在行业快速步入多链生态后,用户对跨链桥的需求也愈发强烈。然而目前的市场上,各公链的官方桥往往支持的链有限,因此,第三方跨链协议凭借着更广泛的公链支持数量成为了用户跨链的主流选择。与此同时,跨链桥也成了黑客们垂涎的目标。
就在刚刚过去的1月18日,第三方跨链协议Multichain再次遭到黑客攻击,合计损失约600万美元。
由于近期针对跨链桥的安全事件频发,为了帮助读者在使用中避免可能的风险,我们将近期发生的跨链桥安全事件进行了简单的总结。
近一年跨链桥安全事件回顾
2021年6月29日,THORChain遭遇第一次攻击,损失约35万美元。在随后的7月,THORChain又接连遭遇了两次攻击,损失约1600万美元。
2021年7月11日,ChainSwap遭到攻击,官方冻结BSC映射Token地址以过滤掉黑客地址。合作方RAIFinance因ChainSwap合约漏洞被盗超70万枚RAIToken。
2021年7月12日,Anyswap发布公告表示,新推出的V3跨链流动性池在昨日凌晨遭到黑客攻击,总计损失为239万USDC与550万MIM,损失总额超过787万美元
CremaFinance:找到了黑客在黑客事件中使用的可疑discord账户:金色财经报道,CremaFinance在社交媒体上称,根据合作伙伴提供的线索,我们找到了黑客在黑客事件中使用的可疑discord账户。我们正在与有关方面接触,以获得更多可能有助于侦查的信息。
金色财经此前报道,CremaFinance被黑客攻击损失约880万美元。[2022/7/4 1:50:09]
2021年8月10日,PolyNetwork遭受黑客攻击,约6.1亿美元资产被转走。
2021年11月7日,跨链协议Synapse被黑客攻击,约800万美元资产受到影响。
2021年11月23日,Celo官方桥Optics跨链桥多签钱包所有权被未知人士转移,Optics跨链桥暂停使用。
2022年1月18日,Multichain再次遭到黑客攻击,合计损失约600万美元。
发生安全事故只是因为运气不好吗?
针对最近Multichain安全事件,@0x_Todd评论认为,对于DeFi应用,只要出过一次安全问题,就会接二连三地出问题。而一个协议如果一直不出问题,那么就一直不会出问题。
养老金账户平台IRA因黑客事件对Gemini交易所提起诉讼:6月7日消息,养老金账户平台IRA Financial Trust对加密货币交易所Gemini提起诉讼,原因是Gemini没有适当的保护措施来保护客户的加密资产。据此前报道,2月8日IRA Financial Trust称遭到黑客攻击,导致3600万美元的加密货币被盗,这些资产属于Gemini保管的客户退休账户。在IRA通知Gemini后,犯罪分子仍然可以将资金从交易所客户的账户中转移出去。
据悉,自事件曝光以来,两家公司一直在互相指责对方为资金损失负责。IRA基金一直在努力为其受影响的客户寻找解决方案,现在已承诺使用诉讼所得赔偿受事件影响的客户。(watcher.guru)[2022/6/7 4:08:17]
