图2 2022年第一季度以美元计算的以太坊日存款量 桥有多安全? 与大多数新技术一样,也有一些风险需要考虑。例如,存在这样的风险:用户的资金可能在存取款过程中被卡住,或者他们可能成为网络盗窃的受害者。当用户决定连接一个资产时,他们也应该意识到潜在的风险,这样他们就可以做出更多的风险驱动的决定。 盗窃风险是最常见的风险,可以导致桥合约失去部分或全部资金。以下是一些可能导致盗窃的问题: 智能合约中的漏洞。编程或逻辑错误会对桥安全造成严重影响,为攻击者创造机会,从桥合约中窃取被锁定的资金。 最新的例子是2022年2月的Wormhole攻击。该攻击者在智能合约代码中发现了一个漏洞,在未经桥批准的情况下伪造了120,000 个Solana ETH,并于2022年2月2日从以太坊撤回了80000个ETH。幸运的是,Jump Trading通过将120,000 个ETH存入以太坊的桥合约来弥补这一缺口。 图3 以美元为单位的Wormhole桥的每日存取款量。 托管人。如今,大多数桥应用都依赖于外部权威机构与桥进行交互并提取资金。他们是锁定资金的保管人——他们可以是受信任的一方(如AnySwap桥),也可以是由权益绑定的验证者池(如Polygon PoS桥和Ronin桥)。这样就存在保管人可能妥协或采取恶意行动的风险。 在2022年3月23日,Ronin攻击者破坏了Sky Mavis运行的所有四个验证节点。Sky Mavis是开发了Axie Infinity游戏、Ronin Network和Ronin bridge的公司。再加上第五个验证者(由Axie Dao运行),攻击者就控制了大多数验证者(9个验证者中有5个)。 随后,攻击者在没有经过任何验证的情况下,从以太坊的Ronin桥上提出了173600 ETH和2550万美元的USDC。 图4 Ronin桥每日美元存取款量 恶意的第1层矿工/验证者。如果超过50%的第1层的计算能力或质押被有恶意的矿工或验证者控制,他们可以攻击链上的桥,并窃取锁定的资金。例如,在资产被桥接到另一个网络后,他们可以恢复在以太坊上完成的存款交易,这允许攻击者从另一个网络提取资金,而不需要在以太坊上存款。或者,它们可以阻止桥合约从另一个网络获得更新,这可能会对锁定在桥上的用户资金造成重大损失。 这些情况不太可能发生,但并非不可能。在最糟糕的情况下,如果锁定在被利用的桥上的资产已经从另一个网络桥接过去,并在DeFi应用程序中使用,这可能会导致在多个区块链网络上的级联传染。 (责任编辑:admin) |