SOL:DeFi 不可承受之重:跨链桥已成“黑客提款机”_区块链技术通俗讲解无中介

当AxieInfinity和DeFiKingdoms等游戏类DApp维持着像Ronin和Harmony等整个生态系统时,Fantom或Avalance等网络协议已经在DeFi浪潮中赚的盆满钵满。这些区块链已成为以太坊汽油费和相对缓慢的交易时间的重要替代品。想要一种简单的能在不同区块链上的协议之间移动资产的方法变得比以往任何时候都更加迫切。

这就是区块链跨链桥的诞生之地。

由于多链场景的应用,所有DeFiDApp的总锁定价值飙升。截至2022年5月,该行业的TVL估计为1112.8亿美元。这些DeFiDApp中锁定和桥接的庞大资产吸引了恶意黑客的注意力,最新趋势表明,攻击者可能已经在区块链网桥中发现了薄弱环节。

根据Rekt数据库,2022年第一季度有12亿美元的加密资产被盗,根据同一来源,占历史被盗资金的35.8%。有趣的是,2022年至少80%的损失资产是从链桥上被盗的。

最严重的攻击之一发生在3月份,当时Ronin桥被黑客入侵,损失了5.4亿美元。在此之前,SolanaWormhole和BNBChain的QubitFinance桥在2022年被盗了超过4亿美元。加密历史上最大的黑客攻击发生在2021年8月,当时PolyNetwork桥被盗了6.1亿美元,但被盗资金后有被追回。

链桥是区块链行业中最有价值的工具之一,但它们的互操作性对构建它们的项目提出了重要挑战。

1inch:分配给解析器激励计划的1000万枚INCH已启动发放:1月26日消息,DEX聚合器1inch Network表示,此前分配给解析器激励计划的1000万枚INCH Token已启动发放,旨在激励更多1INCH利益相关者将其UnicornPower委托给解析器,同时补偿解析器为满足用户的Fusion订单而支付的Gas费用。

据悉,每个解析器收到的Token数量将取决于其网络份额,预计每周将分发25万枚1INCHToken。此前消息,去年12月,1inch宣布推出1inch Resolver激励计划,旨在为补偿解析器为满足用户的Fusion订单而支付的Gas费用。该计划于2022年12月24日启动,总计将发放1000万枚1INCH Token。[2023/1/26 11:30:44]

了解区块链桥梁

类似于曼哈顿桥,区块链桥是连接两个不同网协议络的平台,可实现资产和信息从一个区块链到另一个区块链的跨链传输。通过这种方式,加密货币和NFT不会孤立在其本链中,而是可以跨不同的区块链「桥接」,从而增加这些资产的利用途径。

幸亏有链桥的存在,比特币可被用于基于智能合约的网络中,用于DeFi目的或者让NFL、NFT可以从Flow桥接到以太坊以进行细分或作为抵押品。

当然,想要转移资产还有一些其他不同的方法。比如?Lock-and-Mint,顾名思义其桥接的工作原理就是将原始资产锁定在发送方的智能合约中,而接收网络在另一方铸造原始代币的副本。如果以太币从以太坊桥接到Solana,那么Solana中的以太币只是副本,而不是以代币本身。

安全团队:Reaper Farm项目遭到攻击事件解析,项目方损失约170万美元:据成都链安“链必应-区块链安全态势感知平台”安全舆情监控数据显示,Reaper Farm项目遭到黑客攻击,成都链安安全团队发现由于_withdraw中owner地址可控且未作任何访问控制,导致调用withdraw或redeem函数可提取任意用户资产。攻击者(0x5636e55e4a72299a0f194c001841e2ce75bb527a)利用攻击合约(0x8162a5e187128565ace634e76fdd083cb04d0145)通过漏洞合约(0xcda5dea176f2df95082f4dadb96255bdb2bc7c7d)提取用户资金,累计获利62ETH,160万 DAI,约价值170万美元,目前攻击者(0x2c177d20B1b1d68Cc85D3215904A7BB6629Ca954)已通过跨链将所有获利资金转入Tornado.Cash,成都链安链必追平台将对被盗资金进行实时监控和追踪。[2022/8/2 2:54:19]

锁定和铸币机制|来源:MakerDAO

虽然Lock-and-Mint方法是目前最流行的桥接方法,但还有其他方法可以完成资产转移,例如「burn-and-mint」或由智能合约自行执行两个网络之间交换资产atomicswaps。Connext和cBridge是依赖于atomicswaps的链桥。

动态 | 以太坊域名服务ENS将加入多代币支持,未来可解析至比特币地址:go-ethereum和以太坊域名服务(ENS)核心开发者Nick Johnson今天在Twitter 宣布,已经提交了ENS以太坊域名的多代币支持,该提议通过后ENS以太坊域名将支持解析域名到多个区块链地址,其中甚至可以包括比特币地址。这也意味着,ENS以太坊域名将可能成为跨链的域名系统,用户可以通过一个域名在多个区块链间互通,未来只需要向其他人展示自己的ENS以太坊域名即可。目前已经有多个数字加密货币钱包支持ENS以太坊域名,在使用以太坊钱包进行转账时,不需要再输入冗长的以太坊0x 地址,而只需要输入短地址即可。[2019/9/9]

