跨鏈橋如何成為黑客的主要目標

密码极客｜2022-04-25 3:42

跨鏈橋是區塊鏈行業中最有價值的工具之一，但它們的互操作性對構建它們的項目提出了重要挑戰。

加密行業已經發展成為一個生態系統，將幾個具有獨特的功能的L1和L2 擴展解決方案相互連接起來，在這之中，跨鏈橋可以發揮很大的作用。

像Fantom、Terra或Avalanche這樣的網絡已經在去中心化金融活動中變得豐富，而像Axie Infinity和DeFi Kingdoms這樣的P2E遊戲dapp則維持著Ronin 和Harmony 等整個生態系統，這些鏈已成為以太坊的重要可能性替代品。在不同鏈上協議之間移動資產的需求變得比以往任何時候都更加迫切。

這就是跨鏈橋的切入點。

由於多鏈場景，所有DeFi dapp 的總價值鎖定（TVL）飆升。截至2022 年3 月，該行業的TVL 估計為2150 億美元，比2021 年3 月高出156%。這些DeFi dapp 中鎖定和橋接的價值量吸引了黑客的注意。最新趨勢表明，攻擊者可能已經發現了跨鏈橋的薄弱之處。

根據Rekt 數據庫，2022 年第一季度有12 億美元的加密資產被盜，佔歷史被盜資金的35.8%。有趣的是，2022 年至少80% 的損失資產是從跨鏈橋上被盜的。

最嚴重的攻擊之一是Ronin 被盜，損失了5.4 億美元。在此之前，Solana Wormhole 和BNB Chain 的Qubit Finance 橋在2022 年被盜超過4 億美元。加密歷史上最大的黑客攻擊發生在2021 年8 月，當時PolyNetwork 橋被盜了6.1 億美元，儘管被盜資金是後來被追回。

跨鏈橋是區塊鏈行業中最有價值的工具之一，但它們的互操作性對構建它們的項目提出了重要挑戰。

了解跨鏈橋

類似於曼哈頓橋，跨鏈橋是連接兩個不同網絡的平台，可實現資產和信息從一個區塊鏈到另一個區塊鏈的跨鏈傳輸。通過這種方式，加密貨幣和NFT 不會孤立在其本地鏈中，而是可以跨不同的鏈，從而增加利用這些資產的選項。

在轉移資產方面，跨鏈橋有不同的方法。顧名思義，Lock-and-Mint 橋接的工作原理是將原始資產鎖定在發送方的智能合約中，而接收網絡在另一方鑄造原始代幣的副本。如果Ether 是從Ethereum 到Solana 的橋接，那麼Solana 中的Ether 只是加密的“包裝”表示，而不是實際的代幣本身。

從安全的角度來看，跨鏈橋可以分為兩大類：可信和不可信。受信任的橋接是依賴第三方來驗證交易的平台，但更重要的是，它充當橋接資產的保管人。幾乎所有特定於區塊鏈的橋樑都可以找到可信橋樑的示例，例如Binance Bridge、Polygon POS Bridge、WBTC Bridge、Avalanche Bridge、Harmony Bridge、Terra Shuttle Bridge，以及Multichain（以前稱為Anyswap）或Tron 的Just Cryptos 等特定dapp。

相反，純粹依靠智能合約和算法來託管資產的平台是去信任的橋樑。去信任橋的安全因素與資產被橋接的底層網絡相關，即資產被鎖定的地方。在NEAR 的Rainbow Bridge、Solana 的Wormhole、Polkadot 的Snow Bridge、Cosmos IBC 以及Hop、Connext 和Celer 等平台中可以找到無需信任的橋。

乍一看，去信任橋似乎為在區塊鏈之間轉移資產提供了更安全的選擇。然而，受信任和去信任的橋樑都面臨著不同的挑戰。

信任橋和去信任橋的局限性

Ronin 橋作為一個中心化信任平台運行。該橋使用多簽錢包來託管橋接資產。簡而言之，多簽錢包是一個需要兩個或多個加密簽名來批准交易的地址。在Ronin 的案例中，側鏈有九個驗證者，需要五個不同的簽名來批准存款和取款。