DAO Maker为受黑客事件影响的用户分两个阶段提供全额补偿:8月18日消息,DAOMaker为最近受黑客事件影响的用户推出补偿计划。所有受黑客攻击影响的用户都将得到全额补偿,补偿计划将分2个阶段进行。第一阶段为下次SHO之前的8月19日,所有受到影响用户的钱包中将会收到500美元空投,这笔钱能够用来参与SHO或提现。第二阶段,DAOMaker会在8月19日的一年后以DAO代币的形式补偿给用户,并且会有10%的附加收益。2021年9月8日,DAOMaker会空投USDR代币,代表1年后的赎回权,每个USDR代币相当于1.1个DAO的价值。2022年9月8日,所有的USDR代币将会部署在一个智能合约里,以供用户换取DAO代币,所有的USDR将在那时被销毁。个DAO的价值。2022年9月8日,所有的USDR代币将会部署在一个智能合约里,以供用户换取DAO代币,所有的USDR将在那时被销毁。[2021/8/18 22:21:43]
我们当然知道这句话有一定的调侃意味,并不能真的作为定理去评估项目风险。但是从行业内发生的某些案例来看,那些有过安全事故记录的项目,确实是更容易接二连三不断翻车。比如著名的DeFi保险项目Cover在归零前反复被黑客攻击了多次。做保险的协议自己不保险,Cover协议简直成了黑客的便携提款机。
法官驳回Bithumb用户的两项索赔请求,涉及2017年黑客事件:首尔中央地方法院一名法官驳回用户针对交易所Bithumb的两项索赔请求。这些人分别要求12.6万美元和3.8万美元的损失赔偿,涉及2017年发生的一次数据泄露事件。
据Fn News报道,原告Hong和Seo(均以姓氏命名)表示,他们因网络钓鱼攻击(该攻击使用在Bithumb黑客攻击中提取的私人数据)而蒙受损失。第三名索赔人Jang获得5000美元,以弥补全部损失。这一数额比他最初索赔的27200美元低得多。在这三起案件中,法院都表示,交易所存在过失,因为它们本可以在安全方面分配更多资源,以防止大规模数据泄露事件。
然而,法官认为Bithumb和Jang都负有部分责任,并指出受害者提供的细节并未包含在最初从交易所流出的数据中。为了实施攻击,网络罪犯冒充Bithumb客户中心的代理人,向Jang提供了他认为只有Bithumb员工才能有的信息。黑客随后告诉Jang,其账户上有一次可疑的登录尝试,需要向其电话号码发送一个验证码,以帮助阻止可疑的访问。一旦获得许可,这位黑客就着手将Jang持有的XRP和ETH转化为法币。(Cointelegraph)[2020/9/4]
其实出现这种现象的原因,在于安全事故的发生其实并不是一个偶然事件,其背后反映出了这个应用开发团队在内部发布流程、风控意识等方面或许都存在着严重的问题。
Coincheck黑客事件已经约有半数被洗:Coincheck黑客事件之后,被盗总数约580亿日元的NEM目前已约有半数以上被交换成为其他加密货币。2月7日,监视盗窃嫌疑人账户的白色黑客Cheena注意到,有少量NEM被汇向其他的不特定账户,同时发现嫌疑人在暗网(dark web)开设了自己的交易所,并以低于市场价15%的价格来吸引顾客购买。但是结算时用的加密货币不仅仅是NEM,也包括了比特币以及其他加密货币,清晰显示了这是“”行为。白色黑客表示尽管追踪很困难,但还是会坚持下去。[2018/3/19]
事故的发生往往只是内部管理失败的外在表现形式而已。如果不能彻底清除掉内部的风险隐患,而只是头疼医头脚疼医脚地解决表面问题,那么相似的安全事故只会接二连三地不断出现。
然而目前许多加密行业内的创业团队,在工作中并不具备相对严谨的工作态度。他们往往是在仓促解决了眼前的故障后,继续快马扬鞭向前推进项目的开发进度并抢占市场,使得协议内部积累的风险隐患越来越大。
那么,对于普通用户来讲,在跨链已经逐渐变为刚需的今天,如何才能找到一个相对让人放心的跨链桥?
