月亮链 月亮链
Ctrl+D收藏月亮链
首页 > 波场 > 正文

区块链:深度解析:为什么跨链桥又双叒出事了?_Mykonos Coin

作者:

时间:1900/1/1 0:00:00

北京时间8月2日早上,跨链解决方案Nomad于遭到黑客攻击,初步分析Nomad损失在1.9亿美元左右。而本次被盗的根本原因,在于Nomad官方升级智能合约时发生错误。

不仅如此,由于合约升级加上了时间锁,在黑客转移资产之时,Nomad没能及时反应,还被不少用户“趁火打劫”,撸走不少剩余资产。

跨链桥攻击事件对于从业者来说实在不算新鲜事了,2021年下半年至今超过10起,因为跨链桥承载大量资产的特殊属性,这些事件多数损失惨重,就在不久前的6月24日,由Harmony开发的资产跨链桥Horizon遭到攻击,损失同样高达1亿美元。而去年PolyNetwork遭到攻击,一度损失6.1亿美元,更成为了DeFi领域史上最大黑客事件。

为什么跨链相关协议如此容易遭到攻击?跨链桥到底该如何平衡效率与安全性?在安全形势愈发严峻的当下,项目方、用户等不同角色需要注意些什么?倘若真的发生了极端事故,又有哪些行之有效的弥补手段?

重庆:让区块链等数字技术与农业、工业、服务业深度融合:12月9日,重庆市政府印发《重庆市数字经济“十四五”发展规划(2021—2025年)》,《规划》提出5个方面建设内容及方案,包括推动新型基础设施建设,实现信息基础设施全面升级,让传统基础设施数字化、网络化和智能化水平大幅提升;推动数字产业化能力大幅提升,让“芯屏器核网”产业链条不断延伸、产业集群效应显著增强,新兴数字产业加快布局;推动产业数字化取得重大进展,让大数据、人工智能、区块链等数字技术与农业、工业、服务业深度融合;推动数字化治理效能达到更高水平,让数字政府、数字社会建设持续深化;推动数字经济开放水平显著提高,围绕中新(重庆)国际互联网数据专用通道建设,创新探索南向、北向、西向国际互联网数据专用通道建设,重大开放平台建设取得突破。(重庆日报)[2021/12/10 7:30:01]

此前,Odaily星球日报曾就“跨链桥的面临的挑战”这一话题采访过PeckShield、BlockSec等知名安全公司,我们来再次看看这些“警世恒言”。

CoinBene满币与蚂蚁社区达成深度合作:据官方消息,CoinBene满币与蚂蚁社区达成深度合作,特邀蚂蚁社区旗下两位金牌分析师白子老师、黑子老师,入驻成为满币合约跟单交易员。并进行直播分享讲解。直播主要分享各种分析理念,如波浪理论、裸k战法等的实战应用,深入浅出,将理论落实到实际,旨在提升投资者的技术分析水平。直播为期一个月,周一到周五,每天三堂课。7月27日19:00 蚂蚁社区首堂课《如何用K线验证趋势行情》用户可在一直播观看,据了解,白子老师,蚂蚁社区联合创始人;黑子老师,蚂蚁社区旗下基金技术总监。[2020/7/27]

Q1

Odaily星球日报:为什么跨链相关协议频繁被黑?是因为当前的技术方案尚不成熟?或是此类合约的潜在隐患难以侦测吗?

PeckShield:跨链协议是个新兴领域,它打破了链与链之间信息孤岛的壁垒,但仍需要经受时间的考验。ChainSwap协议遭遇攻击是因为合约本身存在漏洞,向AnySwap被攻击则是因为跨链的私钥管理出了问题,PolyNetwork被攻击也是因为合约漏洞。这给了所有跨链协议一个警示,需要提升对合约的查缺补漏和以及私钥管理授权安全的重视。

混沌池CHT与想象力基金达成深度合作协议:据官方消息,想象力基金是专注于投资区块链的生态基金。作为火币超级节点、OK专业投资人、ZB专业节点此次与混沌池达成深度合作协议。

区块链领域掌握算力才能掌握资本之源。从中心化到分布式是算力演化的必然趋势,在此背景下,去中心化算力池“混沌池”首创泛共识机制,形成分布式算力集成平台,力求做到动态合理配置挖矿币种,合理配资,实现收益最大化。[2020/7/10]

BlockSec:我觉得有多个原因。第一个是有利可图。由于跨链桥中往往存在大量的数字资产,因此成为攻击者眼中的香饽饽。第二个是跨链桥的整个流程比较复杂,涉及到多条链和多个合约之间的交互,而这些安全风险的监测需要通过对跨链桥做整体安全评估分析。对某一个模块的审计和分析并不能完整覆盖全链路的安全风险,需要一些新的安全思路和解决方案。

Q2

Odaily星球日报:在PolyNetwork一案中,社区质疑的一大焦点为其合约是否只有一名Keeper,尽管事后已经证明了该说法并不准确,但关于效率及中心化的平衡仍值得我们深思。在跨链相关服务中,是不是说跨链执行效力越高就会越中心化?中心化与不安全是划等号的吗?

