月亮链 月亮链
Ctrl+D收藏月亮链
首页 > ADA > 正文

NEAR:为何跨链桥安全事件频发_小比特币ubc今日价格

作者:

时间:1900/1/1 0:00:00

过去一年,整个去中心化金融 (DeFi) 生态系统被盗超过 30 亿美元,其中超过 ? 的被盗案件源自跨链桥。为了使 DeFi 发展成为一个可信且安全的生态系统,需要减轻该领域内的漏洞。本报告深入探讨了跨链桥的工作原理、过去一年发生的黑客攻击类型,以及一个跨链桥如何能够阻止两次单独的攻击尝试。

初识跨链桥

跨链桥能够在区块链之间传输数据,主要是代币资产,以利用更大的流动性,在成本和交易最终性方面建立更好的用户体验,并通过在更大的生态系统中分配交易负载来减少主链拥塞。

跨链桥的去中心化程度各不相同。在受信任或更集中的设置中,跨链桥的安全性来自监督其操作的指定方。在信任最小化或更分散的设置中,跨链桥的安全性来自底层链的验证者和操作跨链桥的算法。

大多数双向跨链桥使用 lock 和 mint 以及 burn 和 mint 模型的组合。为了将资产从一个生态系统转移到另一个生态系统,用户将他们的代币存入原始链上的智能合约中,然后在目标链上铸造等量的资产并提取给用户。为了转移回原始生态系统,用户将铸造的资产存入目标链上的智能合约中,然后这些资产将被烧毁,原始资产将在原始源链上发布。这种方法可确保在所有平台上持续供应代币。

SBF:对SEC为何允许比特币期货ETF而不允许现货比特币ETF而感到困惑:金色财经报道,今日在美国国会的加密听证会上,众议员Tom Emmer向SBF提出了一系列问题,以确定FTX为其用户提供何种保护。随后SBF表示,他对美国SEC允许比特币期货ETF推出,却不允许现货ETF推出感到“困惑”。(CoinDesk)[2021/12/9 12:59:36]

跨链桥频频被盗的一年

跨链桥对黑客来说是一个有吸引力的目标。数百万美元的代币不仅被锁定在一个中心位置,而且通过跨多个链运行,跨链桥增加了它们潜在的故障点。所有前面提到的跨链桥被盗案都属于以下三类之一:

后端漏洞

多重签名

智能合约漏洞 / 执行错误

后端漏洞

后端漏洞,或Web2 攻击向量,意味着攻击者针对的是用户而不是跨链桥本身。在 BadgerDAO 的案例中,黑客利用他们的网络托管服务提供商 Cloudflare 生成了三个具有 API 权限的独立账户。通过API 将恶意脚本集成到协议中,黑客诱使桥接用户签署代币批准调用,代表他们转移资金。这些资金随后被清算并通过BadgerBridge转移。

消息:摩根大通报告解释ETH为何会跑赢大市场:4月28日,加密交易所Gemini商业开发部门亚洲地区主管Eugene Ng在推特上发布消息称,当华尔街的银行开始使用像ETH这样的竞争币时,您就会知道我们很快就会进入竞争币季节。他推文中还包括了一种来自摩根大通的截图。该截图来自摩根大通于4月27日发布的《北美固定收益策略》报告,该部分讲到了ETH为何跑赢大市场。[2021/4/28 21:08:22]

在这种特殊情况下,BadgerDAO 团队很难单独阻止攻击,因为漏洞在于第三方。除了选择更可靠的服务提供商外,跨链桥的用户在给予无限代币批准时需要更加谨慎。

多重签名隐患

泄露的私钥导致了迄今为止最大的 DeFi 攻击,即 Ronin 桥黑客攻击。具有讽刺意味的是,黑客攻击可能是最容易防止的攻击媒介。通过有针对性的鱼叉式网络钓鱼策略,黑客能够访问大多数验证者私钥。在 Ronin 桥的案例中,Sky Mavis 的一名员工在不知不觉中下载了恶意软件,使攻击者能够访问相关的 IT 基础设施。从那里,他们能够轻松地偷走九个中的五个私钥。在一次类似的网络钓鱼攻击中,攻击者获得了 Harmony 的 Horizon 桥的内部工作记录,并转移了近一亿美金。

