7 年 2022 月 XNUMX 日,以太坊聯合創始人 Vitalik Buterin 警告 關於跨區塊鏈橋的安全性。 他有先見之明地辯稱,跨區塊鏈橋接資產永遠不會享受與留在一個區塊鏈中相同的保證。 他是對的。
無法保證區塊鏈之間資產的安全兌換。 準確地說,沒有人可以真正將資產“發送”或“橋接”到另一個區塊鏈。 相反,資產被存放、鎖定或燒毀在一條鏈上; 然後在第二條鏈上記入、解鎖或鑄造。
更糟糕的是,區塊鏈無法訪問鏈下信息。 沒有區塊鏈可以原生地驗證任何多區塊鏈資產是“橋接的”。 充其量,第三方預言機可以證明鏈下信息的真實性,並解釋該數據以供鏈上使用。 但是,這為橋接過程引入了第一層信任:對數據預言的信任。 下一層信任是託管人。
通常,通過將一項資產存入託管人並從第二個區塊鏈上的託管人那裡接收該資產的“打包”版本來進行橋接。 用戶必須信任託管人既可以保管原始資產,又可以釋放被包裝的資產。
有時,該託管人可以採用 DAO 或智能合約的形式。 在任何情況下——無論是 DAO 還是像 BitGo(世界 最大 包裹資產, 包裝的比特幣) — 橋接引入了幾層信任。
繼續,下一層信任是可兌換性和價格平價。 簡而言之,僅僅獲得過橋資產是不夠的。 用戶還必須繼續相信他們將能夠在未來以一對一的方式將該資產橋接回來。 一項原始資產必須等於一項已包裝資產。 這就是價格平價風險。
至少,橋接資產必須與原始資產保持對等。 因此,通過這種方式,用戶不僅在交換時刻信任橋接過程,而且只要他們將來使用打包的資產。
總之,資產的所有安全風險對於它們的橋接(包裝)對應物呈指數倍增。
擔心 Tether Limited 沒有以 1 美元兌換一個 USDT? 將相同的 USDT 橋接到 Tether Limited 不支持的區塊鏈,您的風險已乘以託管人、智能合約、流動性、價格平價,最重要的是,在您需要返回之前,橋是否不會燒毀安全。
在某種程度上,跨區塊鏈橋樑就像蟲洞:它們在空間中傳輸物質,但它們會自發形成和湮滅。
事實上,Wormhole 是世界上資本最雄厚的橋樑的名稱,連接了以太坊和 Solana 的區塊鏈。 它是 黑客攻擊 - 和許多橋樑一樣。 下面是一個列表。
19 年 2022 月 XNUMX 日的多鏈漏洞利用
攻擊者 偷了 今年年初利用 Multichain 跨區塊鏈橋獲得了 3 萬美元。 Multichain 發出初始消息,導致用戶 題 他們的資金是否安全。 它 警告 用戶從其平台上受影響的智能合約中提取代幣 WETH、MATIC、AVAX、PERI、OMT 和 WBNB。
多鏈以後 說過 一名攻擊者歸還了在攻擊中被盜的 259 ETH。 繫繩 凍結 與漏洞相關的地址上的 USDT。
27 年 2022 月 XNUMX 日的 Qubit 漏洞利用
量子比特金融 丟失 206,809 年 80 月 27 日利用 QBridge 獲得 2022 BNB(XNUMX 萬美元)。該項目在幣安鏈上構建了其協議。
該漏洞利用欺詐性地鑄造了 77,162 個 qXETH,攻擊者可以將其兌換為 BNB 代幣。 Qubit 提出與攻擊者談判以收回資金。
2 年 2022 月 XNUMX 日的蟲洞利用
攻擊者於 120,000 年 2 月 2022 日使用 Wormhole 橋在 Solana 的區塊鏈上欺詐性地鑄造了 XNUMX 個包裝的 ETH。他們創建了一個欺騙性簽名帳戶來驗證他們的交易。
Paradigm 研究人員對攻擊進行了逆向工程,並確定 Wormhole 未能為其監護人簽名實施更強大的驗證協議。
Meter.io 的 Meter Passport 漏洞利用於 5 年 2022 月 XNUMX 日
