DEFI:DeFi 不可承受之重:跨链桥已成“黑客提款机”_区块链

当 Axie Infinity 和 DeFi Kingdoms 等游戏类 DApp 维持着像 Ronin 和 Harmony 等整个生态系统时,Fantom 或 Avalance 等网络协议已经在 DeFi 浪潮中赚的盆满钵满。这些区块链已成为以太坊汽油费和相对缓慢的交易时间的重要替代品。想要一种简单的能在不同区块链上的协议之间移动资产的方法变得比以往任何时候都更加迫切。

这就是区块链跨链桥的诞生之地。

由于多链场景的应用,所有 DeFi DApp 的总锁定价值飙升。截至 2022 年 5 月,该行业的 TVL 估计为 1112.8 亿美元。这些 DeFi DApp 中锁定和桥接的庞大资产吸引了恶意黑客的注意力,最新趋势表明,攻击者可能已经在区块链网桥中发现了薄弱环节。

根据 Rekt 数据库,2022 年第一季度有 12 亿美元的加密资产被盗,根据同一来源,占历史被盗资金的 35.8%。有趣的是,2022 年至少 80% 的损失资产是从链桥上被盗的。

最严重的攻击之一发生在 3 月份,当时 Ronin 桥被黑客入侵,损失了 5.4 亿美元。在此之前,Solana Wormhole 和 BNB Chain 的 Qubit Finance 桥在 2022 年被盗了超过 4 亿美元。加密历史上最大的黑客攻击发生在 2021 年 8 月,当时 PolyNetwork 桥被盗了 6.1 亿美元,但被盗资金后有被追回。

美国SEC增加其工作人员重点调查DeFi平台、NFT和稳定币等违反证券法的行为:金色财经报道,美国证券交易委员会(SEC)正在增加员工人数,增强审查、调查、审计、检查和可能起诉与这些新加密产品和交易活动相关的证券法违法行为的能力。

新增的工作人员将包括监管人员、调查人员律师、欺诈分析师和出庭律师,重点调查以下方面违反证券法的行为:加密资产发行、交易以及借贷和质押产品;DeFi平台;NFT和稳定币。(福布斯)[2023/3/7 12:46:16]

链桥是区块链行业中最有价值的工具之一,但它们的互操作性对构建它们的项目提出了重要挑战。

类似于曼哈顿桥,区块链桥是连接两个不同网协议络的平台,可实现资产和信息从一个区块链到另一个区块链的跨链传输。通过这种方式,加密货币和 NFT 不会孤立在其本链中,而是可以跨不同的区块链「桥接」,从而增加这些资产的利用途径。

幸亏有链桥的存在,比特币可被用于基于智能合约的网络中,用于 DeFi 目的或者让 NFL 、NFT 可以从 Flow 桥接到以太坊以进行细分或作为抵押品。

当然,想要转移资产还有一些其他不同的方法。比如 Lock-and-Mint,顾名思义其桥接的工作原理就是将原始资产锁定在发送方的智能合约中,而接收网络在另一方铸造原始代币的副本。如果以太币从以太坊桥接到 Solana,那么 Solana 中的以太币只是副本,而不是以代币本身。

Oasis:ValleySwap与EvoDeFi bridge是未获官方支持的第三方项目,已多次提示风险:金色财经消息,Oasis针对ValleySwap中的USDT脱锚情况发布声明,称ValleySwap与EvoDeFi bridge都是第三方的项目,没有获得Oasis的支持。同时出现脱锚的稳定币并非Oasis的原生资产,几个月来Oasis多次对社区警告风险,Oasis官方推荐使用Wormhole、cBridge或Multichain。???此前报道,Oasis Network上Valley Swap中的USDT已严重脱锚。[2022/6/8 4:11:06]