在这两种情况下,如果私钥存储得更安全或跨链桥具有更高程度的去中心化,攻击本可以很容易地被阻止。可以说,更多的验证者节点分布在不同平台上可以阻止攻击。为了应对这些抢劫,Sky Mavis 已将 Ronin 验证器的门槛从 5 提高到 8,而 Harmony 已经建立了一个安全运营团队来打击前端的攻击。

网友向推特黑客转币包含隐藏信息:比特币可追踪 为何不使用门罗币:7月16日消息,在今日早间推特众多名人账户遭攻击,并发布数字货币钓鱼局后,根据Reddit网友发布的链上数据信息,有用户正在向黑客相关的七个不同的地址发送0.00005348 BTC(约合0.5美元)。而在这7笔交易中隐藏着一份信息:使用比特币时您处于危险之中,比特币可以被追踪,为何不使用门罗币。(JP.Cointelegraph)[2020/7/16]

一般来说,受信任的跨链桥比不信任的跨链桥更不去中心化且安全性更低,因为它们依赖于外部验证者。鉴于这些事件,更多信任最小化跨链桥的开发和使用可能会增加。

智能合约漏洞

在所有 DeFi 攻击中,最常见的类型是通过智能合约代码中的漏洞。漏洞的类型因协议而异,通常取决于现有的基础设施。以下是以这种方式攻击的跨链桥出现的问题的细分:

PolyNetwork:通过其中一个智能合约中的错误,黑客能够调用他自己的智能合约来重置桥上的中继器名称。他替换了所有四桥的中继器变为自己,成为这座桥的唯一“keeper”。

Multichain:Multichain 团队发布公告指示用户撤销钱包批准,因为他们注意到他们的一个智能合约中有一个未使用的功能的错误。所述功能将允许不良行为者在没有有效签名的情况下将其个人合约作为转移目的地。看到此公告后,黑客利用此确切漏洞从用户账户中提取资金。

韩国监管态度为何急转?或不敢与趋势对抗:不到一个月前,韩国司法部长表示,政府部门正在准备一项针对数字货币交易平台的法案,财政部长和金融监督服务主管认为数字货币交易是“巨大的投机”,“泡沫注定破裂”。而本周,韩国金融监督机构(FSS)主管Choe Heungsik扭转态度,表示当局希望促进数字货币交易的健康发展,政府应更多关注正常化,不是加强监管。分析文章认为,韩国政府可能意识到,与其对抗这一趋势,不如将其变成一个有利可图、但受到监管的行业。就像马来西亚、新加坡和日本等国对的管理方式一样,韩国可能希望成为数字货币的区域性交易中心,为国外投资者提供服务,同时出台更多限制本地居民交易活动的规定。[2018/2/23]

Qbridge:由于存款功能的逻辑错误,黑客能够在没有触发预设故障保护的情况下输入恶意数据。然后,他们在不提供押金的情况下,在桥的一侧铸造了无抵押资产。

Wormhole:虫洞桥有一个“监护人”网络,通过观察和证明事件来保护桥免受恶意行为者的侵害。在功能升级后,黑客能够监护人签名来批准交易。

Meter's Passport:预先存在的功能允许自动包装和展开原生代币。本质上,打包的原生代币不需要被烧毁或锁定即可转移,因为它们在技术上已经解包。黑客利用此功能来模拟桥上的传输,通过对代码的不正确信任假设来铸造资产。

