月亮链 月亮链
Ctrl+D收藏月亮链

ETH:5次跨链桥漏洞攻击总损失已超13亿美元,谁来为这天价损失买单?_USDETH钱包地址

作者:

时间:1900/1/1 0:00:00

2022年自年初至今,仅5次的跨链桥攻击就导致了13.17亿美元的损失。

2022年自年初至今,仅5次的跨链桥攻击就导致了13.17亿美元的损失——这个数字是2022年Web3.0行业因黑客、欺诈、漏洞等事件造成总资产损失金额的57%。

之所以跨链桥攻击的损失如此巨大,是因其本身的固有安全漏洞及整个领域缺乏防御攻击专业意识和相关理论知识。

规模位于前三的跨链桥攻击事件分别为:RoninNetwork,造成6.24亿美元的损失;Solana跨链桥项目虫洞,造成3.26亿美元的损失;Nomad,造成1.9亿美元的损失。

本文将通过分析今年发生的这5起尤其是具有代表性的NomadBridge攻击事件,与大家探讨跨链桥的安全问题及解决方式。

跨链桥安全

Kusama开启第15次平行链插槽Auction,目前出价最高的是Genshiro:11月16消息,据PolkaWorld发文称,目前Kusama网络已经开启第15次平行链插槽Auction,目前出价最高的是Genshiro。11月16日凌晨1:30左右Kusama的第14个平行链插槽Auction结束,UNIQUE的先行网Quartz以锁定54,384个KSM赢得了第14个平行链插槽,租期范围是Lease17-Lease24,会在Lease17开始的时候,即11月27日接入Kusama中继链,并以平行链的方式出块。[2021/11/16 21:55:39]

在分析这几起攻击事件前,我们需要明确一下跨链桥存在的固有安全问题。

V神VitalikButerin曾在Reddit上写道,因为51%攻击的影响,他对跨链应用持悲观态度。然而除此之外,还有更多需要考虑的其他问题。

在2022年7月22日发布的一个推特视频中,Nomad的创始人JamesPrestwich解释了为何行业普遍在跨链应用建立安全模型方面缺乏专业知识,以及为何获取这些标准的专业知识需要花费一年的时间。

对于个人用户来说,很难将资产从一个区块链转移到另一个区块链,因此必须通过跨链桥来实现这一操作。跨链桥协议的原理是:用户在A链将代币存入,随后在B链上收到债务代币。一旦B链的债务代币被销毁,则A链存储的代币就会被释放。

FTX完成第105次FTT回购销毁,销毁约270万美金的FTT:据官方消息,数字资产衍生品交易所FTX昨日完成对其平台币FTT的第105次回购销毁,共销毁88,808 FTT(约270万美金)。FTT的部分销毁来自于FTX所收得手续费的33%,已销毁FTT总数达12,668,794 FTT(约4亿美金)。

FTT暂报32.03美金,总流通市值约49.4亿美金。此外,质押FTT将尊享:邀请返佣比例、挂单手续费奖励、上币投票额外权益、空投额外奖励、免提币手续费以及通证预售额外认购券以及抽取FTX周边大礼包。详情请见官方公告。[2021/7/28 1:21:07]

为了实现这一功能,跨链桥需要实现这几个功能:保管用户存入的代币,向用户释放债务代币,以及在不同链之间发送消息的预言机。这使得跨链桥在安全方面更加脆弱——黑客可以下手的地方实在太多了。

条条大路通跨链桥,对黑客来说,又怎么能轻易拒绝这种快速暴富的攻击渠道?攻击造成的后果并不只是存款损失,一旦跨链桥产生漏洞或遭到攻击,整个跨链桥的代币将很可能失去所有价值。

RoninNetwork

RoninNetwork漏洞是有史以来最大的DeFi漏洞。

FTX平台币FTT完成第65次回购销毁,现市值约为3.3亿美元:据官方消息,数字资产衍生品交易所FTX今日完成对其平台币FTT的第65次回购销毁,共销毁77,559 FTT(约28.00万美金),销毁频率为每周。FTT的部分销毁来自于FTX所收得手续费的33%,已销毁FTT总数达6,388,219 FTT(约2302.95万美金)。FTT现报3.61美金,市值约为3.3亿美元。作为FTX交易平台币,FTT可作为合约保证金,FTT持币人可享受高达60%的交易手续费折扣。FTT也已上线Binance、BitMax、CoinEx、Huobi和Bitfinex交易所。[2020/10/21]

