2022年僅透過橋接就被盜取超過10億美元
我們需要更好的解決方案
這就是為什麼@union_build正在開發我們在加密貨幣中最安全的橋接
要理解這一點,我們需要看看大多數橋接黑客攻擊是如何發生的,以及Union正在做什麼不同的
一個線程 🧵
有四種常見的橋接漏洞已被利用,讓我們來看看它們 👇🏻
1. 多簽名妥協
一些橋接依賴於一小組密鑰(通常是3-of-5或5-of-9的多簽名)來驗證跨鏈轉移
如果這些密鑰被妥協(通過網絡釣魚、內部工作等),攻擊者可以鑄造或提取資金
$625M的Ronin Bridge黑客事件就是一個完美的例子
攻擊者控制了驗證者密鑰並授權虛假的提款到他自己的帳戶
這是加密歷史上最大的黑客事件之一 🚨
2. 預言機 / 中繼者操控
當你依賴鏈外第三方(預言機、中繼者)來驗證鏈上的資訊時,你就會變得脆弱
如果這些行為者變得不可靠,他們可以對鏈狀態撒謊,導致目標鏈上出現不正確的行為
在2022年,LayerZero因為其合約擁有可升級的中繼者和預言機,且由團隊控制而受到安全研究員@samczsun的批評
這是一個巨大的漏洞,如果被攻擊者利用,他們可以竊取通過該協議的所有資金
3. 智能合約漏洞
大多數橋接都有複雜的智能合約,存在許多潛在的漏洞
任何小錯誤都可能讓攻擊者繞過驗證或抽走流動性
1.9億美元的Nomad橋接漏洞就是最好的例子
這是一個驚人簡單的合約缺陷
一次例行升級錯誤地將驗證檢查設置為始終返回 'true'
任何人都可以複製舊交易並將橋接資金轉移到自己的帳戶
整個加密社區都看到人們從Twitter上複製粘貼攻擊代碼,這簡直是瘋狂
4. 包裝代幣風險
許多橋接使用包裝資產,這些資產的價值取決於支持它們的橋接
如果橋接被攻擊,包裝代幣將變得毫無價值,因為沒有真正的 ETH 可以兌換
在一次 3.21 億美元的黑客事件中,攻擊者利用 Wormhole 智能合約中的漏洞,讓他們在 Solana 上鑄造了 120,000 WETH,而不需要在以太坊上存入任何 ETH
他們欺騙系統認為 ETH 已經被存入
Wormhole 損失了價值 3.21 億美元的真實資金,並不得不自掏腰包支付用戶的損失
不深入技術細節(我對此太笨了),這就是 @union_build 的不同之處:
- 沒有多重簽名或預言機
- 使用 ZK-Proofs 進行驗證
- 原生資產,而非包裝代幣
Union 橋絕對無法被駭客攻擊嗎?不,沒有任何東西是。
但他們的技術消除了大多數集中式故障點,用加密證明取代信任,消除了預言機/多重簽名,並避免了包裝風險。
這是我們今天能夠接近完全安全的狀態 🗿
3,122
135
本頁面內容由第三方提供。除非另有說明,OKX 不是所引用文章的作者,也不對此類材料主張任何版權。該內容僅供參考,並不代表 OKX 觀點,不作為任何形式的認可,也不應被視為投資建議或購買或出售數字資產的招攬。在使用生成式人工智能提供摘要或其他信息的情況下,此類人工智能生成的內容可能不準確或不一致。請閱讀鏈接文章,瞭解更多詳情和信息。OKX 不對第三方網站上的內容負責。包含穩定幣、NFTs 等在內的數字資產涉及較高程度的風險,其價值可能會產生較大波動。請根據自身財務狀況,仔細考慮交易或持有數字資產是否適合您。