原文標題:為什么LP跨鏈機制更安全?
原文來源:HurricaneSwap
這次 O3 的盜幣事件把跨鏈安全問題推向了風口浪尖。
8 月 11 日凌晨,黑客在以太坊網絡上自問自答中寫道:「為什么選擇攻擊 Poly Network?因為近期跨鏈協議攻擊很『火』。」
「攻擊跨鏈」的確很火
據 PeckShield 統計,截止目前 2021 年第三季度就發生了 19 起 DeFi 安全事件,其中 6 起發生在跨鏈協議上,相關損失達 6.44 億美元位居榜首;其次是以太坊,達到 2,937 萬美元;Polygon 位列第三,造成損失 122 萬美元。
可見,即使剔除本次 O3 事件涉及的 6.11 億美元,跨鏈協議安全事件造成的損失依然是 DeFi 領域最高的。從另一角度看,涉及跨鏈的安全事件頻發、金額巨大所反映出的恰恰是跨鏈協議本身的火熱。
跨鏈 DEX 的出現使得過去 DeFi 用戶需要繞道中心化交易平臺的異鏈 token 交易變得簡單快捷。傳統方式下,跨鏈交易需耗費短則數十分鐘長則數日的時間,并花費多筆大額手續費。而只需 2-3 步,快至秒級交易的跨鏈 DEX 在這一場景下深受用戶認可。但近期頻發的安全問題則讓用戶意識到在效率、費率之外,安全問題可能是選擇跨鏈 DEX 的重中之重。
Axie Infinity:跨鏈橋問題導致以太坊鏈上一些存款被卡,暫無法發送到Ronin鏈上錢包:7月2日消息,Axie Infinity官方在社交媒體上發文表示,由于跨鏈橋問題導致以太坊區塊鏈上的一些存款被卡,因此資金不會被發送到Ronin鏈上錢包,但這些資金不會丟失。
Axie Infinity已經確定了問題并正在研究解決方案,預計將會對網橋進行更新,而且已經在驗證者的支持下啟動流程,預計更新將在下周末進行。目前很難說這個問題多久會發生一次,僅知道跨鏈橋開通以來出現過兩次,一旦解決方案到位,當前被卡的存款會被發送到指定Ronin錢包。[2022/7/2 1:46:36]
跨鏈 DEX 可能有哪些潛在風險?
從 PeckShild 統計的一份數據來看,近兩個月集中爆發的跨鏈安全問題主要出在協議的「邏輯錯誤」上:
1、假充值漏洞——THORChain 攻擊事件
穩定幣跨鏈橋Symbiosis推出無縫互操作性功能:5月31日消息,穩定幣跨鏈橋Symbiosis推出無縫互操作性功能,該功能是跨鏈Zaps的提升。據悉,跨鏈Zaps可實現流動性自動化,即用戶可以投資于各種yield protocols(AAVE、Cream等)。
Symbiosis表示,跨鏈橋缺乏互操作性,不是問題的最終解決方案。每種橋接技術都在便利性、速度、安全性和信任假設方面做出了設計妥協。而無縫互操作性功能旨在解決該問題。
首先通過跨鏈zaps的方式將LP供應自動化到Symbiosis穩定池中。流動性供應只是使用方式的一個參考,而跨鏈zaps可以應用于任何DeFi協議、NFT等。且團隊大大簡化了為協議增加流動性的過程。任何項目都可以來使用Symbiosis來實現互操作性。[2022/5/31 3:53:00]
假充值漏洞是指黑客通過充值虛假的 Token,以此欺騙合約來讓跨鏈橋為黑客生成真實的 Token。THORChain 曾遭受假充值攻擊,其原因在于檢驗代幣地址的函數中,初始化的代幣符號為 ETH,攻擊者在以太坊鏈上偽造了一個符號為 ETH 的 ERC-20 代幣,欺騙跨鏈橋并獲取了真實的 ETH 代幣。
跨鏈資產網絡Orbit Chain與Celo基金會達成合作:10月30日消息,跨鏈資產網絡Orbit Chain與Celo Foundation達成合作。Celo將作為始發鏈被集成到Orbit橋,Orbit橋還將支持其相關代幣。這意味著Celo用戶可以通過Orbit橋直接將代幣從Celo鏈橋接到其他鏈。這種橋接將從Klaytn和Orbit鏈開始,并將在未來包括其他Orbit橋連接的區塊鏈,如以太坊、BSC、HECO和Polygon。Orbit橋支持的首批Celo代幣將是Celo和cUSD。
Orbit Chain表示,期待將Celo資產作為整體帶到其社區,還將在年底前宣布與Celo的進一步集成,以將Klaytn的資產連接到Celo生態系統中。[2021/10/30 6:21:42]
2、多簽漏洞+配額漏洞——ChainSwap 第二次被盜
