合其中,平台目前有4款游戏正在开发中。撰文:PaulVeradittakit,PanteraCapital合伙人 编译:Amber InfiniGods是一个Web3游戏工作室,通.

1900/1/1 0:00:00