锁定和铸币机制| 来源:MakerDAO

虽然 Lock-and-Mint 方法是目前最流行的桥接方法,但还有其他方法可以完成资产转移,例如「burn-and-mint」或由智能合约自行执行两个网络之间交换资产atomic swaps。Connext(以前称为 xPollinate)和 cBridge 是依赖于 atomic swaps 的链桥。

从安全的角度来看,链桥可以分为两大类:受信任和去信任。受信任的链桥是依赖第三方来验证交易的平台,但更重要的是,它可以充当桥接资产的保管人。几乎所有特定于区块链的桥梁都可以找到可信桥梁的案例,例如 Binance Bridge、Polygon POS Bridge、WBTC Bridge、Avalanche Bridge、Harmony Bridge、Terra Shuttle Bridge,以及 Multichain(以前称为 Anyswap)或 Tron 的 Just Cryptos 等DApps。

Decentral Park Capital宣布推出7500万美元DeFi基金:1月11日消息,管理着1.4亿美元资产的早期投资公司Decentral ParkCapital宣布了一项价值7500万美元基金,用于投资去中心化金融(DeFi)计划。Decentral ParkCapital是加密基础设施公司Pocket Network的早期投资者,上周,Pocket宣布为其原生POKT Token融资1000万美元。Decentral Park感兴趣的领域包括去中心化交易平台、借贷协议、衍生品、结构化产品、预言机、质押和中间件基础设施。[2022/1/11 8:41:59]

相反,纯粹依靠智能合约和算法来托管资产的平台是去信任的链桥。去信任链桥的安全因素与资产被桥接的底层网络相关,即资产被锁定的地方。在 NEAR 的 Rainbow Bridge、Solana 的 Wormhole、Polkadot 的 Snow Bridge、Cosmos IBC 以及 Hop、Connext 和 Celer 等平台中可以找到去信任的链桥。

乍一看,去信任链桥似乎为在区块链之间转移资产提供了更安全的选择。然而,受信任和去信任的链桥都面临着不同的挑战。

Ronin 链桥作为一个集中的受信任运行平台,该链桥使用多重签名钱包来托管桥接资产。简而言之,多重签名钱包是一个需要两个或两个以上加密签名来批准交易的地址。在 Ronin 的案例中,侧链有九个验证者,需要五个不同的签名来批准存款和取款。

其他平台使用相同的方法,但风险分散性更好一点。例如,Polygon 依赖于 8 个验证器并需要 5 个签名。这五个签名由不同各方控制。就 Ronin 而言,Sky Mavis 团队单独持有四个签名,造成单点故障。黑客一次性控制了四个Sky Mavis签名后,只需要一个签名就可以批准资产的提现。

DeFi聚合器Frontier预计于12月21日推出新合成资产USDF1:近日,DeFi聚合器Frontier(FRONT)宣布与跨链基础设施OINFinance达成合作并加入OINDAO。Frontier代币持有人可以投资FRONT铸造USDF1,USDF1已通过安全公司Beosin(成都链安)审计。USDF1是通过FRONT抵押担保的新代币,最终可以赎回DAI、USDC、USDT甚至NFT等资产,并获取流动性,利益相关者(Minters)将因参与稳定性研究而获得FRONT奖励。简而言之,FRONT将用于铸造新合成资产USDF1,利益相关者将获得FRONT奖励,而USDF1最终将被用于兑换成其他代币或物品。USDF1预计于2020年12月21日上线,同时将公布一项关于FRONTLP参与者的激励计划。[2020/12/16 15:23:49]

3 月 23 日,攻击者控制了 Axie DAO 的签名,这是完成攻击所需的最后一部分。在有史以来第二大加密攻击中,173600 ETH 和 2550 万 USDC 通过两次不同交易从 Ronin 的托管合约中流失。值得注意的还有,Sky Mavis 团队在近一周后才发现黑客攻击,这表明 Ronin 的监控机制至少存在一定不完善的地方,这也揭示了这个受信任平台的一个缺陷。

