比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > FIL幣 > Info

5次跨鏈橋漏洞攻擊總損失已超13億美元 誰來為這天價損失買單?_USD

Author:

Time:1900/1/1 0:00:00

2022年自年初至今,僅5次的跨鏈橋攻擊就導致了13.17億美元的損失——這個數字是2022年Web3.0行業因黑客、欺詐、漏洞等事件造成總資產損失金額的57%。

之所以跨鏈橋攻擊的損失如此巨大,是因其本身的固有安全漏洞及整個領域缺乏防御攻擊專業意識和相關理論知識。

規模位于前三的跨鏈橋攻擊事件分別為:Ronin Network,造成6.24億美元的損失;Solana跨鏈橋項目蟲洞(Wormhole),造成3.26億美元的損失;Nomad,造成1.9億美元的損失。

本文將通過分析今年發生的這5起尤其是具有代表性的Nomad Bridge攻擊事件,與大家探討跨鏈橋的安全問題及解決方式。

在分析這幾起攻擊事件前,我們需要明確一下跨鏈橋存在的固有安全問題。

V神Vitalik Buterin曾在Reddit上寫道,因為51%攻擊的影響,他對跨鏈應用持悲觀態度。然而除此之外,還有更多需要考慮的其他問題。

FTX完成第105次FTT回購銷毀,銷毀約270萬美金的FTT:據官方消息,數字資產衍生品交易所FTX昨日完成對其平臺幣FTT的第105次回購銷毀,共銷毀88,808 FTT(約270萬美金)。FTT的部分銷毀來自于FTX所收得手續費的33%,已銷毀FTT總數達12,668,794 FTT(約4億美金)。

FTT暫報32.03美金,總流通市值約49.4億美金。此外,質押FTT將尊享:邀請返傭比例、掛單手續費獎勵、上幣投票額外權益、空投額外獎勵、免提幣手續費以及通證預售額外認購券以及抽取FTX周邊大禮包。詳情請見官方公告。[2021/7/28 1:21:07]

在2022年7月22日發布的一個推特視頻中(https://twitter.com/nomadxyz_/status/1550525582714097664),Nomad的創始人James Prestwich解釋了為何行業普遍在跨鏈應用建立安全模型方面缺乏專業知識,以及為何獲取這些標準的專業知識需要花費一年的時間。

對于個人用戶來說,很難將資產從一個區塊鏈轉移到另一個區塊鏈,因此必須通過跨鏈橋來實現這一操作。跨鏈橋協議的原理是:用戶在A鏈將代幣存入,隨后在B鏈上收到債務代幣。一旦B鏈的債務代幣被銷毀,則A鏈存儲的代幣就會被釋放。

58COIN季度合約完成第二季度第5次結算:據58COIN官方公告,其季度合約已于今日17:58啟動2020年第二季度第5次結算,現已結算完畢,分攤機制未啟用。據悉,其季度合約擁有浮盈開倉、雙向持倉、USDT計價結算、最高150倍杠桿等設計。[2020/5/1]

為了實現這一功能,跨鏈橋需要實現這幾個功能:保管用戶存入的代幣,向用戶釋放債務代幣,以及在不同鏈之間發送消息的預言機。這使得跨鏈橋在安全方面更加脆弱——黑客可以下手的地方實在太多了。

條條大路通跨鏈橋,對黑客來說,又怎么能輕易拒絕這種快速暴富的攻擊渠道?攻擊造成的后果并不只是存款損失,一旦跨鏈橋產生漏洞或遭到攻擊,整個跨鏈橋的代幣將很可能失去所有價值。

Ronin Network漏洞是有史以來最大的DeFi漏洞。

3月底,CertiK審計團隊監測到NFT游戲Axie Infinity側鏈Ronin Network遭到攻擊,損失價值約6.24億美元的17.36萬枚ETH以及2550萬枚USDC。

Ronin Network需要驗證九個驗證節點中的五個簽名。而攻擊者黑了4個Sky Mavis的私鑰,制造了5個合法的簽名,即:4個Sky Mavis驗證器和1個Axie DAO運行的第三方驗證器產生的簽名。

