转载请微信联系:huangdiezi,更多DAO、Web3、NFT、Metaverse资讯请关注老雅痞👇
原文来源:the verge
什么是跨链桥,为什么它们不断被黑客攻击,我们能阻止它的发生吗?
3月23日,流行的NFT游戏Axie Infinity的基础Ronin区块链网络遭到黑客攻击,攻击者带走了令人瞠目结舌的6.25亿美元加密货币。
Ronin黑客攻击是有史以来从被称为 "跨链桥"的服务类型中窃取的最大金额,该服务将一个区块链连接到另一个区块链,从而使代币价值可以在它们之间流转。不幸的是,这远不是唯一的黑客攻击桥梁:不到两个月前,另一个名为Wormhole的跨链圈平台被攻击,被盗价值接近3.25亿美元,在那之前大约六个月,超过6亿美元从另一个名为Poly的跨链桥被盗。(黑客后来归还了Poly被盗的资金)。
简而言之,跨链桥是很多加密货币系统的薄弱环节,黑客针对它们在一年的时间里盗取了超过10亿美元。因此,值得阐述一下它们到底是什么,为什么它们很重要。
什么是 "跨链桥"?
从本质上讲,它是一个连接不同区块链的系统,允许用户用一种代币交换另一种代币。每种加密货币都在自己的区块链上运行:有比特币、以太坊,以及像Tether、Ripple、Solana等较新的货币。这些不同的区块链没有简单的互动方式--它们可能都使用 "地址 "的概念来发送和接收货币交易,但你不能直接向Solana地址发送ETH。
跨链桥就是开发者为使这种交叉变得更顺利而建立的。如果你持有ETH,而你需要Solana的SOL来注册一个游戏,你可以把你的ETH发送到桥上,得到SOL,并在你结束后用同样的方法转换回来。
为什么跨链桥特别容易受到黑客攻击?
简短的答案是:他们正在处理大量复杂的请求,并持有大量的货币 - 与区块链本身不同,他们对保持安全环境并没有相关标准。
把跨链桥想象成两个岛屿之间的实际桥梁。每个岛对你可以驾驶的汽车类型有不同的规定(也许有一个电动车岛和一个普通汽油岛),所以他们不会让你把你的车从一边直接开到另一边。事实上,你把车开到桥的一边,把你的车留在停车库里,走过去,在另一边拿起租来的汽车。然后,当你在另一个岛上开车时,你把租来的车带回桥上,走过去,他们就会把车钥匙交给你。
这意味着每一辆在岛上行驶的租来的车,都有另一辆车停在车库里。有的停了几个小时,有的停了几天,有的停了几个月,而运营大桥的公司必须保证它们的安全。与此同时,盗窃者人清楚地知道车库里有多少辆汽车,并且正在寻找方法来偷窃它们。
从功能上讲,这意味着跨链桥在接收一种加密货币的传入交易,将其锁定为存款,并在另一个区块链上释放同等数量的加密货币。当桥梁被黑客攻击时,攻击者能够从跨链桥的一侧提取资金,而不向另一侧投入任何货币。
跨链桥是特别诱人的目标,因为复杂的代码创造了很多机会。正如CertiK创始人解释的那样。"如果你试图在N种不同的加密货币之间建立一座桥梁,其复杂性是N的平方"--这意味着有更多Bug会出现。
重要的是,这些不同的加密货币不仅仅是不同的货币单位:它们是用不同的编程语言编写的,并部署在不同的虚拟环境中。弄清楚这些东西应该如何互动是非常困难的,特别是对于在多个不同币种之间转换的链上桥接器。
跨链桥使加密货币的整体安全性降低了吗?
可能不是,攻击者现在的目标是桥接,因为它们是系统中最薄弱的地方。Chainalysis(一家对DeFi盗窃案进行研究的公司)的研究主任Kim Grauer告诉The Verge,黑客正在从针对Coincheck、BitMart或Mt Gox等交易所转向跨链桥。
"如果你看一下我们的生态系统,就在几年前,中心化交易所是黑客攻击的主要目标。她说:"每一次黑客攻击都是'交易所再次瘫痪',行业努力工作,制定解决方案,使我们能够克服这些黑客攻击问题。"我们看到很多DeFi黑客攻击,但我认为它的速度实际上正在放缓。
区块链的全部意义不就是为了防止这种攻击吗?
问题是许多桥梁根本就不在区块链上。Ronin桥被设置为 "链下 "工作,作为一个系统运行,与区块链对接,但并不在区块链的服务器上运行。这些系统是快速、灵活和相对轻量级的,同时减少了一些 "N平方 "的复杂性挑战--但可以受到影响互联网上任何地方的网络服务的同样类型的黑客攻击。(这不是真正的区块链,这些是'Web2'服务器。)
Ronin桥依赖九个验证器节点,这些节点通过代码黑客和社会工程的组合被破坏。
还有其他桥接系统,以智能合约的形式运作--基本上是 "链上 "的替代方案。攻击者通过社会工程颠覆链上系统的代码的可能性较小,而且获得网络的多数权力的可能性极小。缺点是,智能合约本身是高度复杂的,如果确实存在错误,可能很难及时更新系统。(虫洞使用的是链上系统,在黑客发现了上传到GitHub但尚未部署到实时智能合约的安全更新后,发生了重大盗窃事件。)
我们如何阻止跨链桥被黑?
这很难实现, "代码审计"是被攻击的主要因素。在上述类型的案例中,项目的开发团队可能在不同的编程语言和计算环境中工作,引入外部专家可以覆盖内部人才无法注意到的盲点。但现在行业内大量项目并没有任何审计师。
专业安全审计公司Trail of Bits的业务总监Nick Selby说,这部分是由于市场涌现的速度太快。大多数公司都面临着巨大的压力,需要增长、扩大规模和建立新的功能以抵御竞争对手--这有时会以牺牲安全工作为代价。