虽然集中化存在一个根本缺陷,但由于软件和编码中的错误和漏洞,去信任的链桥也很容易受到攻击。

IOST公布2020年DeFi发展计划:为DeFi项目提供全面孵化服务:8月6日,IOST官方公布2020年下半年DeFi发展计划,并详细介绍其DeFi生态布局。作为领先的区块链技术应用平台,IOST主网从开发环境的基本面上来讲,对开发者极其友好,0手续费也保证了用户使用IOST链上DeFi应用的便捷性。2019年起,IOST就全面布局DeFi生态,从稳定币、去中心化交易所、跨链交易、周边服务、借贷、金融衍生品、预测等方面发展IOST公链DeFi生态,如今已初具规模。2020年下半年,IOST将与链上已有的DeFi项目深度合作,对其进行全方位的优化支持;从技术、运营、资金扶持等多方面为DeFi项目提供全面的孵化服务,打造爆款DeFi产品;并通过IOST跨链转接桥,链接以太坊等公链的DeFi项目及生态用户,引入更多优质DeFi项目的同时,迎来爆发式的用户增长。[2020/8/6]

Solana Wormhole 是一个实现 Solana 和以太坊之间跨桥交易的平台,在 2022 年 2 月遭受了攻击,由于 Solana 的托管合同中的一个漏洞,3.25 亿美元被盗。虫洞合约中的一个漏洞允许黑客设计跨链验证器,攻击者从以太坊向 Solana 发送了 0.1 ETH,以触发一组「传输消息」,诱使程序批准假定的 12 万枚 ETH 存款转移。

由于合同分类和结构存在缺陷Poly Network于 2021 年 8 月被盗 6.1 亿美元后,Wormhole 黑客事件发生。该 DApp 中的跨链交易由称为「守护者」的集中节点组批准,并通过网关合约在接收网络上进行验证。在这次攻击中,黑客能够获得作为管理员的特权,从而通过设置自己的参数来网关。攻击者在 Ethereum、BinancDe、Neo 和其他区块链中重复该过程以提取更多资产。

以太坊仍然是行业中最主要的 DeFi 生态系统,占行业 TVL 的近 60%。与此同时,这些不同的网络协议作为以太坊 DeFi DApp 替代品,它们的兴起也引发了区块链桥的跨链活动。

业内最大的桥是 WBTC 桥,由 RenVM 背后的团队 BitGo、Kyber 和 Republic Protocol 托管。由于比特币代币在技术上与基于智能合约的区块链不兼容,因此 WBTC 桥“包装”原生比特币,将其锁定在桥托管合约中,并在以太坊上铸造其 ERC-20 版本。这座桥在 DeFi Summer(自 2020 年夏天以来,在 DeFi 市场经历了惊人的增长,所以称为「DeFi summer」)大受欢迎,现在持有价值约 125 亿美元的比特币。WBTC 允许将 BTC 用作 Aave、Compound 和 Maker 等 Dapp 的抵押品,或者在多种 DeFi 协议中产生收益或赚取利息。

Multichain,以前叫 Anyswap,是一个 DApp,它通过内置的链桥向 40 多个区块链提供跨链交易。Multichain 在基于所有连接的网络基础上持有 65 亿美元。然而,以太坊的 Fantom 桥是迄今为止最大的池,它锁定了 35 亿美元。在 2021 年下半年,Proof-of-Stake 网络因为拥有有吸引力的收益农场,包括 FTM、各种稳定币或像 SpookySwap 上发现的 wETH,使之成为一个受欢迎的 DeFi领域。

与 Fantom 不同,大多数 L1 区块链使用独立的直接网桥连接网络。Avalanche 桥主要由 Avalanche 基金会托管,是最大的 L1同样,就TVL而言,Polygon、Arbitrum 和 Optimism 等扩展解决方案也是最重要的桥梁之一。Polygon POS 桥是以太坊及其侧链之间的主要入口点,是第三大桥,托管了近 60 亿美元。同时,Arbitrum 和 Optimism 等流行的 L2 平台的链桥的流动性也在上升。