从安全的角度来看,链桥可以分为两大类:受信任和去信任。受信任的链桥是依赖第三方来验证交易的平台,但更重要的是,它可以充当桥接资产的保管人。几乎所有特定于区块链的桥梁都可以找到可信桥梁的案例,例如BinanceBridge、PolygonPOSBridge、WBTCBridge、AvalancheBridge、HarmonyBridge、Terra?ShuttleBridge,以及Multichain或Tron的JustCryptos等DApps。

相反,纯粹依靠智能合约和算法来托管资产的平台是去信任的链桥。去信任链桥的安全因素与资产被桥接的底层网络相关,即资产被锁定的地方。在NEAR的RainbowBridge、Solana的Wormhole、Polkadot的SnowBridge、CosmosIBC以及Hop、Connext和Celer等平台中可以找到去信任的链桥。

分析 | 资金流入榜首DASH盘面解析:在过去24小时中,DASH在各主流币中非常强势,资金净流入31.97亿人民币。从图中可以看出,DASH目前4小时走势处于上升楔形三角中,底部不断抬高,100均线上穿长期200均线,表明近期压力位将会上移,并且MA100和MA 200将会对币价起到支撑作用,不过目前两均线的缺口在收窄,说明近期上冲动能在逐步减弱,RSI显示进入超买区域,短期有回撤蓄势的需求,上方压力95,下方支撑89,收盘若站稳89上方,还会有上涨空间,反之币价可能回撤至三角底部$75附近寻求支撑。利好消息面,区块链支付服务PolisPay宣布与Dash合作,将支持其万事达卡借记卡。[2019/3/13]

乍一看,去信任链桥似乎为在区块链之间转移资产提供了更安全的选择。然而,受信任和去信任的链桥都面临着不同的挑战。

受信任和去信任链桥的局限性

Ronin链桥作为一个集中的受信任运行平台,该链桥使用多重签名钱包来托管桥接资产。简而言之,多重签名钱包是一个需要两个或两个以上加密签名来批准交易的地址。在Ronin的案例中,侧链有九个验证者,需要五个不同的签名来批准存款和取款。

其他平台使用相同的方法,但风险分散性更好一点。例如,Polygon依赖于8个验证器并需要5个签名。这五个签名由不同各方控制。就Ronin而言,SkyMavis团队单独持有四个签名,造成单点故障。黑客一次性控制了四个SkyMavis签名后,只需要一个签名就可以批准资产的提现。

动态 | 浙江大学携手剑桥大学发布区块链生态深层解析报告:近期,浙江大学互联网金融研究院携手剑桥大学新兴金融研究中心发布区块链生态深层解析报告《Distributed Ledger Technology Systems-A Conceptual Framework》的中文版——《分布式账本技术系统:一个概念框架》。浙大AIF副院长杨小虎指出,该报告不仅阐明了如何识别DLT系统,分析和比较现有的DLT系统,还通过六个实例为新系统设计提供有用的借鉴。[2018/8/17]

3月23日,攻击者控制了?Axie?DAO的签名,这是完成攻击所需的最后一部分。在有史以来第二大加密攻击中,173600ETH和2550万USDC通过两次不同交易从Ronin的托管合约中流失。值得注意的还有,SkyMavis团队在近一周后才发现黑客攻击,这表明Ronin的监控机制至少存在一定不完善的地方,这也揭示了这个受信任平台的一个缺陷。

虽然集中化存在一个根本缺陷,但由于软件和编码中的错误和漏洞,去信任的链桥也很容易受到攻击。

SolanaWormhole是一个实现Solana和以太坊之间跨桥交易的平台,在2022年2月遭受了攻击,由于Solana的托管合同中的一个漏洞,3.25亿美元被盗。虫洞合约中的一个漏洞允许黑客设计跨链验证器,攻击者从以太坊向Solana发送了0.1ETH,以触发一组「传输消息」,诱使程序批准假定的12万枚ETH存款转移。

由于合同分类和结构存在缺陷PolyNetwork于2021年8月被盗6.1亿美元后,Wormhole黑客事件发生。该DApp中的跨链交易由称为「守护者」的集中节点组批准,并通过网关合约在接收网络上进行验证。在这次攻击中,黑客能够获得作为管理员的特权,从而通过设置自己的参数来网关。攻击者在Ethereum、BinancDe、Neo和其他区块链中重复该过程以提取更多资产。

所有的桥梁都通向以太坊

以太坊仍然是行业中最主要的DeFi生态系统,占行业TVL的近60%。与此同时,这些不同的网络协议作为以太坊DeFiDApp替代品,它们的兴起也引发了区块链桥的跨链活动。

业内最大的桥是WBTC桥,由RenVM背后的团队BitGo、Kyber和RepublicProtocol托管。由于比特币代币在技术上与基于智能合约的区块链不兼容,因此WBTC桥“包装”原生比特币,将其锁定在桥托管合约中,并在以太坊上铸造其ERC-20版本。这座桥在DeFiSummer大受欢迎,现在持有价值约125亿美元的比特币。WBTC允许将BTC用作Aave、Compound和Maker等Dapp的抵押品,或者在多种DeFi协议中产生收益或赚取利息。

