Wormhole遭受攻击,跨链桥敲响安全警钟
会飞的鱼
0x3C1F
February 3rd, 2022

本文由区块链世界采编,作者会飞的鱼

2 月 3 日,跨链协议 Wormhole 发推文称遭黑客攻击,本次攻击事件中损失达 12 万枚 ETH(约合 3.26 亿美元),目前 8 万枚 ETH 已转移至以太坊网络,其余 4 万枚 ETH 保留在 Solana 上,Wormhole 已因紧急维护停止服务,目前团队已经修复漏洞,将尽快恢复网络运行。

此次问题出在跨链桥上。

区块链网络安全公司CertiK对此进行了分析,迄今为止,黑客攻击者至少盗走价值2.51亿美元的以太币,近4700万美元的Solana币,超过400万美元的稳定币USD。

QuikNode的联合创始人Auston Bunsen指出,像 Wormhole这样的桥梁通过两个智能合约来工作——每条链上有一个智能合约,Solana上有一个智能合约,以太坊上也有一个智能合约。

这样,Wormhole就可以接收以太坊代币,将其锁定在一个区块链上的一个合约中,然后在桥的另一边链上,它会发出一个并行的代币。通常,并行以太币与原始币的价值挂钩,但可以与其他区块链互操作。

CertiK的初步分析显示,黑客攻击者利用了Wormhole桥Solana侧的一个漏洞,为自己创建了12万个所谓的“包装”以太坊代币(即假币)。随后黑客们似乎使用这些被包装过的代币来要求换取桥上以太坊一侧持有的真正以太币。

在此次攻击前,Solana区块链上的以太币和包装以太币的比例为1:1,“本质上是一种托管服务”。但这次攻击后,这种兑换关系被打破了,因为桥梁方缺了至少93750个以太币作为抵押品。

随着DeFi的崛起,大量的应用都需要跨链桥,而跨链技术在未来的使用将会越来越频繁。当前,跨链桥产品在市场上已初具规模,在安全性方面也面临着较大的挑战。
跨链桥安全问题频发
CertiK在该事件发生后的一份报告中指出,当一个“桥梁”拥有数亿美元的托管资产,并在两个或多个区块链上操作,这就增加了它们可能被攻击的管道,从而可能成为黑客们的主要攻击目标。

CertiK联合创始人Gu Ronghui表示,“Wormhole的3.2亿美元黑客攻击,凸显了针对区块链协议的攻击日益增长的趋势…这次袭击敲响了人们对区块链安全问题日益担忧的警钟。”

此前,区块链安全专家TitaV提到,2021年跨链桥项目安全问题频发,跨链桥已经成为安全事件的重灾区。2021年8 月 10 日晚间,跨链互操作性项目 Poly Network 突遭黑客攻击,损失金额高达 6.1 亿美元。如果按照事件发生时相关资产的市场价格计算,这不仅仅是 DeFi 历史上涉案金额最大的黑客事件,更是整个加密货币历史上涉案金额最大的黑客事件。

根据 PeckShield 的统计,截至2021n年 8 月 12 日,2021 年第三季度共计发生了 19 起 DeFi 安全事件,其中跨链相关协议共六次被黑,除了 Poly Network 外,还有 ChainSwap、AnySwap、THORChain 等。从数额上看,即便是不计入数额爆表的 Poly Network 事件,资金损失总额也高达 3280 万美元,高于其他所有类别。

V神多次指出跨链的安全漏洞
V神 一直对跨链桥方案持反对意见。

1月20日,在一档线上采访节目上,Vitalik Buterin 再次强调跨链存在很大安全问题.他提到在单链中,您可以方便的恢复链,每个人都可以把资产恢复到初始状态。在多条链的情况下,如果资产出问题了,链的恢复问题就很大。

此前,在推特推文中,Vitalik Buterin 表达了同样的观点,他表示反对以太坊和其他区块链使用跨链解决方案,支持多链未来。

在他的推文中恰当地说:“现在,想象一下如果你将 100 ETH 移到 Solana 上的一座桥上以获得 100 Solana-WETH,然后以太坊受到 51% 的攻击,会发生什么情况。攻击者将一堆自己的 ETH 存入 Solana-WETH,然后在 Solana 方确认后立即在以太坊方恢复该交易。Solana-WETH 合约现在不再完全支持,也许你的 100 Solana-WETH 现在只值 60 ETH。即使有一个完美的基于 ZK-SNARK 的桥梁来完全验证共识,它仍然容易受到此类 51% 攻击的盗窃。”

如何应对安全挑战
综合来看,跨链相关协议之所以容易屡遭攻击,大致可分为三层原因:

随着赛道的高速发展,其承载的资金量也在快速膨胀;

赛道仍处于新兴阶段,各项细节仍待优化;

跨链相关协议往往涉及到多条链和多个合约之间的交互,流程上相对复杂,风险点较多。

针对以上问题,我们应该从以下几个方面应对:

对于项目方来说,首先寻求专业机构有效地排查出已知的漏洞,为协议的安全筑建第一道防线。

其次,还要注意排查与其他 DeFi 产品进行组合时的业务逻辑漏洞,避免出现跨合约的逻辑兼容性漏洞。

再次,还要设计一定的风控熔断机制,引入第三方安全公司的威胁感知情报和数据态势情报服务,在 DeFi 安全事件发生时,能够做到第一时间响应安全风险,及时排查封堵安全攻击,避免造成更多的损失。

最后,应联动行业各方力量,搭建一套完善的资产追踪机制,实时监控相关虚拟货币的流转情况。

Subscribe to 会飞的鱼
Receive the latest updates directly to your inbox.
Verification
This entry has been permanently stored onchain and signed by its creator.
Arweave Transaction
4YRbztMJRuMVuGz…Tm_lnxZv89EfcPU
Author Address
0x3C1Fcb0fbDD3ceE…B6f023f38cf5A7C
Content Digest
nDwEFcnoqTbN0TR…EEufJ5dEpFwDtP8