就Ronin 而言，Sky Mavis 團隊單獨持有四個簽名，造成單點故障。黑客一次性控制了四個Sky Mavis簽名後，只需要一個簽名就可以批准資產的提現。

雖然中心化存在上述根本缺陷，但由於軟件和編碼中的錯誤和漏洞，去信任橋更容易受到攻擊。

由於合同分類和結構存在缺陷，Poly Network 在2021 年8 月以6.1 億美元的價格被盜後，Wormhole 黑客事件發生，黑客利用Solana 的託管合約中的一個漏洞盜了3.25 億美元。該dapp 中的跨鏈交易由稱為“守護者”的集中節點組批准，並通過網關合約在接收網絡上進行驗證。在這次攻擊中，黑客能夠獲得作為管理員的特權，從而通過設置自己的參數來欺騙網關。攻擊者在Ethereum、Binance、Neo 和其他鏈中重複該過程以提取更多資產。

所有橋樑都通向以太坊

以太坊仍然是行業中最主要的DeFi 生態系統，佔行業TVL 的近60%。與此同時，作為以太坊DeFi dapp 替代品的不同網絡的興起引發了區塊鏈橋的跨鏈活動。

業內最大的橋是WBTC 橋，由RenVM 背後的團隊BitGo、Kyber 和Republic Protocol 託管，現在持有價值約125億美元的比特幣。 WBTC允許BTC在Aave、Compound和Maker等dapp中用作抵押品，或者在多個DeFi 協議中進行流動性挖礦或賺取利息。

與Fantom 不同，大多數L1 鏈使用獨立的橋直接連接網絡。 Avalanche 橋主要由Avalanche 基金會託管，是最大的L1跨鏈橋。 Binance 橋也以45 億美元的鎖定資產脫穎而出，緊隨其後的是Solana Wormhole，鎖定資產為38 億美元。就鎖定資產而言，Polygon、Arbitrum 和Optimism 等擴展解決方案也是重要的橋樑之一。另一個值得一提的橋是Near Rainbow 橋，旨在解決著名的互操作性三難困境。

提高跨鏈安全性

作為託管橋接資產的兩種方法，信任橋和去信任橋都容易存在基礎和技術缺陷。儘管如此，仍有一些方法可以防止或減少針對跨鏈橋的惡意攻擊而造成的影響。

第一，在信任橋中，需要增加所需簽名者的比例，同時還要將多簽分配到不同的錢包中。儘管去信任橋消除了與中心化相關的風險，但漏洞和其他技術限制仍然存在風險情況，如Solana Wormhole 或Qubit Finance 的漏洞。因此，有必要實施鏈下行動以盡可能保護跨鏈平台。

第二，需要協議之間的合作。 Web3 的特點是其社區，因此讓業內最聰明的人共同努力，使Web3成為一個更安全的地方。 Animoca Brands、Binance 和其他Web3 品牌籌集了1.5 億美元，以幫助Sky Mavis 減少Ronin 橋被黑的財務影響。為多鏈的未來而合作可以將互操作性推向一個新的水平。

第三，加強與鏈分析平台和中心化交易所(CEX) 的協調，這有助於追踪和標記被盜代幣。這種情況可能會在中期抑制犯罪分子，因為將加密貨幣兌現為法定貨幣的網關應該由已建立的CEX 中的KYC 程序控制。

第四，審計和漏洞賞金是改善任何Web3 平台（包括跨鏈橋）健康狀況的另一種方式。 Certik、Chainsafe、Blocksec 等認證組織有助於使Web3 交互更安全。所有活動橋都應由至少一個認證組織進行審核。同時，漏洞賞金計劃在項目及其社區之間可以創造協同效應。

結論

作為挑戰以太坊dapp 的整體區塊鏈生態系統，L1 和L2 解決方案的激增催生了跨鏈平台在網絡之間移動資產的需求。這是互操作性的本質，是Web3 的支柱之一。

儘管如此，當前的可互操作場景依賴於跨鏈協議，而不是多鏈方法，Vitalik 在今年年初對這種場景放寬了警告。現在對空間互操作性的需求非常明顯。儘管如此，仍需要在此類平台中採取更強大的安全措施。