调查显示 超半数俄罗斯人知道比特币为何物:最近由全俄公众舆论研究中心(VCIOM)进行的一项调查结果显示,超过56%的俄罗斯人表示他们知道比特币,活跃网民中这一数字已经涨至66%。年轻的俄罗斯人(18-24岁)中知道比特币的比率已经达到75%。而首都莫斯科和第二大城市圣彼得堡有74%的居民已经了解到了去中心化的虚拟货币。然而只有三分之一的人知道,任何人都可以购买比特币,16%认为比特币在俄罗斯实际上是被禁止的。不过,有四分之一以上的人知道虚拟货币不仅可以购买,还可以被开采。另有44%的人意识到,将虚拟货币兑现,目前在俄罗斯还没有合法化。[2018/1/23]

Nomad:由于执行不善的智能合约更新未能正确验证交易输入,一位用户能够从桥中提取不属于他们的资金。成千上万的其他用户复制了原始攻击者的通话数据,用自己的地址进行了修改,然后开始提空资产。

在过去的一年中,有针对性的智能合约盗窃是按被盗价值计算的最大黑客类型,包括非桥接 DeFi 盗窃。在大多数情况下,这种攻击向量很难缓解。大规模应对这些风险将需要更强大的安全审计,并代表开发人员需要更加关注细节。跨链桥的设计需要充分了解它们存在很大的攻击风险。

大规模的盗窃攻击往往会在加密货币领域引起相当多的关注。每一次黑客攻击都是关于如何保护一个依然相关初期并不断发展的生态系统的教训。在过去的几个月里,彩虹桥(Rainbow Bridge)凭借其独特的基础设施和预防策略,已经阻止了两次单独的漏洞攻击尝试。

彩虹桥 Rainbow Bridge

彩虹桥在以太坊主网与 NEAR 和 Aurora 网络之间转移资产。自推出以来,价值超过 28 亿美元的资产已通过这座桥转移。查看源自以太坊的跨链桥,目前超过 85% 的传输量发生在以太坊与 Polygon、Arbitrum 和 Optimism 之间。彩虹桥目前约占总价值锁定市场份额的 6%。

彩虹桥是一个无需信任、无需许可的双向桥,它继承了以太坊和 NEAR 网络的安全性。从表面上看,这座桥的基础设施采用了典型的锁定和铸造模型。有四个附加组件为桥提供功能:

Relays 中继:ETH2NEAR 和 NEAR2ETH 中继是跨链桥的消息传递协议。它们将相关信息从相应的链中继到相应的客户端。由于网桥是无需信任的(没有预先批准的中间人来传输消息),因此任何人都可以与协议进行交互。

Light Clients 轻客户端:轻客户端代理实现专注于通过少量计算跟踪其相应链的状态。计算和数据处理是如此之小,以至于它们可以在智能合约中运行而不会影响成本或效率。ETHonNEAR 客户端是在 Rust 中作为 NEAR 智能合约实现的以太坊轻客户端。同样,NEARonETH 是在以太坊上以 Solidity 实现的 NEAR 轻客户端。

Provers 证明者:证明者负责验证特定的密码信息。它们与相应的轻客户端分开实现,以实现可扩展性、增强的特异性和分离操作的关注点。

Watchdogs 看门狗:NEARonETH 轻客户端验证除验证器签名之外的所有标头数据。它采用了一种乐观的方法,假设所有签名都是有效的,除非另有证明。这就是watchdog发挥功用的地方。有一个 4 小时的挑战窗口,预先批准的watchdog可以对签名数据提出异议。

如前所述,彩虹桥是无需信任的未经许可的,任何人都可以在未经许可的情况下与智能合约交互或部署、维护或使用桥接器。此外,用户只需要信任 NEAR 和 Ethereum 网络的安全性;没有额外的验证者来监督桥上资产的流动。

在两个不同的场合,黑客试图以完全相同的方式利用彩虹桥。他们充当中继者,向 NEARonETH 客户端发送无效数据,试图从网桥中提取资金。该交易已成功提交到以太坊网络,需要 5 ETH 的保证金。在漏洞利用尝试不到一分钟后,自动看门狗就对恶意交易提出了质疑,不仅阻止了攻击,而且还导致攻击者损失了他们的保证金。

