跨链桥的七个关键安全漏洞分析

  • Chainlink
  • 发布于 2025-06-07 14:51
  • 阅读 45

本文探讨了跨链桥的七个关键安全漏洞,包括私钥管理不善、未经审计的智能合约、不安全的升级流程、单一网络依赖、未经验证的验证器集、缺乏主动交易监控和缺乏速率限制。文章强调了Chainlink CCIP通过分层安全措施提供无与伦比的跨链安全性。

markdown 定义

跨链漏洞是一种安全缺陷,可以被利用来窃取或操纵跨链桥上的资产。

根据 DefiLlama 的数据,迄今为止,跨链桥被攻击的金额已超过 28 亿美元——占 Web3 中被盗总价值的 近 40%

Twitter 嵌入

虽然不可否认的是,跨链对于释放 Web3 中的指数级创新至关重要,但它也为恶意行为者引入了潜在的攻击媒介。在软件行业,许多开发者都秉持着“快速行动,打破陈规”的座右铭。但当涉及到 跨链安全 以及数十亿——最终是数万亿——用户资金的安全时,情况恰恰相反:如果你行动太快,就会出问题。

什么是跨链桥?

跨链桥 是一种去中心化应用程序,用于促进资产从一个区块链转移到另一个区块链。

如今,跨链桥在设计和用途上差异很大。例如,有些桥专门用于促进 layer 2 与其各自的基础链之间的转移。通用桥,例如构建在 Chainlink CCIP 之上的桥,旨在实现各种区块链之间无缝的资产和消息转移。

跨链桥是 Web3 基础设施的核心组成部分。对于用户而言,跨链桥可以实现代币和消息在链之间的无缝移动。对于开发者而言,跨链协议代表着构建与链无关的体验的机会,从而抽象出基础设施的复杂性。并且,所有跨链桥的 月交易量超过 60 亿,很明显,跨链是 Web3 生态系统中必要且被广泛采用的一部分。

这就是为什么如果你是希望进行跨链的用户、开发者或机构,就必须了解这 七个关键的 跨链桥 漏洞,以确保你、你的用户和你的利益相关者的安全。

1. 不安全的私钥管理

私钥——或一组私钥——通常是管理跨链桥运行的关键。桥的运营商或分别持有唯一私钥的运营商负责达成共识,确认用户跨链发送的消息或价值,并将其准确地跨链传递。这些消息是基于数字签名或数字签名的 quorum 批准的,这些签名是从底层的私钥派生出来的。

因此,私钥泄露是跨链桥最常见的漏洞之一,也是 Web3 中一些最臭名昭著的跨链桥攻击的罪魁祸首,通常是由于糟糕的私钥管理或操作安全实践。

一个普遍的经验法则是,服务器、基础设施提供商、位置和运营商越多,跨链桥和保护它的私钥就越能免受单点故障和中心化风险的影响。

Chainlink CCIP 通过每个 CCIP 通道 使用多个去中心化预言机网络 (DON),由信誉良好且地理位置分散的节点运营商提供支持,并由首创的独立风险管理网络提供支持,该网络可以在检测到错误活动时暂时停止跨链活动,从而减轻了潜在私钥泄露的程度。由于这种深度防御的安全架构,即使多个私钥被泄露,CCIP 的多层去中心化和冗余也能提供强大的防攻击保护。

一张图表,概述了中心化、分布式和去中心化跨链协议设计之间的差异。

中心化网络不仅容易受到攻击,而且还使中心化参与者能够单方面控制所有资金。

去中心化有助于降低中心化风险,通过要求任何恶意行为者(甚至是桥运营商)泄露多个独立实体的私钥,从而防范内部和外部攻击的可能性。这是一种强大的安全形式。但是,这只是安全私钥管理的众多考虑因素之一。同样重要的是桥运营商独立采取的安全措施,以保护其私钥。

最佳实践

去中心化对于提供针对单点故障的安全性非常重要,但私钥安全性并非是单一的——最安全的跨链协议将去中心化提供的安全性与经过时间考验的保护单个私钥的方法相结合。这些包括硬件安全模块 (HSM)、加密(传输中、静态)、网络钓鱼教育、访问控制、密钥管理服务等。