Meter.io 的 Meter Passport 橋接器 丟失 4.4 年 5 月 2022 日的一次利用 XNUMX 萬美元。該利用針對 Polkadot 的 Kusama 網絡上的 Moonriver 智能合約平台。 攻擊者竊取了 BNB 並包裝了 ETH,然後將 BNB 傾倒在去中心化交易所 UniSwap 上。
這一漏洞導致 BNB 價格暴跌,使其他人能夠獲得便宜的 BNB 並將其用作 Hundred Crisis 等平台上的貸款抵押品。 這些貸款導致受影響的貸款應用出現供應問題。
Ronin Bridge 漏洞利用於 29 年 2022 月 XNUMX 日
攻擊者 偷了 173,600 年 25.5 月 600 日,來自 Ronin 橋的 29 ETH 和 2022 萬美元(約 XNUMX 億美元)。該漏洞利用涉及訪問驗證節點的私鑰。 Ronin 橋的開發商停止了存款和取款,直到調查人員有機會確定發生了什麼。
開發人員構建了 Axie Infinity 遊戲以太坊的 Ronin 側鏈以節省費用。 不幸的是,他們在安全性上妥協了。
WonderHero 漏洞利用於 7 年 2022 月 XNUMX 日
奇蹟英雄 發現 7 年 2022 月 50 日,其橋接器被利用,當時其原生 WND 代幣的價值意外暴跌 300,000%。 它在攻擊中損失了 XNUMX 美元的 WND 代幣。
WonderHero 在調查期間暫停了其網站、遊戲、橋牌、存款和取款。 它重新啟動了遊戲、市場和收益系統。 從此,WonderHero 發布 分析確認其 Binance 橋已被破壞。
Harmony One 的 Horizon Bridge 漏洞利用於 23 年 2022 月 XNUMX 日
Harmony One 的 Horizon Bridge 在 100 年 23 月 2022 日的一次攻擊中損失了 XNUMX 億美元。它的團隊 說過 它正在與執法當局和法醫專家合作調查這一漏洞。 用於接收被盜資金的地址收到“地平線橋剝削者” Etherscan 上的標籤。 Horizon Bridge Exploiter 目前持有超過 93,000 美元的代幣。
閱讀更多: 隨著加密貨幣初創公司 Nomad 以 190 億美元被黑客入侵,跨區塊鏈橋樑不斷破裂
10 年 2022 月 XNUMX 日的 ChainSwap 漏洞利用
ChainSwap 在 20 年 10 月 2022 日的一次攻擊中損失了 XNUMX 萬個 WILD 代幣。Wilder World 使用 WILD 作為其原生代幣。 化名 Twitter 用戶和 Wilder World “公民” 注意到 10 年 2022 月 XNUMX 日的 ChainSwap 漏洞利用。該漏洞利用還影響了 Antimatter、Optionroom、Umbrellabank、Nord、Razor、Peri、Unido、Oro、Vortex、Blank 和 Unifarm 代幣。
ChainSwap 在調查期間凍結了其 Ethereum-Binance 智能鏈橋。
在此事件發生之前,ChainSwap 遭遇 另一個漏洞利用,它在 800,000 月 2 日損失了 XNUMX 美元的代幣。它設法彌補了那次攻擊中的部分損失。
Nomad 漏洞利用於 2 年 2022 月 XNUMX 日
攻擊者 偷了 190 年 2 月 2022 日,利用 Nomad 智能合約中的漏洞獲得了 XNUMX 億美元的代幣。一旦用於利用智能合約的方法公開,一場大規模攻擊就耗盡了相當多的資金。
Andressen Horowitz 的首席信息安全官 建議 一些掠奪者可能是“白帽”剝削者,旨在使錢不落入邪惡演員的手中。 游牧民族 說過 它正在與執法部門和私人保安公司合作調查和 感謝 白帽演員主動保護資金。
來源:https://protos.com/explained-why-hackers-keep-exploiting-cross-blockchain-bridges/