织梦CMS - 轻松建站从此开始!

我的网站

当前位置: 主页 > 区块链

跨链桥安全事故频发,还能用吗?

时间:2022-03-30 18:31来源:未知 作者:admin 点击:
昨晚,Axie Infinity 专属侧链Ronin被曝被盗价值 6.24 亿美元的加密资产(包括173,600 ETH和 2550 万 USDC),这也是迄今损失最为惨重的跨链桥安全事故。 令人尴尬的是,这次黑客事件还是在

昨晚,Axie Infinity 专属侧链Ronin被曝被盗价值 6.24 亿美元的加密资产(包括173,600 ETH和 2550 万 USDC),这也是迄今损失最为惨重的跨链桥安全事故。


令人尴尬的是,这次黑客事件还是在 6 天前发生的。


那 Ronin究竟是如何被盗的呢?作为一条以太坊侧链,Ronin 的跨链桥采用的是 MPC 门限签名技术,其设置的 9 个验证者密钥中,需要有 5 个或 5 个以上的验证者密钥批准才能进行存款和取款交易。


而其中有 4 个密钥是由同一个人(即 Sky Mavis)负责管理的,这意味着,只要攻击者控制了 Sky Mavis 的密钥,然后再控制另一个验证者密钥,那么整个Ronin网络的资金就被黑客掌控了。


而目前多数跨链桥项目,均采用了这样的多重签名技术,因此,理论上,这些项目也都可能会遭受类似的攻击。


已经出现过的跨链攻击方式


而私钥攻击,仅仅是攻击跨链桥手段的其中一种方式。


例如此前的 Poly Network(O3 等项目)黑客事件,黑客并不是通过盗取私钥来完成攻击,而是通过合约权限漏洞‌实施了攻击。


再比如前段时间出事的 Wormhole 跨链桥,攻击者也是利用了跨链桥的合约漏洞,欺骗了多重签名人的签名,铸造出了 12 万 Wormhole ETH,最终将锁定的 8 万 ETH 转移到了攻击者自己的钱包(注:详细攻击手法可以看DeFi之道编译的《Solana跨链桥项目Wormhole遭遇黑客攻击,损失近3亿美元‌》)。


除此之外,历史上还出现过假币充值、伪造网站等跨链攻击方式,基本上都是围绕私钥与合约漏洞展开的。


LayerZero(stargate)的安全隐患


下面,我们来谈谈最近比较火的跨链项目LayerZero,以及基于该协议的第一个跨链应用stargate。


截至发稿时,stargate 的池子里已经有了价值 33.8 亿美元的稳定币。




然而,该跨链项目的安全隐患问题同样令人担心。


例如,上周 Optimism 团队向其发出警告,称有人开始尝试对 Stargate 进行不寻常的攻击,随后stargate团队向 samczsun 等白帽黑客发起求助,后来修复了这个严重漏洞。而 Stargate 的问题不止于此,前几日,Stargate 被曝其核心合约都是由一个 EOA 地址私钥控制的,这意味着如果这个私钥遭到泄露,或者项目方想要作恶,那后果将不堪设想。


目前,尽管Stargate已经改成了2/3多重签名机制‌,但其依然有可能会遭遇类似Ronin Network 这样的管理密钥攻击风险。


(注:本文并不是说 Stargate 采用的中继器和预言机跨链模型没有价值,而是指其底层采用的基础设施,依旧和其他的一些跨链桥项目是一样的) (责任编辑:admin)

织梦二维码生成器
顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
用户名: 验证码:点击我更换图片
栏目列表
推荐内容