由于私钥泄露而导致的著名现实世界跨链桥攻击

2. 未经审计的智能合约

由于跨链桥的主要功能是将价值从一个区块链转移到另一个区块链,因此所有跨链协议都不可避免地必须处理智能合约。

在绝大多数跨链用例中,多个链上的智能合约被用于支持代币在链之间移动时的铸造、销毁、锁定或解锁。这些智能合约通过跨链桥连接,通常与代币发行者合作。

智能合约既是针对攻击的额外防线,也是构建不正确时的技术风险。一方面,智能合约为跨链桥提供了一个有价值的途径来执行各种常识性安全检查,例如确保用户不能提取超过其存入的金额和速率限制。另一方面,编写不当且未经审计的智能合约代码可能会产生完全相反的效果:恶意黑客已经利用智能合约代码中的缺陷从跨链桥中窃取了巨额资金。

任何项目(无论其对安全性有多敏感)都无法保证其智能合约的代码中没有技术错误。但是,确保代码可靠且具有抗攻击性的最经过实战考验的方法之一是与外部、经验丰富的审计员合作,在代码库部署到生产环境之前对其进行实战测试。这不是一项一劳永逸的举措——即使是构建最完善的代码库,如果在审计后更改代码或将未经审计的合约引入到已审计的代码库中,也会立即变得未经测试。

最佳实践

使用跨链协议时,智能合约风险非常真实。最安全的跨链桥会不断地对其代码库进行多次测试,包括私有审计和竞争性审计,以及各种内部安全测试,例如模糊测试、静态分析、形式验证、符号执行等。

检查代码是否有被审计过,以及由谁审计,可以可靠地表明所使用的跨链桥受到了保护,可以抵御技术攻击。此外,分层安全(例如启用紧急暂停和更新)以及实施速率限制可以减轻任何智能合约错误的影响。

由于智能合约风险而导致的现实世界跨链桥攻击

3. 不安全的升级流程

可升级性是指更新智能合约代码或更改合约代码中某些参数配置的能力。

开发者通常使用可升级合约来更新他们的智能合约,以便添加新功能、解决合约逻辑错误和修改关键风险参数。在跨链桥的上下文中,这允许添加对新代币和区块链的支持、基于新技术实施验证跨链消息的新方法、调整关键风险参数(如速率限制和节点组成),以及迅速解决底层智能合约中任何无法预料的逻辑错误。

一张图表,展示了代理合约如何在整个 dApp 技术栈中工作。

可升级合约要求开发者构建代理合约,该合约位于终端用户和前端实施以及底层智能合约逻辑合约之间。

可升级性在安全上下文中很重要,因为如果升级过程不安全,则可能会引入潜在的攻击媒介。跨链桥的安全可升级性意味着采取深度防御方法,包括由多个独立实体持有的具有健全的私钥管理、时间锁延迟以允许用户在链上更改生效之前对其进行检查,以及健全的审批流程(例如跨链桥运营商否决时间锁中提出的更改的能力)。为了解决需要快速应用升级的情况,桥运营商可以在审查更改后提供明确的批准。

最佳实践

可升级性是保持适应性和应对未知情况的关键,但如果实施不正确,可升级性过程可能是跨链协议的另一个漏洞。时间锁合约和节点否决机制是加强可升级性过程的重要工具,但安全的跨链桥还必须平衡在时间敏感情况下提供替代路径的需求,同时保持最高的安全标准。

4. 单一网络依赖

一些跨链桥依赖于单一的验证器网络来进行所有的桥接操作。虽然这可能适用于专门用于促进两个特定区块链之间交易的桥,但对于旨在无缝连接我们今天所生活的不同多链世界的通用桥来说,这不是一个安全或可扩展的解决方案。

避免使用这种架构的桥的最重要原因是桥被攻击或被利用会对用户产生不成比例的影响。由于所有跨链交易和与之相关的价值都由一个单一的整体网络促成,因此任何成功的入侵都会导致对所有区块链的桥进行广泛而全面的利用——几乎没有分离的风险。

