2022年仅通过桥梁被盗的金额超过10亿美元
我们需要更好的解决方案
这就是为什么@union_build正在开发我们在加密领域中最安全的桥梁
要理解这一点,我们需要看看大多数桥梁黑客攻击是如何发生的,以及Union正在做什么不同的
一条线程 🧵
有4种常见的桥接漏洞已被利用,让我们来逐一了解它们 👇🏻
1. 多签名妥协
一些桥接依赖于一小组密钥(通常是3-of-5或5-of-9的多签名)来验证跨链转账
如果这些密钥被泄露(通过网络钓鱼、内部作业等),攻击者可以铸造或提取资金
$625M的Ronin Bridge黑客事件就是一个完美的例子
攻击者控制了验证者密钥,并授权虚假的提款到他自己的账户
这是加密历史上最大的黑客事件之一 🚨
2. 预言机 / 中继者操控
当你依赖链外第三方(预言机、中继者)来验证链上信息时,你就会变得脆弱
如果这些参与者失控,他们可以对链状态撒谎,导致目标链上的不正确行为
在2022年,LayerZero因其合约具有可升级的中继者和预言机而受到安全研究员@samczsun的批评,这些中继者和预言机由团队控制
这是一种巨大的漏洞,如果被利用,攻击者可以窃取通过该协议传递的所有资金
3. 智能合约漏洞
大多数桥接都有复杂的智能合约,存在许多可能的漏洞
任何小错误都可能让攻击者绕过验证或抽走流动性
$190M 的 Nomad 桥接漏洞就是最好的例子
这是一种令人震惊的简单合约缺陷
一次例行升级错误地将验证检查设置为始终返回 'true'
任何人都可以复制粘贴旧交易,将桥接资金转移到自己的账户
整个加密社区看到人们从 Twitter 上复制粘贴攻击代码,简直是疯狂
4. 包装代币风险
许多桥接使用了包装资产,这些资产的价值仅与支持它们的桥接相关
如果桥接被攻破,包装代币就毫无价值,因为没有真实的 ETH 可供兑换
在一次 3.21 亿美元的黑客攻击中,攻击者利用 Wormhole 智能合约中的一个漏洞,让他们在 Solana 上铸造了 120,000 个 WETH,而无需在以太坊上存入任何 ETH
他们欺骗系统,让其认为 ETH 已经被存入
Wormhole 损失了价值 3.21 亿美元的真实资金,并不得不自掏腰包赔偿用户
不深入技术细节(我对此太笨了),这是 @union_build 不同之处:
- 没有多重签名或预言机
- 使用零知识证明进行验证
- 原生资产,而不是包装代币
Union 桥绝对无法被黑客攻击吗?不,没有什么是绝对安全的。
但他们的技术消除了大多数集中式故障点,用密码学证明取代了信任,消除了预言机/多重签名,并避免了包装风险。
这是我们今天能达到的最接近完全安全的状态 🗿
3,120
135
本页面内容由第三方提供。除非另有说明,欧易不是所引用文章的作者,也不对此类材料主张任何版权。该内容仅供参考,并不代表欧易观点,不作为任何形式的认可,也不应被视为投资建议或购买或出售数字资产的招揽。在使用生成式人工智能提供摘要或其他信息的情况下,此类人工智能生成的内容可能不准确或不一致。请阅读链接文章,了解更多详情和信息。欧易不对第三方网站上的内容负责。包含稳定币、NFTs 等在内的数字资产涉及较高程度的风险,其价值可能会产生较大波动。请根据自身财务状况,仔细考虑交易或持有数字资产是否适合您。