这里我们先对之前@0x_Todd提到的「定理」进行一下修正。首先,目前没有出现安全风险的协议并不等于绝对的安全。但加入这个协议的TVL足够大,并且协议上线运行的时间足够长,那么可以说其安全风险是相对较低的。毕竟对于这样一块「肥肉」来说,其代码一定早已被各类顶级黑客所反复分析过了。
此外,如果说对于发生过一次安全事故的协议全部一棒子打死有些过于绝对,那么对于那些已经连续发生两次甚至更多安全事故的协议,还是尽量敬而远之。
最后,我们按照这个标准,对目前市场上TVL已经有一定规模,且对各个公链兼容性比较广泛的第三方跨链桥进行了盘点。
当然,由于多链生态以及跨链桥基本都是近一年中快速发展的结果,因此这些协议所经历的考验或许并不充分。对于下方所列出的没有发生过安全问题的跨链桥,依然建议用户能够在控制好自身风险的前提下谨慎使用。
盘点目前安全记录良好的第三方跨链桥
AllBridge
Allbridge是由APYSwap团队开发的跨链桥,其主要特点是在支持主流EVM兼容链跨链的同时,支持主流的非EVM链跨链。
上线时间:2021年7月
TVL:5.46亿美元
cBridge
cBridge?是目前这几个跨链桥中支持的EVM链最多的跨链桥,基本完整覆盖了市面上能见到的EVM兼容链,现已支持19条链和层的跨链桥接。其总跨链资金已达24亿美金,而其锁仓量也在V2版本推出后出现了快速增长,目前已超过2亿美元的规模。
不同于其他第三方跨链桥只针对资产跨链,cBridge的目标显得更加宏大。除了做好资产跨链以外,cBridge还在近期发布了Celer跨链消息框架,正式进军信息跨链领域,试图成为未来多链生态中跨链互操作的底层基础设施协议。
根据官方文档的描述,未来依托CelerIM构建的新一代多链原生dApp,将会成为未来多链世界的第一批原生跨链应用。可以帮助用户实现在一条链上质押资产,并直接在另一条链上借出资产,或者让用户在一次交易中跨多条链交换资产等功能。
上线时间:2021年2月
TVL:1.95亿美元
HopProtocol
HopProtocol的突出优势是在支持主流EVM链跨链的同时,还支持以太坊上主流Layer2如Arbitrum、Optimism的跨链。目前支持的跨链资产种类包括ETH、USDC、USDT、DAI、MATIC。
上线时间:2021年7月
TVL:1.06亿美元
xPollinate
xPollinate支持的跨链种类同样很丰富,除了主流EVM兼容链以外,还支持Layer2跨层以及波卡生态的EVM兼容平行链的跨链。
上线时间:19年9月
TVL:2668万美元
文章的最后再次提示一下风险,过往没有发生安全事故的项目并不等于绝对的安全。用户在使用跨链工具时,依然有必要保持良好的账户使用习惯。如及时清理授权,或将主要资产保存地址与日常交互地址分开管理等等。毕竟,在个人拥有绝对主权的加密世界中,唯一能为自己负责的其实只有我们自己。?
日本是世界第三大经济体,其政府和社会对区块链、Crypto的发展态度积极。因为区块链的提出者中本聪被认为来自日本或是一名日裔,因此日本社会普遍对于区块链持友好甚至是支持态度.
1900/1/1 0:00:00从互联网泡沫到毁灭性的次贷危机,主流金融体系一次又一次地让我们失望。这并不奇怪,因为该体系是专门因交易社区高层的一时兴起而设计的,他们的行动最终决定了寻求分一杯羹的小交易者的命运.
1900/1/1 0:00:00头条▌苹果CEO:正在探索元宇宙新技术1月28日消息,苹果公司首席执行官蒂姆·库克:苹果在增强现实领域看到了巨大的潜力。在被问及元宇宙时,苹果公司首席执行官蒂姆·库克表示正在探索新技术.
1900/1/1 0:00:00在90年代,Blockbuster是美国视频和游戏租赁的一个巨无霸。随着流媒体服务开始塑造我们观看电影的方式,它在2000年代后期经历了大幅下滑.
1900/1/1 0:00:00SocialFi发展已小有成就,但是距离诞生现象级的应用仍是道阻且长Jan.2022,Grace@footprint.networkDataSource:FootprintAnalytics?S.
1900/1/1 0:00:00迎新年,纳新福,金色财经“虎年开新礼”活动正在进行中,1月24日-1月30日与大家一同恭贺新春,喜迎虎年.
1900/1/1 0:00:00