本文來自Chainalysis
繼本週Nomad 跨鏈橋被攻擊後,Chainalysis 估計,今年到目前為止已有20 億美元的加密貨幣從跨鏈橋被黑客竊取,涉及13 次攻擊,針對跨鏈橋的攻擊佔被盜資金總額的69%。
這是對區塊鏈技術信任度建立的重大威脅。隨著越來越多的價值通過跨鏈橋流動,它們成為了對黑客更具吸引力的下手對象。跨鏈橋現在也是與朝鮮有關的黑客的首要目標,據我們估計,今年迄今為止,這些黑客已經竊取了大約價值10 億美元的加密貨幣,全部來自跨鏈橋和其他DeFi 協議。
好消息是這些平台可以採取自我保護措施。在黑客攻擊的情況下,他們可以利用區塊鏈技術的透明度來調查資金流,並在理想情況下防止攻擊者套現他們的非法所得。
什麼是跨鏈橋協議?
跨鏈橋目的是解決不同區塊鏈之間的互操作性挑戰。跨鏈橋協議允許用戶將資產從一個區塊鏈轉到另一個區塊鏈。例如, Wormhole 是一個跨鏈橋協議,允許用戶在各種智能合約區塊鏈(如Solana 和以太坊)之間轉移加密貨幣和NFT。
雖然跨鏈橋的設計各不相同,但用戶通常通過將資產中的資金發送到跨鏈橋協議來與跨鏈橋進行交互,然後這些資金被鎖定在合約中,接著向用戶發放協議跨鏈到鏈上同等資產的等價資金。在Wormhole 的例子中,用戶通常向協議發送 ETH,並被當作抵押品持有,並在Solana 上被以Wormhole 包裝過的ETH 的形式發行,由鎖在以太坊上的Wormhole 合約中的抵押品支持。
為什麼跨鏈橋總出事?
跨鏈橋是一個有吸引力的目標,因為它們通常具有一個中央資金存儲點,支持接收區塊鏈上的“跨鏈”資產。無論這些資金以何種方式存儲(鎖定在智能合約中或通過集中託管機構)這個存儲點都會成為黑客的攻擊目標。此外,有效的跨鏈橋設計仍然是一個尚未解決的技術挑戰,許多新模型正在開發和測試。隨著時間的推移,最佳實踐不斷改進,這些不同的設計呈現了新的攻擊向量,可能會被黑客利用。
加密行業能做些什麼?
就在幾年前,中心化交易所還是業內最常被黑客攻擊的目標。如今,成功攻擊中心化交易所的案例很少。這是因為總是在尋找最新和最脆弱的平台來進行攻擊。
雖然不是萬無一失,但解決這類問題的關鍵第一步可能是讓極其嚴格的代碼審核成為DeFi 的黃金標準,無論是對於協議的構建者還是對協議進行評估的投資者。隨著時間的推移,最強大、最安全的智能合約可以作為開發人員構建的模板。
加密貨幣服務(包括跨鏈橋)應該投資於安全措施和培訓。例如,對與朝鮮有關聯的黑客來說,複雜的社會工程戰術長期以來一直是受歡迎的攻擊方式,這種戰術利用人性的信任和粗心潛入企業網絡。加密團隊應該接受關於這些風險和警告信號的培訓。同時,當成為攻擊的受害者時,響應速度也至關重要。