ETH:跨鏈橋安全事故頻發，還能用嗎？_STE

作者：隔夜的粥

昨晚，AxieInfinity專屬側鏈Ronin被曝被盜價值6.24億美元的加密資產，這也是迄今損失最為慘重的跨鏈橋安全事故。

令人尷尬的是，這次黑客事件還是在6天前發生的。

那Ronin究竟是如何被盜的呢？作為一條以太坊側鏈，Ronin的跨鏈橋采用的是MPC門限簽名技術，其設置的9個驗證者密鑰中，需要有5個或5個以上的驗證者密鑰批準才能進行存款和取款交易。

而其中有4個密鑰是由同一個人負責管理的，這意味著，只要攻擊者控制了SkyMavis的密鑰，然后再控制另一個驗證者密鑰，那么整個Ronin網絡的資金就被黑客掌控了。

而目前多數跨鏈橋項目，均采用了這樣的多重簽名技術，因此，理論上，這些項目也都可能會遭受類似的攻擊。

Lido質押代幣總價值突破150億美元:金色財經報道，據Lido官方數據顯示，其平臺質押代幣總價值已突破150億美元，本文撰寫時達到15,664,516,284美元，其中以太坊質押總價值占據比例最大，當前也觸及15,486,462,182美元（約770萬枚ETH），其次是Polygon，質押價值為108,281,794美元。

此外，Lido平臺已支付獎勵價值達到739,540,052美元，質押者數量為361,422個。歷史數據顯示，Lido平臺質押代幣總價值于今年三月超過100億美元，這意味著該指標值在過去四個月增長超50%。[2023/7/14 10:55:32]

已經出現過的跨鏈攻擊方式

而私鑰攻擊，僅僅是攻擊跨鏈橋手段的其中一種方式。

Lido已上線以太坊提款用戶界面，領取需1至5天:5月23日消息，流動性質押協議Lido在推特上表示，用戶現在可以直接通過Lido用戶界面（UI）取消質押stETH/wstETH。

提出提款請求的步驟為：1.訪問提款頁面；2. 按“請求”選項卡；3.選擇stETH或wstETH的數量；4. 按“請求提款”；5.確認交易。提款請求由NFT表示，當請求準備好被認領時，NFT將發生變化。在領取ETH后，NFT將被銷毀。用戶可以出售該NFT，但如果將NFT出售或轉移到您無法控制的賬戶，將無法領取提款，強烈建議不要以低于領取價值出售NFT。

領取提款的步驟為：1.等待1至5天；2.訪問提款頁面；3.點擊Claim選項。需要注意的是，在特殊情況下，提款時間可能需要更長的時間。

此外，若要跳過提款隊列并在幾分鐘內退出stETH，可以選擇使用支持的DeFi聚合器將stETH/wstETH兌換為ETH，確切的stETH/ETH比率可能因時間和聚合器而異。[2023/5/23 15:20:21]

例如此前的PolyNetwork黑客事件，黑客并不是通過盜取私鑰來完成攻擊，而是通過合約權限漏洞?實施了攻擊。

富達數字資產負責人：數字資產更多是TradFi的進化:金色財經報道，在今日舉行的Web3香港嘉年華峰會上，富達數字資產解決方案全球負責人Luc Froehlich在圓桌論壇上表示，數字資產更多是TradFi的進化，科技背后的數字資產賦能，與我們更多的做TradFi。允許傳統的金融行業去交付它的目標，給消費者提供服務，不僅僅是服務，還有數字資產，但數字資產只是這個公式的一部分，我們還要看到新的技術股在建立，物聯網、人工智能怎么把收集的信息進行分析、使用、結構化，區塊鏈這層可以創造出基礎設施，把這些信息進行存儲和交換，這就帶來了價值，這是新的技術堆棧慢慢發展的趨勢。

談到機遇，我覺得這是一個創造金融服務的機會，它可以和消費者的需求相一致。談到挑戰，我們也在傳統的財務金融行業有一些洗牌、顛覆，會有很多風險，也需要很多監管去保護消費者權益，但是我覺得這是一個自然而然的進化。[2023/4/12 13:59:03]

再比如前段時間出事的Wormhole跨鏈橋，攻擊者也是利用了跨鏈橋的合約漏洞，欺騙了多重簽名人的簽名，鑄造出了12萬WormholeETH，最終將鎖定的8萬ETH轉移到了攻擊者自己的錢包。

Fewstones與TripleA合作接受視頻制作服務的加密支付:金色財經報道，新加坡視頻制作公司Fewstones與TripleA合作，接受加密貨幣支付。據了解，TripleA是新加坡金融管理局 (MAS) 許可的加密貨幣支付網關，FewStones是一家領先的視頻制作公司，受到全球500多個品牌的信賴。[2023/3/8 12:50:09]

除此之外，歷史上還出現過假幣充值、偽造網站等跨鏈攻擊方式，基本上都是圍繞私鑰與合約漏洞展開的。

LayerZero的安全隱患

下面，我們來談談最近比較火的跨鏈項目LayerZero，以及基于該協議的第一個跨鏈應用stargate。

截至發稿時，stargate的池子里已經有了價值33.8億美元的穩定幣。

SEC主席：加密貨幣市場存在 \"中心化 \"現象:金色財經報道，美國證券交易委員會主席加里·詹斯勒并不認為去中心化是加密貨幣市場的一個事實，盡管數字貨幣的起源是為了規避中央集權。Gensler表示，中央中介機構傾向于從規模、網絡效應和訪問有價值的數據中受益。盡管技術創新不斷顛覆現有的商業模式，但集中化仍傾向于重新出現。

