hơn 1 tỷ $$$ bị đánh cắp qua các cầu nối chỉ trong năm 2022
chúng ta cần những giải pháp tốt hơn
đó là lý do tại sao @union_build đang phát triển cầu nối an toàn nhất mà chúng ta có trong crypto
để hiểu điều này, chúng ta cần xem xét cách mà hầu hết các vụ hack cầu nối xảy ra và những gì Union đang làm khác biệt
một chuỗi 🧵
có 4 lỗ hổng cầu nối phổ biến đã bị khai thác, hãy cùng xem qua chúng 👇🏻
1. Thỏa thuận đa chữ ký
một số cầu nối dựa vào một tập hợp nhỏ các khóa (thường là 3 trong 5 hoặc 5 trong 9 chữ ký đa chữ ký) để xác thực các giao dịch giữa các chuỗi
nếu những khóa này bị xâm phạm (thông qua lừa đảo, công việc nội bộ, v.v.), kẻ tấn công có thể tạo ra hoặc rút tiền
cuộc tấn công cầu Ronin trị giá 625 triệu đô la là một ví dụ hoàn hảo
kẻ tấn công đã kiểm soát các khóa xác thực và ủy quyền cho các giao dịch rút tiền giả vào tài khoản của mình
đó là một trong những cuộc tấn công lớn nhất trong lịch sử tiền điện tử 🚨
2. Manipulation Oracle / Relayer
Khi bạn phụ thuộc vào các bên thứ ba ngoài chuỗi (oracles, relayers) để xác minh thông tin trên chuỗi, bạn sẽ dễ bị tổn thương
Nếu những tác nhân này trở nên bất chính, họ có thể nói dối về trạng thái chuỗi, gây ra hành vi không chính xác trên chuỗi mục tiêu
Trở lại năm 2022, LayerZero đã phải đối mặt với sự chỉ trích từ nhà nghiên cứu bảo mật @samczsun vì các hợp đồng của họ có relayers + oracles có thể nâng cấp, được kiểm soát bởi đội ngũ
Đây là một lỗ hổng lớn và nếu bị xâm phạm, kẻ tấn công có thể đánh cắp tất cả các quỹ đi qua giao thức.
3. Lỗi Hợp Đồng Thông Minh
hầu hết các cầu nối có các hợp đồng thông minh phức tạp với nhiều lỗ hổng có thể xảy ra
bất kỳ lỗi nhỏ nào cũng có thể cho phép kẻ tấn công vượt qua xác thực hoặc rút cạn thanh khoản
vụ khai thác cầu nối Nomad trị giá 190 triệu đô la là ví dụ tốt nhất
đó là một lỗi hợp đồng đơn giản đến kinh ngạc
một bản nâng cấp định kỳ đã vô tình đặt kiểm tra xác thực để luôn trả về 'true'
bất kỳ ai cũng có thể sao chép-dán một giao dịch cũ và chuyển tiền cầu nối vào tài khoản của họ
toàn bộ cộng đồng crypto đã thấy mọi người sao chép-dán mã tấn công từ Twitter, thật sự điên rồ.
4. Rủi ro của Token Wrapped
Nhiều cầu nối sử dụng tài sản wrapped, mà chỉ tốt như cầu nối hỗ trợ chúng
Nếu cầu nối bị xâm phạm, các token wrapped sẽ trở nên vô giá trị, không có ETH thực để đổi
Trong một vụ hack trị giá 321 triệu đô la, kẻ tấn công đã khai thác một lỗi trong hợp đồng thông minh của Wormhole cho phép họ mint 120.000 WETH trên Solana mà không cần gửi bất kỳ ETH nào trên Ethereum
Họ đã lừa hệ thống nghĩ rằng ETH đã được gửi
Wormhole đã mất 321 triệu đô la tiền thật và phải trả cho người dùng từ túi của họ.
không đi vào chi tiết kỹ thuật (tôi quá ngu ngốc cho điều đó) đây là những gì @union_build làm khác biệt:
- không có multisig hay oracle
- ZK-Proofs để xác thực
- tài sản gốc, không phải token bọc
cầu Union có hoàn toàn không thể bị hack không? không, không có gì là như vậy
nhưng công nghệ của họ loại bỏ hầu hết các điểm thất bại tập trung, thay thế niềm tin bằng chứng mật mã, loại bỏ oracle/multisig và tránh rủi ro bọc
đó là điều gần nhất mà chúng ta có thể đạt được đến an ninh tuyệt đối ngày nay 🗿
9,22 N
355
Nội dung trên trang này được cung cấp bởi các bên thứ ba. Trừ khi có quy định khác, OKX không phải là tác giả của bài viết được trích dẫn và không tuyên bố bất kỳ bản quyền nào trong các tài liệu. Nội dung được cung cấp chỉ nhằm mục đích thông tin và không thể hiện quan điểm của OKX. Nội dung này không nhằm chứng thực dưới bất kỳ hình thức nào và không được coi là lời khuyên đầu tư hoặc lời chào mời mua bán tài sản kỹ thuật số. Việc sử dụng AI nhằm cung cấp nội dung tóm tắt hoặc thông tin khác, nội dung do AI tạo ra có thể không chính xác hoặc không nhất quán. Vui lòng đọc bài viết trong liên kết để biết thêm chi tiết và thông tin. OKX không chịu trách nhiệm về nội dung được lưu trữ trên trang web của bên thứ ba. Việc nắm giữ tài sản kỹ thuật số, bao gồm stablecoin và NFT, có độ rủi ro cao và có thể biến động rất lớn. Bạn phải cân nhắc kỹ lưỡng xem việc giao dịch hoặc nắm giữ tài sản kỹ thuật số có phù hợp hay không dựa trên tình hình tài chính của bạn.