HB10本周上漲4.46%,共產生335次換入換出套利機會:據火幣HB10行情周報,4月11日至4月17日,HB10/USDT上漲4.46%,HB10資金占比前三大幣種本期間內表現為BTC/USDT上漲3.46%,ETH/USDT上漲8.55%,BCH/USDT上漲0.02%;HB10與10種成分幣盈利比較排名第5。本周HB10/USDT價格漲跌幅年化波動率67.97%,較上周下降9.17%,排名第4。出現套利機會約335次,換入套利機會約324次,換出套利機會約11次。HB10是以火幣主力指數為跟蹤標的的指數化產品。由于HB10包含10個幣種,分散風險功能體現顯著。[2020/4/17]

這導致5個驗證器節點被破壞,高級魚叉式網絡釣魚攻擊是造成這一情況的罪魁禍首。

北京時間2022年2月3日凌晨1點58分,CertiK審計團隊監測到Solana跨鏈橋項目蟲洞(Wormhole)遭到攻擊。

數據:比特幣歷史上只有5次挖礦難度降幅達到兩位數:富達(Fidelity)比特幣挖礦業務負責人Jurica Bulovic 近日發布推特,對比特幣挖礦難度的歷年變化進行了分析和總結。在2009年12月30日,比特幣挖礦難度進行了第一次調整,從1增長到1.1829,漲幅為18.29%。第二年,也就是2010年,礦工們開始進行GPU挖礦,比特幣挖礦難度不斷增加,從1.18上升到14.5k,增加了12,245倍。而在2013年,礦機出現,開始進行ASIC挖礦,當年的比特幣挖礦難度增漲了竟然的39533%。從2010年開始,比特幣挖礦難度每年都在增加,嘗試趕上價格漲幅,直到今年比特幣挖礦難度出現歷史性的大幅下調。另外,比特幣歷史上只有 5 次挖礦難度降幅達到兩位數。[2020/3/28]

此次事件中,攻擊者通過注入一個欺騙性的sysvar賬戶繞過了系統驗證步驟,并成功生成了一條惡意“消息”,指定要鑄造12萬枚wETH。最后,攻擊者通過使用惡意“消息”調用了“complete_wrapped”函數,成功鑄造了12萬枚wETH,價值約3.26億美元。

動態 | 聯合國報告:朝鮮黑客涉嫌對虛擬貨幣交易所進行了35次網絡攻擊:聯合國安理會下屬專家小組發布報告稱,朝鮮在2015年12月至2019年5月期間,涉嫌對至少17個國家的金融機構和虛擬貨幣交易所進行了35次網絡攻擊,共竊取近20億美元的法幣和加密貨幣。這份報告的較長版本顯示,韓國受到的打擊最嚴重,朝鮮發起10次網絡攻擊;其次是印度,遭受3次攻擊;孟加拉國和智利各遭受2次攻擊。(南華早報)[2019/8/13]

鑄幣兩分鐘后,攻擊者將1萬枚ETH橋接到以太坊鏈上,約20分鐘后,以太坊鏈上又產生了8萬枚ETH的交易。時至今日,這些資金仍在攻擊者的錢包里。

該事件造成的損失金額之大,令其成為了跨鏈橋史上第二大黑客攻擊事件。

北京時間2022年6月23日19:06:46,CertiK審計團隊監測到Harmony鏈和以太坊之間的跨鏈橋經歷了多次惡意攻擊。

CertiK團隊安全專家分析,此次攻擊事件可能源于黑客掌握了owner的私鑰——攻擊者控制MultiSigWallet的所有者直接調用confirmTransaction()從Harmony的跨鏈橋上轉移大量代幣,導致Harmony鏈上價值約9700萬美元的資產被盜,該筆資金后被轉移至Tornado Cash。

這起攻擊事件涉及到了12筆價值約5萬美元到4120萬美元以上的交易及3個攻擊地址,涉及到的代幣包括ETH、USDC、WBTC、USDT、DAI、BUSD、AAG、FXS、SUSHI、AAVE、WETH和FRAX。

發生于年初的Qubit攻擊事件也是一個典型的跨鏈橋漏洞事件。

2022年1月27日,CertiK審計團隊監測到Qubit遭到攻擊,導致了約8000萬美元的損失。

攻擊者調用了QBridge合約,在沒有提供任何加密貨幣的情況下使bridge合約產生了攻擊者已存款的虛假時間證明。

ETH和ERC-20的存款共享相同的事件證明,因此允許攻擊者調用該函數利用不存在的ERC20存款事實生成虛假的ETH存款事件證明,并以此在另一條鏈上提取ETH。因此,攻擊者在沒有向合約發送任何代幣的情況下通過了QBridgeHandler證明,并在交叉鏈上鑄造了大約77,162個qxETH。黑客隨后將盜取的資金存入了Tornado Cash。