一张图表,展示了单网络桥解决方案和多网络桥解决方案之间的区别。

利用多个独立和去中心化的网络可以隔离单次利用造成的跨所有区块链和用户的资金损失的风险。

更安全(且可扩展)的设计是独立的、多网络的设计,这意味着:

  • 跨链通道由独立的去中心化网络运营。 这意味着每个区块链之间的通道都有一个独立的去中心化网络(即,区块链 A 到区块链 B 是一个单一通道)。这降低了单次利用的影响会超出其特定通道的风险。
  • 每个跨链通道都由多个网络保护。 作为额外的冗余级别,最安全的跨链桥和协议为每个特定通道利用多个网络。这为每个跨链通道提供了额外的安全层,要求恶意行为者同时破坏多个网络才能成功执行攻击或利用。

一个 GIF,展示了 CCIP 如何由三个不同的网络保护。

Chainlink CCIP 为单个跨链通道利用多个网络,使其成为唯一达到第五级(也是最高级)跨链安全性的跨链协议。

最佳实践

为每个跨链通道实施多个独立和去中心化的网络可以大大减少恶意行为者的攻击面和动机。这种方法的最佳实现还包括利用不同的编码语言来实现客户端多样性、在具有非重叠验证器集(validator sets)的网络之间分离职责以及添加主动风险管理功能

5. 未经证实的验证器集

任何跨链桥的核心都是其运营商——负责维护运行跨链桥运营的基础设施的人员和组织。

用户、机构和 dApp 开发者应该警惕缺乏安全可靠地运营跨链桥所需的经验和知识的未经证实的验证器集。最高安全级别的跨链桥需要世界一流的验证器集,所有验证器集都具有操作安全 (OPSEC) 方面的丰富经验,以确保正确的私钥管理和 可靠的跨链交易处理和执行

一张图表,展示了 Chainlink 节点运营商的统计数据。

Chainlink 节点和 Chainlink 预言机网络由世界一流的节点运营商运营。

今天的大多数用户、开发者和机构都忽视了第二点。对于任何跨链桥用户而言,关于底层验证器集的一个关键风险是验证器集将无法可靠地执行交易。例如,用户可能会在一个链上锁定资金,期望在另一个区块链上进行相应的铸造,但如果验证器集处于离线状态并且不批准铸造,则实际上会冻结用户的资金。

最佳实践

跨链桥应该只使用具有经过验证的 OPSEC 经验、卓越性和严谨性历史的高质量验证器。由于 OPSEC 技能不一定是 Web3 独有的,因此这可以包括 Web2 和 Web3 的各种验证器,但始终需要验证任何跨链桥验证器的过去表现。此外,通过要求验证器投入抵押品(质押),并在发生不当行为或不可靠运营时扣除这些抵押品来增加经济安全性,可以为验证器提供额外的激励,使其诚实可靠地行事。

6. 没有主动交易监控

主动交易监控的目标是实时检测和响应跨链桥的异常行为。如果实施得当,主动交易监控是一种强大的工具,可以检测异常活动并立即采取必要的预防措施,以避免攻击或利用。

主动交易监控的一个关键示例和用例是在执行异常交易之前或在恶意交易绕过系统之后紧急暂停跨链系统,例如成功请求在没有所需抵押品的情况下提取跨链桥的整个资产池。例如,在 CCIP 的案例中,风险管理网络会观察在释放或铸造目标链上的代币之前,源链上的代币是否已正确提交。如果检测到异常,风险管理网络可以暂时停止 CCIP 活动。

由于没有主动交易监控而导致的现实世界跨链桥攻击

  • Ronin Bridge (2022 年 3 月)——根据 Halborn Blockchain Security 的说法,Ronin Bridge 攻击是在发生六天后才被检测到的,这是一个重要的盲点,可以通过主动交易监控来解决。

