5次跨鏈橋漏洞攻擊總損失已超13億美元 誰來為這天價損失買單？_ETH

2022年自年初至今，僅5次的跨鏈橋攻擊就導致了13.17億美元的損失——這個數字是2022年Web3.0行業因黑客、欺詐、漏洞等事件造成總資產損失金額的57%。

之所以跨鏈橋攻擊的損失如此巨大，是因其本身的固有安全漏洞及整個領域缺乏防御攻擊專業意識和相關理論知識。

規模位于前三的跨鏈橋攻擊事件分別為：RoninNetwork，造成6.24億美元的損失；Solana跨鏈橋項目蟲洞，造成3.26億美元的損失；Nomad，造成1.9億美元的損失。

本文將通過分析今年發生的這5起尤其是具有代表性的NomadBridge攻擊事件，與大家探討跨鏈橋的安全問題及解決方式。

跨鏈橋安全

在分析這幾起攻擊事件前，我們需要明確一下跨鏈橋存在的固有安全問題。

V神VitalikButerin曾在Reddit上寫道，因為51%攻擊的影響，他對跨鏈應用持悲觀態度。然而除此之外，還有更多需要考慮的其他問題。

AzukiDAO：已關閉代幣申領窗口，擬將所有代幣轉移至DAO金庫:7月3日消息，AzukiDAO 發布公告稱，已關閉治理代幣的申領窗口，并計劃提出將所有代幣轉移至 DAO 金庫的提案，隨后將從社區中選出多簽貢獻者。

此前報道，據 MetaSleuth 監測顯示，AzukiDAO 的治理代幣合約因存在漏洞受到攻擊，已有兩名攻擊者利用該漏洞獲利 35 ETH。[2023/7/3 22:15:29]

在2022年7月22日發布的一個推特視頻中，Nomad的創始人JamesPrestwich解釋了為何行業普遍在跨鏈應用建立安全模型方面缺乏專業知識，以及為何獲取這些標準的專業知識需要花費一年的時間。

對于個人用戶來說，很難將資產從一個區塊鏈轉移到另一個區塊鏈，因此必須通過跨鏈橋來實現這一操作。跨鏈橋協議的原理是：用戶在A鏈將代幣存入，隨后在B鏈上收到債務代幣。一旦B鏈的債務代幣被銷毀，則A鏈存儲的代幣就會被釋放。

為了實現這一功能，跨鏈橋需要實現這幾個功能：保管用戶存入的代幣，向用戶釋放債務代幣，以及在不同鏈之間發送消息的預言機。這使得跨鏈橋在安全方面更加脆弱——黑客可以下手的地方實在太多了。

孫宇晨：火必最快可能在年底獲得香港加密貨幣交易牌照:金色財經報道，孫宇晨表示，火必最快可能在今年年底在香港獲得加密貨幣交易牌照。火必在上周提交了虛擬資產服務提供商（VASP）的申請，其中包括 18 個月的寬限期，監管機構可以批準或拒絕該申請，但孫宇晨說他預測在未來六到十二個月內可能會有決定。孫宇晨還表示，OKX、Gate.io、Bitget、Bybit 等交易所也可能申請牌照。當被問及是否可能在加拿大與 Coinbase 和 Kraken 競爭時，孫宇晨表示，鑒于其嚴格的監管要求，火必沒有在該國開展業務的計劃。[2023/6/2 11:55:05]

條條大路通跨鏈橋，對黑客來說，又怎么能輕易拒絕這種快速暴富的攻擊渠道？攻擊造成的后果并不只是存款損失，一旦跨鏈橋產生漏洞或遭到攻擊，整個跨鏈橋的代幣將很可能失去所有價值。

RoninNetwork

RoninNetwork漏洞是有史以來最大的DeFi漏洞。

3月底，CertiK審計團隊監測到NFT游戲AxieInfinity側鏈RoninNetwork遭到攻擊，損失價值約6.24億美元的17.36萬枚ETH以及2550萬枚USDC。

加密交易所比特幣期貨4月交易量達9314億美元:金色財經報道，數據顯示，加密貨幣交易所的比特幣期貨交易量（以美元計算）4月累計交易量達9314億美元，其中，Binance 4月期貨交易量為5258.2億美元，OKX 4月期貨交易量為 1486.7 億美元，ByBit 4月期貨交易量為 1483.5 億美元。

值得注意的是，加密貨幣交易所的比特幣期貨交易量在2021年5月創出新高，達到2.69萬億美元，隨后便不斷下跌，即使BTC在6個月后創出歷史高位，達69000美元時，交易所的比特幣期貨交易量最也并未創出新高，只有1.59萬億美元。[2023/5/7 14:47:51]

RoninNetwork需要驗證九個驗證節點中的五個簽名。而攻擊者黑了4個SkyMavis的私鑰，制造了5個合法的簽名，即：4個SkyMavis驗證器和1個AxieDAO運行的第三方驗證器產生的簽名。