3月底,CertiK审计团队监测到NFT游戏AxieInfinity侧链RoninNetwork遭到攻击,损失价值约6.24亿美元的17.36万枚ETH以及2550万枚USDC。

RoninNetwork需要验证九个验证节点中的五个签名。而攻击者黑了4个SkyMavis的私钥,制造了5个合法的签名,即:4个SkyMavis验证器和1个AxieDAO运行的第三方验证器产生的签名。

这导致5个验证器节点被破坏,高级鱼叉式网络钓鱼攻击是造成这一情况的罪魁祸首。

HB10本周上涨4.46%,共产生335次换入换出套利机会:据火币HB10行情周报,4月11日至4月17日,HB10/USDT上涨4.46%,HB10资金占比前三大币种本期间内表现为BTC/USDT上涨3.46%,ETH/USDT上涨8.55%,BCH/USDT上涨0.02%;HB10与10种成分币盈利比较排名第5。本周HB10/USDT价格涨跌幅年化波动率67.97%,较上周下降9.17%,排名第4。出现套利机会约335次,换入套利机会约324次,换出套利机会约11次。HB10是以火币主力指数为跟踪标的的指数化产品。由于HB10包含10个币种,分散风险功能体现显著。[2020/4/17]

Solana跨链桥项目虫洞

北京时间2022年2月3日凌晨1点58分,CertiK审计团队监测到Solana跨链桥项目虫洞遭到攻击。

此次事件中,攻击者通过注入一个性的sysvar账户绕过了系统验证步骤,并成功生成了一条恶意“消息”,指定要铸造12万枚wETH。最后,攻击者通过使用恶意“消息”调用了“complete_wrapped”函数,成功铸造了12万枚wETH,价值约3.26亿美元。

FTX平台币FTT已完成第35次回购销毁:据官方消息,根据FTT白皮书约定,数字资产衍生品交易所FTX已完成对其平台币FTT的第35次回购销毁,共销毁169,711 FTT(约41.55万美金),销毁频率为每周。FTX平台已销毁FTT总数达3,362,830 FTT(约822.55万美金)。现FTT市价为2.44美金,市值约为2.09亿美元。作为FTX交易平台币,FTT可作为合约保证金,同时,FTT持币人可享受交易手续费折扣。FTT同时也已上线Binance,?BitMax,?CoinEx,?Huobi, 和?Bitfinex交易所。[2020/3/26]

铸币两分钟后,攻击者将1万枚ETH桥接到以太坊链上,约20分钟后,以太坊链上又产生了8万枚ETH的交易。时至今日,这些资金仍在攻击者的钱包里。

该事件造成的损失金额之大,令其成为了跨链桥史上第二大黑客攻击事件。

HarmonyBridge

北京时间2022年6月23日19:06:46,CertiK审计团队监测到Harmony链和以太坊之间的跨链桥经历了多次恶意攻击。

CertiK团队安全专家分析,此次攻击事件可能源于黑客掌握了owner的私钥——攻击者控制MultiSigWallet的所有者直接调用confirmTransaction从Harmony的跨链桥上转移大量代币,导致Harmony链上价值约9700万美元的资产被盗,该笔资金后被转移至TornadoCash。

这起攻击事件涉及到了12笔价值约5万美元到4120万美元以上的交易及3个攻击地址,涉及到的代币包括ETH、USDC、WBTC、USDT、DAI、BUSD、AAG、FXS、SUSHI、AAVE、WETH和FRAX。

QubitBridge

发生于年初的Qubit攻击事件也是一个典型的跨链桥漏洞事件。

2022年1月27日,CertiK审计团队监测到Qubit遭到攻击,导致了约8000万美元的损失。

攻击者调用了QBridge合约,在没有提供任何加密货币的情况下使bridge合约产生了攻击者已存款的虚假时间证明。

ETH和ERC-20的存款共享相同的事件证明,因此允许攻击者调用该函数利用不存在的ERC20存款事实生成虚假的ETH存款事件证明,并以此在另一条链上提取ETH。因此,攻击者在没有向合约发送任何代币的情况下通过了QBridgeHandler证明,并在交叉链上铸造了大约77,162个qxETH。黑客随后将盗取的资金存入了TornadoCash。