ISS将于3月30日登陆ZG交易所 并携手猫王社区进行深度合作:据官方消息,ISS将于3月30日14:00上线ZG交易所,Iss(FMchain)旨在建立去中心化的全球结汇系统,引入网关系统解决全球转账汇款信任机制等问题。主网将于2020年第三季度上线。

ZG数字资产交易平台是由比特币中国战略投资,业务覆盖全球多个国家、区块链数字资产交易平台。ZG团队由多个国家及领域的人才构成。

猫王社区拥有社群数量上千个,覆盖行业用户达数百万,专注于区块链行业,同时也是一家走向国际化的区块链社区。ISS的社区发展将携手猫王社区,进行社群、生态、开发深度的合作共同提升项目与社区的内在价值。[2020/3/22]

PeckShield:跨链协议是基于区块链底层技术构建的,这就意味着它不仅会带有区块链技术的特性,也会携带技术本身的“不可能三角”,即不能同时兼顾“去中心化”、“安全性”、“交易处理性能”这三个特性。

BlockSec:原先孤链之间资产转移基本是通过中心化交易所来实现,跨链桥本就是通过侧链的应用来提升资产跨链的去中心化和执行效率,就技术而言是一种进步,也是业界为了摒弃绝对中心化而做的技术努力。

声音 | FCoin社区委员会:已与张健深度沟通,或将重启FCoin:据FCoin社委会成员透露,目前,在多方协调下,FCoin第三届社区委员会已与FCoin创始人张健针对 FCoin(含FMex,FCoinJP等)目前的问题进行了深度沟通,并与张健就交易所重启事宜达成了初步共识,已正在逐步推进和落实,若有进一步消息,社委会将第一时间以公告形式告知。(星球日报)[2020/2/19]

跨链执行效率和中心化并不存在因果逻辑关系,而跨链桥的中心化和不安全更没有直接关系了,中心化是否安全主要取决于中心化实体的安全性。从坏的方面来说,存在单点安全威胁问题,但是从好的方面来说,只要中心实体的安全保障做的高,那么安全性是可以得到保障的。

总体来说,还是取决于项目方的安全防御举措是否到位,尤其在安全公司参与审计时,需要判断审核,服务供应商是否存在超高权限及其进行RugPull的可能性,因为这样的操作权限设置,很可能在供应商私钥被盗或者遗失的情况下,造成大量资金的非法转移。

Q3

Odaily星球日报:在项目接连出事的大背景下,项目方应该怎么办?可以采取哪些措施来规避风险?

PeckShield:跨链桥生态的愈发多样化、丰富化,使得在其之上进行的交易、资金量也会随之大幅增长。例如PolyNetwork在遭受攻击之前,跨链资产转移的规模已经超过100亿美元,使用该跨链服务的地址数量也超过了22万个,这也就吸引了黑客对于跨链协议的关注,再加上跨链桥本身就是黑客资金出逃的重要环节,因此也会成为黑客攻击的目标。

对于项目方来说,首先寻求专业机构有效地排查出已知的漏洞,为协议的安全筑建第一道防线。

其次,还要注意排查与其他DeFi产品进行组合时的业务逻辑漏洞,避免出现跨合约的逻辑兼容性漏洞。

再然后,还要设计一定的风控熔断机制,引入第三方安全公司的威胁感知情报和数据态势情报服务,在DeFi安全事件发生时,能够做到第一时间响应安全风险,及时排查封堵安全攻击,避免造成更多的损失。

最后,应联动行业各方力量,搭建一套完善的资产追踪机制,实时监控相关虚拟货币的流转情况。运维安全。

BlockSec:

将安全引进设计中也就是我们通常说的securitybydesign,而不只是安全审计。应该在设计阶段引入第三方安全公司来一起评估安全风险。

项目技术代码开源从长周期看也是化解未知风险的一种必要性。

对链上情况保持持续监控,能及时感知链上异常事件,从而在损失扩大之前及时阻断。

Q4

Odaily星球日报:跨链的需求一直存在,且势必会越来越旺盛,对于用户来说,他们应该怎么办?怎样选择安全且合适的跨链桥?