最佳实践

主动交易监控通常应由与跨链桥的主要验证器集不同的实体或网络执行。这有助于分离职责并创建一个制衡局面,从而降低了恶意运营商或运营商集操纵主动交易监控可能触发的实时响应的可能性。

7. 缺乏速率限制

速率限制并不是一个新概念。在传统软件中,速率限制是网站使用的一种安全措施,用于防止拒绝服务 (DOS) 攻击,数据提供商使用的一种安全措施,用于阻止大量 API 请求关闭其服务器。

这个概念非常简单:限制可以在时间和数量上提出的请求数量。什么样的请求?在跨链世界中,速率限制限制了在给定时间跨度内可以在链之间转移的价值量

这种简单的安全措施是跨链桥的强大最后防线。即使在成功的攻击或利用事件中,该事件逃避了所有其他安全措施,速率限制也会限制实际可以从跨链桥中提取的价值量。

一张图表,展示了一个装满水的桶,桶上有一个小孔,这类似于速率限制所实现的目标。

速率限制就像一个装满水的桶上的一个小孔——一次只能从桶中流出预定义量的水。

由于缺乏机架限制而导致的现实世界跨链桥攻击

  • 每次在短时间内窃取所有价值的桥接攻击都可以通过速率限制和紧急停止功能来缓解,前提是其实现中没有逻辑错误。

最佳实践

资产的速率限制应基于每个通道确定,以实现最大的安全性和模块化。此外,每个通道都应该有一个聚合速率限制,以限制可以在该通道上通过所有资产转移的总体价值。实施定义明确的吞吐量(即,每 10 分钟最多 X 个代币)可以帮助防止恶意行为者在单个交易中耗尽桥中的所有资产。“补充速率”也可以应用于各种跨链资产和通道,以避免恶意行为者等待速率限制重置以窃取尽可能多的金额的情况。

Chainlink CCIP 提供无与伦比的跨链安全性

一个关键的要点应该是,跨链安全性并不像实施单一的安全措施那么简单。实际上,强大的跨链安全设计需要一种深度防御的实现,将不同的安全措施分层在一起,以提供针对攻击或利用的广泛保护。

一张简单的概念卡,以图形方式表示深度防御解决方案,而不是具有单点故障的解决方案。

最安全的跨链桥采用深度防御解决方案,将多种安全措施分层在一起。

这正是 Chainlink CCIP(行业标准的跨链解决方案)的架构方式。

Twitter 嵌入

阅读更多:

七个关键的跨链桥漏洞解释

什么是跨链 DeFi?

什么是原子互换?

什么是多链?

什么是跨链 NFT?

什么是跨链游戏?

跨链代币化资产

了解跨链代币转账

什么是跨链流动性质押代币?

什么是跨链交换?

跨链 vs. 多链

什么是跨链智能合约?

区块链无关:什么、为什么以及如何?

什么是跨链桥?

什么是区块链互操作性?

区块链无关:什么、为什么以及如何?

解释区块链互操作性挑战

跨链代币化资产

跨链 vs. 多链

七个关键的跨链桥漏洞解释

了解跨链代币转账

什么是跨链流动性质押代币?

什么是跨链 NFT?

什么是跨链智能合约?

什么是跨链交换?

什么是区块链互操作性?

什么是跨链兼容性?

什么是跨链 DeFi?

什么是跨链游戏?

什么是多链?

什么是跨链桥?

什么是原子互换?

在 X 上访问此帖子

Chainlink

@chainlink

·

关注

在 X 上查看

放大。

在 X 上观看

下午 3:07 · 2024 年 2 月 11 日

X 广告信息和隐私

14.5K 回复

复制链接

阅读 390 条回复

  • 原文链接: chain.link/education-hub...
  • 登链社区 AI 助手,为大家转译优秀英文文章,如有翻译不通的地方,还请包涵~
点赞 0
收藏 0
分享
本文参与登链社区写作激励计划 ,好文好收益,欢迎正在阅读的你也加入。

0 条评论

请先 登录 后评论
Chainlink
Chainlink
顶尖的智能合约去中心化预言机网络解决方案 https://chain.link/