Gensler警告說:“我們甚至在加密市場上看到了中心化，這是建立在去中心化思想基礎上的。這個領域實際上在市場中間的中介機構中非常集中。因此，我們必須對那些集中度和潛在經濟租金已經或未來可能上升的領域保持警惕。”

Gensler要求交易所介入并詢問證券監管機構，他們是否不清楚加密貨幣或代幣是否可以被視為證券，并表示SEC可以在個案基礎上研究是否需要對特定項目進行豁免。（the block）[2022/10/25 16:37:40]

然而，該跨鏈項目的安全隱患問題同樣令人擔心。

例如，上周Optimism團隊向其發出警告，稱有人開始嘗試對Stargate進行不尋常的攻擊，隨后stargate團隊向samczsun等白帽黑客發起求助，后來修復了這個嚴重漏洞。而Stargate的問題不止于此，前幾日，Stargate被曝其核心合約都是由一個EOA地址私鑰控制的，這意味著如果這個私鑰遭到泄露，或者項目方想要作惡，那后果將不堪設想。

目前，盡管Stargate已經改成了2/3多重簽名機制?，但其依然有可能會遭遇類似RoninNetwork這樣的管理密鑰攻擊風險。

那跨鏈橋的安全問題那么多，真的就沒有希望了嗎？

信任最小化的跨鏈橋

并非那么絕對，只是說我們仍處于跨鏈的早期階段，而通過采用trustless的方式，我們可以降低一些潛在的攻擊面，以此提升系統的安全性。

1、依靠欺詐證明的Nomad

例如，Nomad采用的是一種樂觀機制來提高跨鏈通信的安全性，其避免使用新的密碼學，并依靠欺詐證明和發布證明?來防止通道失敗。

該協議的設計核心是revocation而不是permission，這意味著密鑰管理者只能撤銷訪問，而不能允許訪問，換句話說，即便攻擊者控制了系統所有的管理密鑰，他也無法竊取資金，而他能夠做的最糟糕的事就是DoS攻擊整個網絡。

注：Nomad依然有可能會存在合約漏洞風險。

2、采用輕客戶端的IBC、Near彩虹橋等

多年來，采用輕客戶端&中繼的跨鏈通信協議被證明是當前最安全的跨鏈方式，例如Cosmos生態的IBC通信協議，其安全性就來自Tendermint共識的最終性，其設計沒有引入需要信任的第三方，握手首先在想要連接的兩個鏈之間啟動，然后確認。為了確認交易，一條鏈的有效性規則直接編碼到另一條鏈上的IBC輕客戶端中，并根據這些規則執行狀態驗證。

然后，輕客戶端可以根據交易對手鏈的最新一致狀態驗證與交易相關聯的區塊頭的Merkle證明，從而驗證ibc交易另一端鏈的狀態。

這種狀態驗證技術，以及來回傳遞數據包的中繼器運營商的實時網絡，確保IBC保持高度安全且無需許可。

然而，采用輕客戶端的方式，意味著IBC目前只能局限于其生態之內，而無法有效擴展到以太坊等EVM生態。

除此之外，通過IBC進行跨鏈，也并非是絕對安全的，正如Vitalik在2個月前撰寫的一篇帖子?里提到，當跨鏈協議連接的區塊鏈越多，問題就會變得越遭，如果有100條區塊鏈通過IBC互相連接，那么這些鏈之間就會有許多相互依賴的dapp，而51%攻擊其中一條鏈，也會造成系統性傳染，從而威脅整個生態系統的經濟。

再來回顧一下文章開頭的那句話：跨鏈互操作性的安全性，取決于其最薄弱的鏈接。這實際上也意味著，Cosmos生態在不解決共享安全的情況下，就很難實現更多長尾鏈的擴展，而這也是Cosmos在今年的重點。

當然，Vitalik也提到了，這些問題不會立即出現，51%攻擊任何一條PoS鏈，代價都是很大的，但他的提醒，確實是值得我們關注的。

3、信任最小化的rollup跨鏈橋

再來簡單談談目前以太坊生態最依賴的rollup跨鏈橋，相比側鏈跨鏈橋，當前的rollup跨鏈橋可能看上去并沒有什么本質上的不同，兩者都會依賴n-of-m聯邦信任模型，但rollup跨鏈橋可以隨著發展去掉這個信任模型，而最終的風險點在于智能合約本身，而側鏈的跨鏈橋，當前只能依賴這個聯邦信任模型，同時還會面臨智能合約風險以及51%攻擊風險。

一些簡單的建議

跨鏈的水太深了，幾乎每種方案都會面臨多種潛在的攻擊方式，而系統設計的越是復雜，遭遇攻擊的可能性也就越大，因此，筆者并不建議通過現有的跨鏈橋在各個公鏈之間轉移過多的資產。如果實在有需求，那我會建議采取以下幾種方式，以降低遭遇攻擊的風險；

通過較安全的中心化交易所，兌換對應鏈的原生資產，然后將其提取到相應鏈，以避免可能的智能合約風險。采用信任最小化的跨鏈橋，例如IBC、Nomad以及成熟的rollup跨鏈橋。暫時不看TVL指標，這個值越高，跨鏈橋被黑客攻擊的可能性也就越大。采用長期存在，并且從未出過安全事故的跨鏈橋，同時盡量避免使用不同生態之間的跨鏈橋。最后，衷心希望跨鏈橋能夠越來越安全。

Tags：ETHIBCstETHSTE女生用ethereal當網名什么寓意ibc幣今日行情steth幣今日價格stepn幣價格

MEXC