PeckShield:需要说明的是,在发生此类安全事件时,损失最大的往往是为跨链提供资金流动性的LPs,我们的建议是做好项目背调,不要轻易将资产投入到没有审计过的项目中,包括正在进行审计但尚未完成的项目。再者,就是对于跨合约的协议,不要过度授权,包括项目相关方对跨链协议也不要过度授权。

Q5

Odaily星球日报:当发生极端安全事故后,有哪些行之有效的弥补手段?

PeckShield:当发生极端安全事故后,首先是项目方和相关方联动启动一级响应,追溯事故根源,同时追踪被盗资产流转情况,及时排查封堵安全攻击,避免造成更多的损失;实时监控相关虚拟货币的流转情况,联动中心化机构拦截、围堵被盗资产,尽可能挽回部分被盗资产;事后要准备完备的补偿方案,弥补用户损失;或者,设置比较可靠的保险方案。

BlockSec:

协同上下游业内资源,及时追踪被盗资产流向,并挽回损失,尤其是占据大多数流通性的交易所或稳定币方面,能在赃款风控上更有效阻断。

评估项目的整体安全性,引入第三方安全公司从安全视角整体审视项目设计,考虑到跨链项目的复杂性,应加大安全审计力度。

小结

PeckShield和BlockSec的回答为我们大致揭露了跨链相关协议当前所面临的安全挑战。

综合来看,跨链相关协议之所以容易屡遭攻击,大致可分为三层原因,一是随着赛道的高速发展,其承载的资金量也在快速膨胀;二是赛道仍处于新兴阶段,各项细节仍待优化;三是跨链相关协议往往涉及到多条链和多个合约之间的交互,流程上相对复杂,风险点较多。

对于普通用户来说,现在所面临的情况在某种程度上和去年DeFi起步之初有些类似,在权衡收益及风险需要更加慎重,优先选择审计状况更为完善、业务顺利运行更久的协议。

而对于身处一线的项目方来说,一方面要吸收过往事件的经验,针对性地查漏补缺;另一方面也要主动进行安全升级,方法包括但不限于委托更多安全公司进行审计,及时跟进底层公链的升级和变化,整合Lossless等衍生安全方案,寻求与NexusMutual等保险协议的合作,像cBridge那样探索非合约型流动性锁定方式等等……

最后,我们想要呼吁所有相关从业人员,不要丧失信心,新兴赛道的起步初期总是会伴随着阵痛,随着多链格局的日渐稳固,跨链势必会愈发蓬勃,黑客的“青睐”已侧面证明了这条赛道的价值,希望各位不要因为这颗绊脚石而停下了前进的脚步。

标签:区块链COIOINCOIN区块链域名价格排行Island CoinMimble Wimble CoinMykonos Coin

波场热门资讯
UNI:为什么有人可以在数字货币空投上赚上百万_麦卡币数字货币

当新代币分配到不同的钱包以推动初始增长和建立社区时,就会发生加密空投。它们代表了一种流行的营销策略,新项目用来在加密货币领域传播对其品牌和产品的认识。空投是一种向市场推广代币及其效用的有用方式.

1900/1/1 0:00:00
HTT:防范近期针对中币客户电信的公告_FUTURE币

尊敬的中币用户:???近期一些电信猖獗,利用市场混乱,制造各种“倒闭,跑路,摆烂”谣言,各种套路引诱用户提币到钱包,从而造成用户损失。中币在此郑重声明:平台运营正常,一切以官方公告为准.

1900/1/1 0:00:00
区块链:盘点华尔街银行巨头们布局的12家加密初创公司_TAL

原文作者:CarterJohnson和BiancaChan原文编译:PANews尽管当下加密市场正在经历史上最严酷的“寒冬”,但仍能看到市场也释放了一些积极信号.

1900/1/1 0:00:00
KEX:BKEX 关于ETP专区UNFI3S、RVN3S、BCH5S等20种标的进行份额合并的公告_bal币是谁发行的

尊敬的用户:??由于ETP专区部分标的触发了BKEXETP产品份额合并机制。BKEX将在2022年8月1日15:00对ETP专区部分标的进行合并操作,详情如下:合并后新份额的名称、简称、交易对都.

1900/1/1 0:00:00
ALEO:数据隐私平台Aleo将分三个阶段推出测试网3,已启动面向开发人员的第1阶段_aleo币2023年消息

8月3日消息,数据隐私平台Aleo宣布分三个阶段推出Aleo测试网3,Aleo测试网3分为3个阶段,第1阶段已启动,面向开发人员;第2阶段于9月推出,面向证明者;第3阶段于10月推出.

1900/1/1 0:00:00
TIM:是什么推动了OP今天暴涨?_SYNOPTI

8月4日,据币安数据显示,以太坊L2项目Optimism的代币OP今日上午一度涨至2.243USDT,现报2.075USDT,24小时涨幅一度达到38.3%.

1900/1/1 0:00:00