ChainSwap 第二次被盜是因為跨鏈橋的白名單地址配額是由節點自動增加,但是在檢驗白名單時,原本需要的多簽地址因配置錯誤成為單簽,惡意攻擊者只需要通過跨鏈轉入時的多重簽名中的其中一個,調用另一鏈上的 Receive 函數即可轉走資產。
中國跨鏈一體化數字藝術品IDA以13755.53美元成交:北京時間11月18日20:00,由具有350年歷史榮寶齋出品編號#800002#00001的傅抱石《待細把江山圖畫》1:1限量版精品復制一體化數字藝術品(Integrated Digital Art,簡稱IDA),通過跨鏈技術正式登錄OpenSea。在店鋪EASTIP上經過2個小時的競拍,最終以13755.53美元成交。中國傳統藝術品“跨鏈”全球化后。中國傳統藝術品首次通過與區塊鏈進行結合進入全球市場,讓世界看見東方藝術。[2021/11/19 22:03:55]
3、足額兌付風險
以 OK 鏈(OEC)的 BNB 為例。Anyswap 跨鏈橋為 OEC 發行了 BNB,但是該 BNB 并非由官方發行而是 Anyswap 發行的,由于 BNB 本身并不支持 OEC 公鏈,OEC 上的 BNB 也并不等價于 BSC 上的 BNB。OEC 與 BSC 作為不同的公鏈,OEC 本身是無法產出任何 BNB 的,在 OEC 上的 BNB 實際上是由 Anyswap?發行的、流通于 OEC 的 BNB「債券」。
NEW ERA跨鏈橋已正式上線,可橋接以太坊和幣安智能鏈生態:10月21日消息,以太坊二層項目NEW ERA跨鏈橋已正式上線,可將以太坊生態和幣安智能鏈生態橋接起來,提升雙方的互操作性和Token的流動性。目前其第二階段也已開始,屆時用戶可以通過該資產橋實現跨層資產轉移,且無需等待原生橋的挑戰期。在Beta版本階段,NEC將以優惠手續費的方式向社區提供資產跨層服務。[2021/10/21 20:46:27]
4、私鑰泄漏風險——Anyswap 攻擊事件
Anyswap?被攻擊的最主要原因是簽名使用了重復的 R 值。如果同一賬戶簽名的兩筆交易擁有相同的 rsv?簽名的 R 值,則黑客可以反向推導出該賬戶的私鑰。由于該賬戶在 BSC、ETH 和 FTM 上可以復用,故該賬戶多條鏈上資產被盜。值得注意的是,這也和單一賬戶權限過大有關。
5、閃電貸套利——bEarn Fi 事件
攻擊者通過閃電貸借出 BUSD,通過 Alpaca Finance 的借貸生成 ibBUSD,并通過 bEarn Fi 的合約策略漏洞,利用 ibBUSD 價格高于 BUSD 的差價,進行套利攻擊。
6、Keeper(Relayer)替換+簽名偽造——O3 攻擊事件
攻擊者通過將替換 Keeper 的交易偽裝為正常的跨鏈交易,替換了 Poly Network 中跨鏈中繼人 Keeper 的地址為自己的地址,加上中繼人校驗函數校驗難度不足,僅檢查了 4 Bytes 字節,攻擊者在偽造 Keeper 后通過碰撞形式碰出符合要求的 4 Bytes 后成功將自己的地址偽造為了 Keeper 地址并通過簽名,調用 LockProxy 合約洗劫了整個 Poly Network 的跨鏈資產。
風險防范從協議做起
以上 6 種風險便是新誕生的 LP 跨鏈協議項目 HurricaneSwap 的安全小組所總結的。作為相對傳統單幣跨鏈全面升級的 LP 跨鏈協議,部署在 Avalanche 公鏈上的 HurricaneSwap 擁有區塊鏈行業最頂端的架構顧問——Ted Yin,HotStuff 共識第一作者,現任 Avalanche 公鏈首席架構師。
從上述我們可以看到,這些受到攻擊的跨鏈協議多數都存在自身協議漏洞或邏輯錯誤,要做好充分預防,跨鏈 DEX 的安全部署無疑要做到協議級。針對以上風險,行業頂層團隊所構造的更先進的 LP 跨鏈協議 HurricaneSwap 早已做好了自己的保障方案:
1、假充值漏洞:在派盾針對 HurricaneSwap 的代碼審計中已明確沒有假充值風險。同時,HurricaneSwap 對 Station 中支持的可跨鏈幣種有嚴格的幣種限制和合約地址限制,避免假充值漏洞。
2、多簽與配額漏洞風險:HurricaneSwap 的合約代碼中目前沒有掠奪用戶 LP 資產的代碼,詳情可見派盾審計報告,不存在通過多簽來提取用戶流動性的可能。