NomadBridge

北京时间2022年8月2日,CertiK安全团队监测到NomadBridge遭受攻击,导致了价值约1.9亿美元的损失。

合约的问题在于在initialize()函数被调用的时候,“committedRoot”被设成了0x00地址。因此,攻击者可以通过消息的验证,将在桥合约中的代币转移。锁仓总价值由1.9亿美元骤降为1.2万美元——这实质上使得攻击者可以在A链上存入1ETH而在B链上收到100ETH。

这个漏洞的神奇之处在于,看起来好像没有任何一个直接攻击者。但至少有41个钱包参与了此次攻击,我们可以认为它是Web3.0世界第一个「群体作案」。也许正是因为这个原因,攻击者可以轻易地从桥上提取资金。

第一笔可疑交易发生在8月2日凌晨5:32,100wBTC被转移到0x56d8......我们可以观察到代币从这里开始持续疯狂转移。

这样的漏洞也在吸引着如RariCapital攻击者这样的以往Web3.0黑客。

另外有个有意思的地方是,还有个恶意者试图对这起事件的黑客进行网络钓鱼攻击,ta持有ENSnomadexploiter.eth的EOA向持黑客EOA发送了链上信息,在8月2日注册冒充Nomad与黑客进行谈判:

Nomad在推特上发布声明称这不是他们干的

写在最后

这些攻击事件的漏洞在持续警醒我们:跨链桥漏洞所能造成的破坏性极其巨大。

Web3.0世界目前急需更安全和更广泛的跨链应用。未来同类性质的漏洞可能会出现的越来越多、越来越频繁。

我们可以尽力而为的至少是确保项目代码经过了完备的测试和安全审计,这将大幅提高面对高破坏性黑客攻击的抵御能力。

在加密行业你想抓住下一波牛市机会你得有一个优质圈子,大家就能抱团取暖,保持洞察力。如果只是你一个人,四顾茫然,发现一个人都没有,想在这个行业里面坚持下来其实是很难的。

想抱团取暖,或者有疑惑的,欢迎加入我们

感谢阅读,我们下期再见!

标签:ETHHarmonyUSDETH钱包地址ETH挖矿app下载Etherael指什么寓意Harmony币是什么币USD币USD价格

比特币价格热门资讯
加密货币:ATOM 维持“市场最大推动力”标签,维持 4 个月高位_ATOM

Cosmos的原生加密货币继续看涨,涨幅高达40%,而其他加密货币则起起落落;NEAR紧随其后是数周高点。Cosmos协议的原生币ATOM持续上涨,每天都创下新高.

1900/1/1 0:00:00
DOGE:随着市场情绪触及 4 个月高点,鲸鱼增持 4.5 亿狗狗币(DOGE)_马斯克最新消息狗狗币交易

随着积累,该地址已成为第20大DOGE持有者。一只狗狗币(DOGE)鲸鱼在最近的两笔交易中刚刚积累了高达4.5亿个代币,价值3941万美元,随后攀升至最大DOGE持有者名单的第20位.

1900/1/1 0:00:00
Filecoin:Filecoin 价格预测——网络升级能否将 FIL至 20 美元?_Filecoin币是什么币FIL币

Filecoin是由ProtocolLabs运营的项目,旨在使数据存储更加去中心化,并且最近进行了协议升级,显着增加了存储容量.

1900/1/1 0:00:00
BTC:为什么比特币月度收盘价高于 23,000 美元暗示多头有更多动力_比特币最新价格行情走势

临近月底,比特币继续保持在多头心理价位23,000美元上方。按市值计算,该行业最大的加密货币可能有另一个延续信号,以征服其50个月移动平均线指标的年度新高.

1900/1/1 0:00:00
莱特币:莱特币价格预测:LTC 会在 2023 年减半事件中飙升吗?_LTC币比特币中国官网联系方式

内容 什么是莱特币(LTC)? 莱特币创始人:查理李 莱特币新闻:MWEB升级等链上分析:2023年LTC减半等 莱特币:价格分析 2023年及以后的莱特币价格预测莱特币(LTC)于2022年1.

1900/1/1 0:00:00
以太坊:以太坊2.0是什么?它和1.0有什么差别?_区块链技术发展现状和趋势

最近以太坊2.0也成为了加密币圈热议的话题。对于很多刚入币圈的人来说,以太坊2.0是一个十分陌生的概念.

1900/1/1 0:00:00