更新于:2025年6月30日
5分钟阅读
作者:Oleh Malanii
目前,有超过1000种不同的区块链,有些是简单的以太坊分支,另一些被设计为具有独特共识模型和其他功能的独立区块链平台。与此同时,核心价值并没有发生根本变化。
直观的用户体验是每个人都想要的。如果你持有ETH代币,你希望能够闭着眼睛将它们兑换成SOL、BTC、HAI或任何其他币种。在币安智能链和Polygon PoS等两个区块链之间转移有价值的资产,应该像将美元兑换成欧元一样容易。
毕竟,如果一个产品的使用方式与其他同类产品如此不同,谁愿意花时间去猜测它是如何工作的呢?充满摩擦的客户体验应该成为过去,使得网络之间的互操作性成为一种必然的需求。另一方面,我们对区块链桥的理念持有有效的批评:
- Vitalik Buterin等人反对或对多链交易持谨慎态度;
- 一些最大的加密货币黑客攻击发生在跨链桥上;
- 用户必须支付高昂的交易费用;
- 开发者工具不统一,使得实现抵抗性更加困难。
显然,跨链桥是整个生态系统中最薄弱的环节。然而,它们让各种区块链共享数据、转移资产以及访问来自其他区块链的合约。跨链能力促进了加密货币的大规模采用。有人甚至可能认为,为多个链设立一个单点将导致创建一个所有人都可以访问的区块链。在最坏的情况下,通过跨链或多链功能的失败所吸取的教训将改善区块链技术。从而推动Web3进入一个更安全的地方。
跨链桥如何工作
任何给定的跨链桥都是一个dApp,允许用户在区块链之间转移资产。
通常,它使用 vault 智能合约锁定或销毁源链上的代币,然后通过 peg 智能合约在目标链上解锁或铸造这些代币的代表。一组“守护者”监控整个过程,确保所需数量的代币在目标区块链中被释放。
攻击者正在寻找上述元素中的漏洞。在发现这些漏洞后,黑客可以利用它们从桥的两侧提取资金,而无需在源链中投入任何东西。
加密货币桥的安全风险和危险
桥的黑客攻击占DeFi总价值损失的50%以上。迄今为止,黑客从支持跨链交易的去中心化应用程序中窃取了$25.3亿。不同的链使用不同的区块链技术,但存在某些相似之处。我们看到了私钥泄露和智能合约漏洞利用。
如果我们讨论的是通过桥连接多个区块链,那么潜在漏洞的危险会呈指数级增长,因为攻击向量会成倍增加。如果50个区块链网络通过桥连接,并且只有一条链遭到51%攻击,那么其他49个平台的安全性也会受到损害。
在区块链之间创建桥的难点是什么?用外行的话来说,不同的加密货币代币不能与不同的货币单位相提并论。它们不仅以不同的编码语言编写,而且存在于不同的虚拟环境中。
构建连接它们的逻辑绝非易事。实际上,这极其困难,特别是当任务是实现多个加密货币代币之间的转换时。我们没有通用的编译器(例如 JavaScript 编程语言中的 Babel),可以自动将来自源链的代码转换为可以在质量上不同的区块链网络上运行的版本。
此外,区块链桥是一项相对较新的发明,并且没有足够多的专业程序员擅长编写和分析桥代码。开发与跨链桥相关的最佳实践需要时间,加密货币行业将不得不等待。更多的黑客攻击将会发生,但它们无法使web3.0的未来变得更糟。
最常见的跨链桥黑客攻击
最近关于跨链桥的统计数据非常轰动,因为与这些dApp相关的黑客攻击占2022年所有被盗加密货币资金的69%。经过 thorough analysis,已确定以下类型的加密货币桥黑客攻击:
虚假存款事件
Qubit 黑客攻击,于 2022 年 1 月 28 日发生,被盗近 $8000 万
当桥允许在监控源区块链上的存款事件后转移到另一个区块链时,这些黑客攻击是可行的。攻击者可以找到一种方法来创建存款事件,而无需进行真正的存款。或者,他们可以使用没有价值的代币进行存款。
虚假存款
Wormhole 协议黑客攻击,于 2022 年 2 月 2 日发生,被盗约 $3.25 亿。
存款验证过程有时可能会被欺骗。网络犯罪分子可以利用代码缺陷并进行虚假存款,系统会错误地将其视为真实存款。
验证者接管
Ronin Network 黑客攻击,2022 年 3 月,大约$6 亿的 ETH 和 USDC 入账。
有些桥配备了验证者,他们的投票决定是否应批准有问题的转移。如果网络犯罪分子获得了对这些网络节点的大多数控制权,则可以批准恶意转移。
Ronin 的例子也很重要,因为它展示了事件响应的失败。该团队花了六天时间才注意到验证机制的漏洞。由智能合约提供支持的跨链桥和其他 Web3 应用程序需要像 Hacken Extractor 这样的持续监控工具来实时发现恶意数据和漏洞。
智能合约安全性只是桥梁的开始
不可避免的是,跨链桥将在很长一段时间内仍然是网络攻击者追捧的目标。加密货币行业将一次又一次地受到重大漏洞的影响。即使加密货币世界中的每个平台都开始认真对待安全性,我们仍然会有诈骗者通过网络钓鱼窃取私钥。希望有一天,跨链桥将比现在安全得多。用户将能够在不泄露密钥的情况下签署交易,并且网络不会遭受数据泄露。
目前,启动新加密货币桥的经验法则是仔细验证智能合约的代码。由可信的专业审计师进行的外部代码审查将帮助你完成此任务。它可以防止产品因基本代码错误、有缺陷的合约逻辑或错误的计算而一败涂地。另一个好主意是检查你的桥是否连接到经过审计的协议。
数据安全和私钥完整性可以通过采用最佳安全实践来实现,例如针对Web和移动应用,API连接和网络的渗透测试。没有比渗透测试更好的数据完整性解决方案,而Hacken是该领域公认的领导者。
dApp审计对于跨链桥的安全性至关重要。每个桥都是一个去中心化应用程序。它使用链下组件来进行计算或存储与智能合约代码分开的数据。Hacken的dApp审计将确保你的跨链桥按预期连接到区块链。
此外,如果你想要一种廉价且有效的跨链安全选项,请务必运行一个积极的漏洞赏金计划。HackenProof的漏洞赏金计划将你的系统连接到数百名外部安全研究人员,他们会报告错误以获得奖励。Triage Team会验证每个报告的范围和严重性,因此你只需为有效的错误付费。作为一种众包措施,漏洞赏金计划可让你的社区参与产品开发。