Chainswap 等流動性跨鏈橋通過合約中存入 Token 來鑄造跨鏈映射 Token 完成跨鏈,白名單用戶依賴配額在 Chainswap 中存入和提取流動性。HurricaneSwap 并無硬性配額上限設置,用戶提取流動性的上限源自其所擁有的 LP Token,避免了多簽及配額漏洞。
3、兌付風險:HurricaneSwap 的 aToken 是源鏈資產的映射,目前用戶可以通過查閱 Station 合約中鎖住的流動性資產數量與 HurricaneSwap 中發行的 aToken 數量來比對二者是否 1:1 發行。未來我們也會通過與 Chainlink 合作來賦予 aToken 更穩定的剛性兌付特性
4、私鑰泄露風險:HurricaneSwap 吸取了 Anyswap 私鑰泄漏的風險,交易中不存在重復 R 值的簽名,避免出現攻擊者反推密鑰的情況。其次,團隊在部署合約階段使用了專用的密鑰管理工具,避免明文儲存私鑰導致的泄漏風險。
5、閃電貸風險:閃電貸攻擊獲利的核心方式是價格差距。HurricaneSwap 采用預言機喂價方式實時更新流動性池價格與它鏈代幣價格,避免閃電貸操縱價格引起波動,未來也會引入熔斷機制,通過暫停相關代幣合約的調用,進一步預防閃電貸攻擊。
此外,?HurricaneAlliance 節點會根據代幣價差進行套利,調控交易對價格。如果閃電貸攻擊導致某一代幣價格劇烈波動,節點會出面套利并降低價格差距,降低攻擊者的攻擊收益。
6、Relayer 替換與哈希碰撞風險:HurricaneSwap 中與 Keeper 功能類似的存在是 Roke Protocol 主賬戶。Roke Protocol 無法操控 LP 鎖定在 Station 中的流動性;另一方面,執行 aToken mint 和 burn 的操作賬戶僅限?Roke Protocol Owner 賬戶,不存在通過替換 Roke Protocol 來偽造 aToken。
HurricaneSwap:天生優勢+安全加持
之所以將單幣跨鏈革新為 LP 跨鏈,主要原因之一就是 HurricaneSwap 團隊看到了目前跨鏈機制的風險。作為更先進的一種跨鏈機制,HurricaneSwap 的 LP 跨鏈協議與傳統單幣跨鏈相比有著天然的安全優勢,其最根本的區別在于 LP 機制下攻擊者無法通過單幣跨鏈逃逸資產。
除 LP 機制本身所具有的安全特性,HurricaneSwap 還通過 Roke Protocol、Hurricane Station 以及聯盟節點 HurricaneAlliance,從跨鏈資產的價差、LP 權限和去中心化安全驗證等方面對資產進行全方位的安全防護。而在這些安全機制的背后,更有 Ted Yin 等行業頂尖的成員為項目構造協議、代碼和邏輯的底層保障。
新事物的出現都是伴隨風險的。本次 O3 事件中黑客有一句話說的很對,這次攻擊其實也給 O3 項目和 DeFi 行業再次敲響了警鐘。
沒有人天生喜歡作惡,除非你把機會放在他眼前。
Tags:SWAPCANEICAHURESWAP幣Hurricane Financeshibmerican幣怎么樣CHURCH
在加密貨幣和區塊鏈領域有許多投資渠道,而每個人的投資口味都不相同,有的喜歡冒險型,有的喜歡低風險型,如果你不喜歡投資加密貨幣這樣價格波動性太大的投資,毛球科技融資部建議.
1900/1/1 0:00:00近期美國參議院通過了基礎設施法案,包含了一些會對加密貨幣行業產生負面影響的條款。上周,Compound總法律顧問Jake Chervinsky在Bankless播客節目中分享了他對加密貨幣監管的.
1900/1/1 0:00:00元宇宙是一個沉浸式的虛擬空間,用戶可以在其中進行社交、創作、娛樂等活動,其最核心的架構在于對虛擬身份和虛擬資產的承載,而NFT在元宇宙中也可以被用來進行數字身份、創作內容、物品的確權.
1900/1/1 0:00:00過去幾周,NFT版塊價格飆升,其中CryptoPunk處于絕對領先地位。CryptoPunk是24 x 24像素的圖片NFT,總量限制在10000個.
1900/1/1 0:00:00在過去的一個月里,比特幣的價格上漲了1.5倍。8月23日上午,首個加密貨幣的成本自5月中旬以來首次超過5萬美元.
1900/1/1 0:00:00美國證券交易委員會 (SEC) 主席 Gary Gensler 表示,該機構可以監管去中心化金融 (DeFi) 項目.
1900/1/1 0:00:00