文/Maria Gracia Santillana Linares如果说2018年是中心化加密货币交易所的黑客爆发之年,那么去中心化的区块链桥似乎注定会在今年赢得这一“荣誉”。加密货币分析公司Chai
文/Maria Gracia Santillana Linares
如果说2018年是中心化加密货币交易所的黑客爆发之年,那么去中心化的区块链桥似乎注定会在今年赢得这一“荣誉”。
加密货币分析公司Chainalysis的一篇新博客文章表示,在2022年上半年,共有超过19亿美元的资金在跨链黑客攻击中被盗。
最近几周,跨区块链桥也因其脆弱性而受到抨击。跨区块链桥的核心是允许用户用一种代币兑换另一种代币,比如把币安的BNB代币换成以太坊。可以说,区块链桥是扩展区块链可操作性的关键。
Chainalysis研究主管Kim Grauer表示:“实现这种互操作性至关重要。”
但为了发挥这种作用,区块链桥必须持有大量的两种代币。这样的资金池对黑客来说很有吸引力。Kim Grauer说,区块链桥“允许区块链之间进行对话,但也为居心不良的人创造了偷食的蜜罐。”
“不管这些资金是被存储在一个智能合约中,还是通过一个集中托管机构在保存,这个存储点都会成为一个黑客攻击的目标。”
它们的脆弱性也可能是去中心化金融(DeFi)增长过快的结果。网络安全公司Active Fence的高级战略总监Amit Dar说,跨区块链桥“有点像是一个马后炮”。
“有效的区块链桥设计仍然是一个未解决的技术挑战,许多新的模型正在开发和测试当中。”
尽管如此,这些桥梁已经成为DeFi的主要组成部分,只要它们仍然脆弱,黑客攻击也仍将层出不穷。
ArweaveAR的CEO Sam William说:“原本去中心化金融的承诺是,我们可以获得免信任的融资。”ArweaveAR是一家成立于永久网络(Permanweb)的区块链级初创企业,旨在保护互联网内容。“但相反,人们最终相信了营销,并在没有验证的情况下信任了代码。”
随着DeFi的发展,正如Grauer所说的那样,这个“痛苦的教训”正在让用户付出前所未有的代价。今年上半年的加密货币盗窃案比2021年同期增加了58%。报告补充说,“这一趋势似乎不会很快得到逆转”。事实上,在报告截止日期之后不久的8月初,区块链桥平台Nomad上就有1.9亿美元的资金被黑客盗走。
Chainalysis关于年中加密货币犯罪的博文更新表示,今年的大部分跨链黑客攻击都源于代码漏洞。像所有的DeFi应用和使用一样,区块链桥是由开发人员构建并由程序员修改的开源项目。所有区块链桥的全部代码可以在GitHub上找到,而后者是一个开放代码托管服务,任何人都可以在那里检查它们的漏洞。
开源的捍卫者认为这是社区和实现去中心化的关键。但这是一把双刃剑。就像开发人员、用户和社区都能看到代码一样,居心不良者也能看到代码。他们可以很容易地发现其中的漏洞或故障,并利用这些漏洞来操纵区块链桥本身。Chainalysis早前的一份报告发现,在今年第一季度从DeFi盗取的资金当中,由代码漏洞引起的占近50%。Chainalysis告诉《福布斯》,他们还没有拿到今年第二季度的数据。
在今年最大的几起区块链桥黑客盗窃事件中,代码漏洞也是主要原因,涉及的区块链桥包括Ronin、Wormhole、Harmony和Nomad。在这些盗窃案中,黑客都是利用了代码中的漏洞,导致受损的验证器节点批准了盗窃行为。
Williams说,黑客们正在寻找可在每个节点上广泛部署的软件中的故障。区块链依靠一系列被称为节点的计算机来验证和确认交易历史。当黑客发现代码中的bug或漏洞时,他们可以利用该漏洞来更改每个节点上的某些功能。
加密货币研究公司Paradigm的研究合伙人兼安全主管samczsun在Twitter上发帖称,对Nomad的攻击源于一次错误的更新。在黑客入侵之前,该区块链桥上存有价值1.97亿美元的加密货币。
一次例行的升级将该平台的代码设置为自动批准每条消息,因此也就意味着批准每笔交易。黑客不需要修改任何代码,他们只需要找到一个已经成功的交易,替换地址并重新播放信息就可以盗取资金。
他在推特上写道:“攻击者利用这一点来复制/粘贴交易,在一场疯狂的混战中迅速榨干了这个区块链桥。”
那么,去中心化金融将何去何从?Mimi Idada是区块链孵化器和风险基金Open Web Collective的创始合伙人,他建议区块链桥利用开源来发挥自己的优势。她说:“这是一个美丽的故事,但其中有一些不怀好意的人在从事一些恶意活动。但当我们意识到这一点,当我们知道发生了什么以后,我们就可以在资金都被榨干之前,争取我们的社区和其他开发者的帮助。”
事实上,在Nomad的案例中,就有“白帽子”,也就是善意的黑客,使用了与窃贼相同的方法,将部分资金返还给了这个区块链桥。虽然Nomad目前只持有9万美元的加密货币,但根据Etherscan.io的数据,超过3,600万美元已被发送到该区块链桥的恢复钱包地址。Nomad还会向返还至少90%资金的人提供10%的赏金。
Grauer表示,尽管有些黑客心怀善意,但持续不断的攻击将迫使DeFi“在安全方面达到更高的标准”。
“天知道每时每刻,代码中有多少漏洞没有被潜在的黑客群体解析。”
原创文章,作者:币圈吴彦祖,如若转载,请注明出处:https://www.kaixuan.pro/news/417183/