作者:隔夜的粥
昨晚,AxieInfinity專屬側鏈Ronin被曝被盜價值6.24億美元的加密資產,這也是迄今損失最為慘重的跨鏈橋安全事故。
令人尷尬的是,這次黑客事件還是在6天前發生的。
那Ronin究竟是如何被盜的呢?作為一條以太坊側鏈,Ronin的跨鏈橋采用的是MPC門限簽名技術,其設置的9個驗證者密鑰中,需要有5個或5個以上的驗證者密鑰批準才能進行存款和取款交易。
而其中有4個密鑰是由同一個人負責管理的,這意味著,只要攻擊者控制了SkyMavis的密鑰,然后再控制另一個驗證者密鑰,那么整個Ronin網絡的資金就被黑客掌控了。
而目前多數跨鏈橋項目,均采用了這樣的多重簽名技術,因此,理論上,這些項目也都可能會遭受類似的攻擊。
美聯儲布拉德:支持美聯儲本周加息25個基點:金色財經報道,美聯儲布拉德表示,他支持美聯儲本周加息25個基點;這是FOMC一個不錯的“下一步行動”;美聯儲已經在過去一年采取大量行動,但美國經濟仍然存在相當程度的通脹;他的基本假設是,美國經濟增速將放緩,而不是爆發衰退,但仍然存在衰退風險;勞動力市場非常緊俏,需要時間來降溫。[2023/5/6 14:45:47]
已經出現過的跨鏈攻擊方式
而私鑰攻擊,僅僅是攻擊跨鏈橋手段的其中一種方式。
例如此前的PolyNetwork黑客事件,黑客并不是通過盜取私鑰來完成攻擊,而是通過合約權限漏洞?實施了攻擊。
再比如前段時間出事的Wormhole跨鏈橋,攻擊者也是利用了跨鏈橋的合約漏洞,欺騙了多重簽名人的簽名,鑄造出了12萬WormholeETH,最終將鎖定的8萬ETH轉移到了攻擊者自己的錢包。
以太坊再質押協議EigenLayer宣布即將推出第一階段主網:金色財經報道,以太坊再質押協議EigenLayer宣布即將推出Stage 1主網。EigenLayer希望通過引入其再質押產品對行業產生積極影響,這為選擇加入的ETH質押者提供額外的質押機會,并通過降低AVS(積極驗證服務)的資本成本來幫助刺激創新。有興趣參與早期再質押體驗的用戶可以填寫申請表。
據此前報道,4月初,EigenLayer在以太坊Goerli網絡上發布其協議第一階段測試網,目前僅支持流動性再質押(liquid restaking)和原生再質押(native restaking)。其中流動性再質押支持在EigenLayer合約上重新質押各種流動性代幣。據悉,EigenLayer的發布將分三個階段進行,分別為質押者、節點運營者和服務。EigenLayer表示,該測試網是早期的非激勵性測試網,代碼正在積極開發中。[2023/5/2 14:38:06]
除此之外,歷史上還出現過假幣充值、偽造網站等跨鏈攻擊方式,基本上都是圍繞私鑰與合約漏洞展開的。
加密貨幣總市值為1.13萬億美元,24小時跌幅達2.4%:金色財經報道,據CoinGecko數據顯示,當前加密貨幣總市值為1.13萬億美元,24小時跌幅達2.4%,24小時交易量為853.07億美元,當前比特幣市值占比為40.5%,以太坊市值占比為17.2%。[2023/2/23 12:23:38]
LayerZero的安全隱患
下面,我們來談談最近比較火的跨鏈項目LayerZero,以及基于該協議的第一個跨鏈應用stargate。
截至發稿時,stargate的池子里已經有了價值33.8億美元的穩定幣。
然而,該跨鏈項目的安全隱患問題同樣令人擔心。
例如,上周Optimism團隊向其發出警告,稱有人開始嘗試對Stargate進行不尋常的攻擊,隨后stargate團隊向samczsun等白帽黑客發起求助,后來修復了這個嚴重漏洞。而Stargate的問題不止于此,前幾日,Stargate被曝其核心合約都是由一個EOA地址私鑰控制的,這意味著如果這個私鑰遭到泄露,或者項目方想要作惡,那后果將不堪設想。
幣安新增開放BTC/RON、AGIX/USDT和APT/ETH交易對交易:據官方公告,幣安將于2023年2月17日8:00(UTC)開放BTC/RON、AGIX/USDT和APT/ETH交易對的交易。請注意:RON是法定貨幣,不代表任何其他數字貨幣。[2023/2/16 12:10:39]
目前,盡管Stargate已經改成了2/3多重簽名機制?,但其依然有可能會遭遇類似RoninNetwork這樣的管理密鑰攻擊風險。
那跨鏈橋的安全問題那么多,真的就沒有希望了嗎?