另一个值得一提的桥是 Near Rainbow 桥,旨在解决著名的互操作性三难困境(去中心化,扩容,安全性)。这个将 Near 和 Aurora 与以太坊连接起来的平台可能会为实现去信任链桥的安全性提供宝贵的机会。

作为托管桥接资产的两种方法,受信任桥接和去信任桥接都容易存在基础面和技术面的缺陷。尽管如此,仍有一些方法可以防止和减少由黑客对区块链的恶意破坏造成的影响。

在受信任链桥的情况下,很明显需要增加所需签名者的比例,同时还要让多重签名分布在不同的钱包中。尽管去信任的链桥消除了与中心化相关的风险,但仍然存在漏洞和其他技术限制的风险情况,如 Solana Wormhole 或 Qubit Finance 漏洞利用案例所示。因此,有必要实施链下行动以尽可能保护跨链平台。

协议之间的合作是很有必要的。Web3 空间的特点是其社区联合性,因此让业内最聪明的人共同努力使该空间成为一个更安全的地方求之不得。Animoca Brands、Binance 和其他 Web3 品牌筹集了 1.5 亿美元,以帮助 Sky Mavis 减少 Ronin 桥由于黑客攻击的带来的财务危机。通过共同努力协作可以为多链未来将互操作性提升到一个新的水平。

同样,与链分析平台和CEX的协调合作有助于追踪和标记被盗的Token。这种情况可能会在中期抑制犯罪分子的积极性,因为将加密货币兑现为法定货币的网关应该由已建立的 CEX 中的 KYC 程序控制。上个月,两名 20 岁的年轻人在 NFT 领域实施后受到法律制裁。同样应该对已确认身份的黑客要求同样的惩罚才是公平的。

审计和漏洞赏金也是改善任何 Web3 平台(包括链桥)安全状况的另一种方式。Certik、Chainsafe、Blocksec 等认证组织有助于使 Web3 交互更安全。所有链桥活动都应由至少一个认证组织进行审核。

同时,漏洞赏金计划在项目及其社区之间创造了协同效应。白人黑客在其他黑客进行恶意攻击之前识别漏洞方面发挥着至关重要的作用。例如,Sky Mavis最近推出了一项价值 100 万美元的漏洞赏金计划,以加强其生态系统的安全性。

激增的 L1 和 L2 解决方案作为整体区块链统挑战以太坊 DApp 的生态系统 , 它们激增催生了通过跨链在网络之间移动资产的需求。这是互操作性的本质,也是 Web3 的支柱之一。

尽管如此,当前的可互操作场景依赖于跨链协议,而不是多链方法, Vitalik 在今年年初对这种情况发出了。尽管对空间互操作性的需求非常明显,仍需要在此类平台中采取更强大的安全措施。

不幸的是,挑战不会轻易克服。受信任和去信任的平台都存在设计缺陷。这些固有的跨链缺陷已经变得显而易见。截至目前为止,在 12 亿美元的黑客攻击中损失中,超过 80% 通过有漏洞的链桥被盗取。

此外,随着行业价值的不断增加,黑客技术也变得越来越强大。社会工程和网络钓鱼攻击等传统网络攻击手法已经成为 Web3 过去的发展历史了。

所有代币版本都和每个区块链本地相对应的多链方法仍然很遥远。因此,跨链平台必须吸取以往的经验教训,加强流程监管,尽可能减少黑客攻击的成功性。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

大币网

AAVENFT:NFT 当前价值所在及未来所向_NFTP

NFT 当前最主要的价值在于,授权艺术家、创作者和收藏家行使他们分发、转售和收藏的权利。 NFT 艺术品《第一顿晚餐》以 103.4 ETH 的价格成功拍卖NFT 是数字资产吗?是的.

[0:0ms0-11:608ms