关于安全恰逢跨链桥黑客攻击事件爆发,和朋友多聊了两句,下面分享一些观点(专业的安全分析链接附在文章末尾,可自行前往观看,在此只讨论与跨链方案相关的安全问题): Chainswap 被黑与跨链方案选型强相关,Anyswap 被黑是更通用型的风险 Chainswap:用一句话来解释「黑客透过 Chainswap 调用了项目源生代币的 mint 功能,印钞 & 走人」,从选型来讲是跨链资产四类中的第二类(铸造 / 销毁); Anyswap:用一句话来解释「黑客发现了 Anyswap 的代码漏洞,从而拿到了公私钥对,盗走了资产」,更像是各类项目都会出现的漏洞。 将桥与相关项目解耦,将效率问题更多的留给可组合性,会更加安全 Chainswap 能够直接调用相关项目的函数是耦合的一种表现,若将其解耦,能一定程度上隔离一层风险:即跨链资产四类中第三(流动性互换)、四类(打包+铸造 / 销毁)会比第二类多一层安全隔离(即便桥被攻击,仍需要通过一次交易才能获得流通资产)。 现阶段的方案,效率与安全性较难同时实现,期待突破性创新 一方面,跨链资产四类模式中,第二类的效率较第三、四类更加高效(少一段兑换),但在 chainswap 类场景上风险更高;另一方面,Anyswap 如果能够使用足够多节点的公链共识,则能很大程度上避免类似这次被攻击的情况(MPC 不够去中心化的选型)。 但不得不承认,无论是第四类跨链资产模式,还是更加去中心化的共识,都是效率更低的方案。 (责任编辑:admin) |