信任最小化的跨鏈橋
并非那么絕對,只是說我們仍處于跨鏈的早期階段,而通過采用trustless的方式,我們可以降低一些潛在的攻擊面,以此提升系統的安全性。
牙買加央行與政府合作以提高CBDC的采用率:10月16日消息,牙買加銀行金融市場基礎設施部門處長Novelette Panton表示,創建CBDC的動機之一是讓更多人進入金融體系,這構成了該國數字化轉型的一部分。我們想要一種能夠進一步數字化生態系統的支付方式,因此我們引入了JamDex。央行的下一個戰略將以政府向社會保護計劃付款為目標,以實現更大的金融包容性,并采用CBDC。(jamaicaobserver)[2022/10/17 17:28:14]
1、依靠欺詐證明的Nomad
例如,Nomad采用的是一種樂觀機制來提高跨鏈通信的安全性,其避免使用新的密碼學,并依靠欺詐證明和發布證明?來防止通道失敗。
該協議的設計核心是revocation而不是permission,這意味著密鑰管理者只能撤銷訪問,而不能允許訪問,換句話說,即便攻擊者控制了系統所有的管理密鑰,他也無法竊取資金,而他能夠做的最糟糕的事就是DoS攻擊整個網絡。
注:Nomad依然有可能會存在合約漏洞風險。
2、采用輕客戶端的IBC、Near彩虹橋等
多年來,采用輕客戶端&中繼的跨鏈通信協議被證明是當前最安全的跨鏈方式,例如Cosmos生態的IBC通信協議,其安全性就來自Tendermint共識的最終性,其設計沒有引入需要信任的第三方,握手首先在想要連接的兩個鏈之間啟動,然后確認。為了確認交易,一條鏈的有效性規則直接編碼到另一條鏈上的IBC輕客戶端中,并根據這些規則執行狀態驗證。
然后,輕客戶端可以根據交易對手鏈的最新一致狀態驗證與交易相關聯的區塊頭的Merkle證明,從而驗證ibc交易另一端鏈的狀態。
這種狀態驗證技術,以及來回傳遞數據包的中繼器運營商的實時網絡,確保IBC保持高度安全且無需許可。
然而,采用輕客戶端的方式,意味著IBC目前只能局限于其生態之內,而無法有效擴展到以太坊等EVM生態。
除此之外,通過IBC進行跨鏈,也并非是絕對安全的,正如Vitalik在2個月前撰寫的一篇帖子?里提到,當跨鏈協議連接的區塊鏈越多,問題就會變得越遭,如果有100條區塊鏈通過IBC互相連接,那么這些鏈之間就會有許多相互依賴的dapp,而51%攻擊其中一條鏈,也會造成系統性傳染,從而威脅整個生態系統的經濟。
再來回顧一下文章開頭的那句話:跨鏈互操作性的安全性,取決于其最薄弱的鏈接。這實際上也意味著,Cosmos生態在不解決共享安全的情況下,就很難實現更多長尾鏈的擴展,而這也是Cosmos在今年的重點。
當然,Vitalik也提到了,這些問題不會立即出現,51%攻擊任何一條PoS鏈,代價都是很大的,但他的提醒,確實是值得我們關注的。
3、信任最小化的rollup跨鏈橋
再來簡單談談目前以太坊生態最依賴的rollup跨鏈橋,相比側鏈跨鏈橋,當前的rollup跨鏈橋可能看上去并沒有什么本質上的不同,兩者都會依賴n-of-m聯邦信任模型,但rollup跨鏈橋可以隨著發展去掉這個信任模型,而最終的風險點在于智能合約本身,而側鏈的跨鏈橋,當前只能依賴這個聯邦信任模型,同時還會面臨智能合約風險以及51%攻擊風險。
一些簡單的建議
跨鏈的水太深了,幾乎每種方案都會面臨多種潛在的攻擊方式,而系統設計的越是復雜,遭遇攻擊的可能性也就越大,因此,筆者并不建議通過現有的跨鏈橋在各個公鏈之間轉移過多的資產。如果實在有需求,那我會建議采取以下幾種方式,以降低遭遇攻擊的風險;
通過較安全的中心化交易所,兌換對應鏈的原生資產,然后將其提取到相應鏈,以避免可能的智能合約風險。采用信任最小化的跨鏈橋,例如IBC、Nomad以及成熟的rollup跨鏈橋。暫時不看TVL指標,這個值越高,跨鏈橋被黑客攻擊的可能性也就越大。采用長期存在,并且從未出過安全事故的跨鏈橋,同時盡量避免使用不同生態之間的跨鏈橋。最后,衷心希望跨鏈橋能夠越來越安全。
翻譯:蔣海波 4月7日,CryptoInsiders創始人ZoranKole一篇《未來屬于NEAR》的文章引起了加密社區的討論,他寫到,在4月20日.
1900/1/1 0:00:00北京時間2022年4月17日,CertiK審計團隊監測到Beanstalk協議被惡意利用,導致24,830ETH和36,398,226BEAN遭受損失.
1900/1/1 0:00:00記者|司林威 4月1日,NFT社區出現了一起黑客攻擊事件。華語歌手周杰倫在社交媒體上發文稱,其持有的無聊猿“BAYC#3738”NFT已被盜.
1900/1/1 0:00:00點擊上方“藍色字”可關注我們!暴走時評:“我認為現在是我們朝著這個方向前進的時候了,”這位民主黨參議員在周四晚上播出的采訪中告訴NBC的ChuckTodd.
1900/1/1 0:00:00L2Beat的數據顯示,zkSync網絡鎖倉的加密資產總額已超過1.4億美元,7日內增幅為38%.
1900/1/1 0:00:00最近的市場很不樂觀。我覺得與其研究這些被詛咒的代幣為什么會經歷價格煉獄,不如觀察加密貨幣的一些更有前途的作用。在加密貨幣的各個領域,已經發生了許多偉大的事情,盡管存在一些胡言亂語和拋售.
1900/1/1 0:00:00