NEAR 团队在设计这座桥时假设它会受到攻击。他们完全避免了集中故障点(本地网桥验证器)带来的额外风险,并实施了自动缓解系统(看门狗)来保护网桥免受攻击。此外,桥接器定期接受审计以验证功能,要求用户存款以阻止他们攻击系统,为团队提供自动警报系统,并运行频繁的漏洞赏金计划以补偿那些发现他们没有发现的漏洞的人。

总体而言,由于其自动检查系统和团队对细节的关注,彩虹桥的安全级别有所提高。桥是去中心化的:没有可以泄露密钥的集中式运营商。然而,这并不意味着这座桥是完全防黑客的。随着任何即将到来的升级,开发人员需要确保所有代码简洁、高效和安全,以防止任何智能合约漏洞。

结论

更大的加密生态系统会演变为一个多链世界,没有一个单一的区块链会统治所有这些世界。互操作性对于实现这一目标至关重要。跨链桥不仅有助于消除孤立的生态系统,还提供更大的流动性、更好的用户体验并减少单个网络拥塞。

跨链桥对于黑客来说是有吸引力的目标,需要在设计时考虑到这种风险。更高程度的去中心化和更细心的开发人员监督是两个有助于防止未来攻击的解决方案。包括彩虹桥背后的团队在内的开发人员还实施了更强大的安全措施、阻止漏洞利用的赏金计划和系统审计,以确保桥上资金的安全。为了让 DeFi 发展成为一个可信的生态系统,需要减少桥梁中的漏洞。

区块引擎

个人专栏

阅读更多

金色早8点

财经法学

成都链安

PANews

Bress

链捕手

Odaily星球日报

标签:NEAR比特币ETH以太坊near币中国人叫他什么小比特币ubc今日价格eth价格今日行情美元以太坊币价格今日行情价格美元

ADA热门资讯
区块链:除了以太坊合并 现在还有什么令人兴奋的加密叙事_以太经典币ETC

以下是当前加密货币领域中所有令人兴奋事情的快速备忘单。如果你没有时间花一整天的时间研究加密推特上的热门话题、推动市场的叙事以及值得关注的行情催化剂,别担心.

1900/1/1 0:00:00
DAO:浅谈 DAO 如何制定有效的赏金计划?_sdao币有价值吗

原作者:Kagami,来源:DAO Masters,本文由 DeFi 之道编译赏金计划为 DAO 释放了去中心化工作的力量。赏金是 DAO 与其贡献者和社区共享以完成的任务和项目.

1900/1/1 0:00:00
ETH:以太坊合并在即 但 ETH 被市场提前定价了吗_POS

加密历史上最大的结构性转变随着以太坊合并逐渐推进,我们一直想提供一篇关于如何看待以太坊生态,特别是与合并相关投资的文章.

1900/1/1 0:00:00
TOS:金色观察|Aptos 上的前 5 个早期项目_SANTOS价格

公链项目Aptos 因为在今年连续获得多次头部机构的投资而被关注。第一次被市场广为所知是在2022年3月15日完成2亿美元战略融资,a16z领投,Tiger Global、Katie Haun、.

1900/1/1 0:00:00
DAO:使 DAO 保持粘性的四个因素_SCO

Web3 为我们提供了重要的机会来改善工作条件和认可方法,以更包容和有效地吸引和留住人才。关注什么以及如何留住贡献者对「传统」员工满意度的研究反复表明,工作中有五个关键因素:任务享受、对任务重要.

1900/1/1 0:00:00
NFT:Rarible、Magic Eden 二线NFT市场掀起抢猴大战_nft币未来价格还有上涨空间吗

8 月 18 日,NFT 交易平台 Rarible 于 ApeCoin DAO 治理论坛发起了一项提案.

1900/1/1 0:00:00