北京時間2022年8月2日,CertiK安全團隊監測到Nomad Bridge遭受攻擊,導致了價值約1.9億美元的損失。

合約的問題在于在initialize() 函數被調用的時候,“committedRoot” 被設成了0x00地址。因此,攻擊者可以通過消息的驗證,將在橋合約中的代幣轉移。鎖倉總價值由1.9億美元驟降為1.2萬美元——這實質上使得攻擊者可以在A鏈上存入1ETH而在B鏈上收到100ETH。

這個漏洞的神奇之處在于,看起來好像沒有任何一個直接攻擊者。但至少有41個錢包參與了此次攻擊,我們可以認為它是Web3.0世界第一個「群體作案」。也許正是因為這個原因,攻擊者可以輕易地從橋上提取資金。

第一筆可疑交易發生在8月2日凌晨5:32,100wBTC(價值約220萬美元)被轉移到0x56d8......我們可以觀察到代幣從這里開始持續瘋狂轉移。

這樣的漏洞也在吸引著如Rari Capital攻擊者這樣的以往Web3.0黑客。

另外有個有意思的地方是,還有個惡意者試圖對這起事件的黑客進行網絡釣魚攻擊,ta持有ENS nomadexploiter.eth的EOA向持黑客EOA發送了鏈上信息,在8月2日注冊冒充Nomad與黑客進行談判:

Nomad在推特上發布聲明稱這不是他們干的

這些攻擊事件的漏洞在持續警醒我們:跨鏈橋漏洞所能造成的破壞性極其巨大。

Web3.0世界目前急需更安全和更廣泛的跨鏈應用。未來同類性質的漏洞可能會出現的越來越多、越來越頻繁。

我們可以盡力而為的至少是確保項目代碼經過了完備的測試和安全審計,這將大幅提高面對高破壞性黑客攻擊的抵御能力。

Tags:ETHUSD比特幣FTTPETHUSDP(PAX)幣中國比特幣現狀最新Nftt innovate swap

FIL幣
金色百科丨Steemit、Steem與Hive之間是什么關系?_MIT

最近,Steem分叉成為區塊鏈圈子一件熱門事件。但在此事件中,我們還看到了另外兩個單詞Steemit與Hive,讓人有些分不清它們之間的關系,這里金色財經就來簡單科普一下.

1900/1/1 0:00:00
5次跨鏈橋漏洞攻擊總損失已超13億美元 誰來為這天價買單?_MAD

2022年自年初至今,僅5次的跨鏈橋攻擊就導致了13.17億美元的損失——這個數字是2022年Web3.0行業因黑客、欺詐、漏洞等事件造成總資產損失金額的57%.

1900/1/1 0:00:00
比特幣入門|什么是比特幣?_ETH

比特幣(Bitcoin),簡稱BTC,是運用加密原理構建的第一種數字貨幣,創始人為中本聰,該貨幣的計量單位也叫BTC.

1900/1/1 0:00:00
金色百科 | 什么是避險資產?什么是風險資產?_BCH

避險資產指的是隨著市場變化,價格不會波動太大的一類較為穩定的資產,常見的有三種:黃金、避險貨幣和國債.

1900/1/1 0:00:00
2022全球區塊鏈領域人才報告:Web3.0方向_馬斯克

歐易OKX&領英正式發布全球首份《2022全球區塊鏈領域人才報告-Web3.0方向》,報告全文近2萬字,耗時近3個月,數據樣本覆蓋180個國家,囊括了全球區塊鏈行業概覽.

1900/1/1 0:00:00
金色百科丨幣圈中的浮動收益理財是什么?_ETH

今年,不少加密貨幣交易平臺都紛紛推出各種理財產品、量化交易產品。浮動收益理財就是其中之一。那么,什么是浮動收益理財?浮動收益理財是相對于固定收益理財而言的,正如字面意思,浮動收益理財的最終收益率.

1900/1/1 0:00:00
ads