Multichain,以前叫Anyswap,是一个DApp,它通过内置的链桥向40多个区块链提供跨链交易。Multichain在基于所有连接的网络基础上持有65亿美元。然而,以太坊的Fantom桥是迄今为止最大的池,它锁定了35亿美元。在2021年下半年,Proof-of-Stake网络因为拥有有吸引力的收益农场,包括FTM、各种稳定币或像SpookySwap上发现的wETH,使之成为一个受欢迎的DeFi领域。

与Fantom不同,大多数L1区块链使用独立的直接网桥连接网络。Avalanche桥主要由Avalanche基金会托管,是最大的L1<>L1桥。Avalanche是最强大的DeFi领域之一,因为其拥有包括TraderJoe、Aave、Curve和PlatypusFinance等Dapp。

Binance桥也以45亿美元的锁定资产脱颖而出,紧随其后的是SolanaWormhole,其TVL为38亿美元。

同样,就TVL而言,Polygon、Arbitrum?和Optimism等扩展解决方案也是最重要的桥梁之一。PolygonPOS桥是以太坊及其侧链之间的主要入口点,是第三大桥,托管了近60亿美元。同时,Arbitrum和Optimism等流行的L2平台的链桥的流动性也在上升。

另一个值得一提的桥是NearRainbow桥,旨在解决著名的互操作性三难困境。这个将Near和Aurora与以太坊连接起来的平台可能会为实现去信任链桥的安全性提供宝贵的机会。

如何提升跨链安全性

作为托管桥接资产的两种方法,受信任桥接和去信任桥接都容易存在基础面和技术面的缺陷。尽管如此,仍有一些方法可以防止和减少由黑客对区块链的恶意破坏造成的影响。

在受信任链桥的情况下,很明显需要增加所需签名者的比例,同时还要让多重签名分布在不同的钱包中。尽管去信任的链桥消除了与中心化相关的风险,但仍然存在漏洞和其他技术限制的风险情况,如SolanaWormhole或QubitFinance漏洞利用案例所示。因此,有必要实施链下行动以尽可能保护跨链平台。

协议之间的合作是很有必要的。Web3空间的特点是其社区联合性,因此让业内最聪明的人共同努力使该空间成为一个更安全的地方求之不得。AnimocaBrands、Binance和其他Web3品牌筹集了1.5亿美元,以帮助SkyMavis减少Ronin桥由于黑客攻击的带来的财务危机。通过共同努力协作可以为多链未来将互操作性提升到一个新的水平。

同样,与链分析平台和CEX的协调合作有助于追踪和标记被盗的Token。这种情况可能会在中期抑制犯罪分子的积极性,因为将加密货币兑现为法定货币的网关应该由已建立的CEX中的KYC程序控制。上个月,两名20岁的年轻人在NFT领域实施后受到法律制裁。同样应该对已确认身份的黑客要求同样的惩罚才是公平的。

审计和漏洞赏金也是改善任何Web3平台安全状况的另一种方式。Certik、Chainsafe、Blocksec等认证组织有助于使Web3交互更安全。所有链桥活动都应由至少一个认证组织进行审核。

同时,漏洞赏金计划在项目及其社区之间创造了协同效应。白人黑客在其他黑客进行恶意攻击之前识别漏洞方面发挥着至关重要的作用。例如,SkyMavis最近推出了一项价值100万美元的漏洞赏金计划,以加强其生态系统的安全性。

结论

激增的L1和L2解决方案作为整体区块链统挑战以太坊DApp的生态系统,它们激增催生了通过跨链在网络之间移动资产的需求。这是互操作性的本质,也是Web3的支柱之一。

尽管如此,当前的可互操作场景依赖于跨链协议,而不是多链方法,Vitalik在今年年初对这种情况发出了。尽管对空间互操作性的需求非常明显,仍需要在此类平台中采取更强大的安全措施。

不幸的是,挑战不会轻易克服。受信任和去信任的平台都存在设计缺陷。这些固有的跨链缺陷已经变得显而易见。截至目前为止,在12亿美元的黑客攻击中损失中,超过80%通过有漏洞的链桥被盗取。

此外,随着行业价值的不断增加,黑客技术也变得越来越强大。社会工程和网络钓鱼攻击等传统网络攻击手法已经成为Web3过去的发展历史了。

所有代币版本都和每个区块链本地相对应的多链方法仍然很遥远。因此,跨链平台必须吸取以往的经验教训,加强流程监管,尽可能减少黑客攻击的成功性。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

大币网

XLMSOL:加密资产投资配置逻辑_以太坊

前段时间我和小伙伴们进行了一次关于加密资产投资的交流分享。接下来用几篇文章把这次分享上聊到的一些话题整理出来和大家共勉。今天先和大家聊一下我是怎么对自己的加密资产进行配置的.

[0:15ms0-11:772ms