這導致5個驗證器節點被破壞，高級魚叉式網絡釣魚攻擊是造成這一情況的罪魁禍首。

Bitstamp在加密友好型市場推出新的借貸服務:金色財經報道，加密貨幣交易所Bitstamp，今天宣布在新的歐洲市場、香港和阿拉伯聯合酋長國推出新的借貸服務。Bitstamp與芬蘭貸款公司Tesseract合作，提供白標簽平臺。Tesseract平臺上的借款人必須為穩定幣貸款提供100%的抵押品。該合作伙伴使用不同的法律實體將客戶貸款和資產與Tesseract的其他合作伙伴分開。

該產品只在某些歐洲國家銷售，包括法國、愛爾蘭、意大利和西班牙，以及香港和阿拉伯聯合酋長國。[2023/4/6 13:48:09]

Solana跨鏈橋項目蟲洞

北京時間2022年2月3日凌晨1點58分，CertiK審計團隊監測到Solana跨鏈橋項目蟲洞遭到攻擊。

此次事件中，攻擊者通過注入一個欺騙性的sysvar賬戶繞過了系統驗證步驟，并成功生成了一條惡意“消息”，指定要鑄造12萬枚wETH。最后，攻擊者通過使用惡意“消息”調用了“complete_wrapped”函數，成功鑄造了12萬枚wETH，價值約3.26億美元。

何一：Binance投資福布斯遇到一些困難:金色財經報道，Binance 孵化器和投資部門 Binance Labs 負責人何一在接受采訪時表示，目前正在尋找能夠為行業帶來長期利益的早期項目，而且已經在熊市中看到了投資機會，但她拒絕透露具體的投資標的細節，但稱“肯定會過濾掉一些為了賺快錢而一時興起的仿盤項目，因為這樣的項目缺乏可靠的商業模式，不會持久。

此外，何一透露投資福布斯似乎遇到一些困難，Binance 正在做調整，因為一些股東可能想稀釋持股，何一稱 Binance 沒有真正將媒體列為特定的投資目標。（forkast）[2022/9/19 7:06:50]

鑄幣兩分鐘后，攻擊者將1萬枚ETH橋接到以太坊鏈上，約20分鐘后，以太坊鏈上又產生了8萬枚ETH的交易。時至今日，這些資金仍在攻擊者的錢包里。

該事件造成的損失金額之大，令其成為了跨鏈橋史上第二大黑客攻擊事件。

Harmony?Bridge

北京時間2022年6月23日19:06:46，CertiK審計團隊監測到Harmony鏈和以太坊之間的跨鏈橋經歷了多次惡意攻擊。

CertiK團隊安全專家分析，此次攻擊事件可能源于黑客掌握了owner的私鑰——攻擊者控制MultiSigWallet的所有者直接調用confirmTransaction從Harmony的跨鏈橋上轉移大量代幣，導致Harmony鏈上價值約9700萬美元的資產被盜，該筆資金后被轉移至TornadoCash。

這起攻擊事件涉及到了12筆價值約5萬美元到4120萬美元以上的交易及3個攻擊地址，涉及到的代幣包括ETH、USDC、WBTC、USDT、DAI、BUSD、AAG、FXS、SUSHI、AAVE、WETH和FRAX。

Qubit?Bridge

發生于年初的Qubit攻擊事件也是一個典型的跨鏈橋漏洞事件。

2022年1月27日，CertiK審計團隊監測到Qubit遭到攻擊，導致了約8000萬美元的損失。

攻擊者調用了QBridge合約，在沒有提供任何加密貨幣的情況下使bridge合約產生了攻擊者已存款的虛假時間證明。

ETH和ERC-20的存款共享相同的事件證明，因此允許攻擊者調用該函數利用不存在的ERC20存款事實生成虛假的ETH存款事件證明，并以此在另一條鏈上提取ETH。因此，攻擊者在沒有向合約發送任何代幣的情況下通過了QBridgeHandler證明，并在交叉鏈上鑄造了大約77,162個qxETH。黑客隨后將盜取的資金存入了TornadoCash。

NomadBridge

北京時間2022年8月2日，CertiK安全團隊監測到NomadBridge遭受攻擊，導致了價值約1.9億美元的損失。

合約的問題在于在initialize()函數被調用的時候，“committedRoot”被設成了0x00地址。因此，攻擊者可以通過消息的驗證，將在橋合約中的代幣轉移。鎖倉總價值由1.9億美元驟降為1.2萬美元——這實質上使得攻擊者可以在A鏈上存入1ETH而在B鏈上收到100ETH。

這個漏洞的神奇之處在于，看起來好像沒有任何一個直接攻擊者。但至少有41個錢包參與了此次攻擊，我們可以認為它是Web3.0世界第一個「群體作案」。也許正是因為這個原因，攻擊者可以輕易地從橋上提取資金。

第一筆可疑交易發生在8月2日凌晨5:32，100wBTC被轉移到0x56d8......我們可以觀察到代幣從這里開始持續瘋狂轉移。

這樣的漏洞也在吸引著如RariCapital攻擊者這樣的以往Web3.0黑客。

另外有個有意思的地方是，還有個惡意者試圖對這起事件的黑客進行網絡釣魚攻擊，ta持有ENSnomadexploiter.eth的EOA向持黑客EOA發送了鏈上信息，在8月2日注冊冒充Nomad與黑客進行談判：

Nomad在推特上發布聲明稱這不是他們干的

寫在最后

這些攻擊事件的漏洞在持續警醒我們：跨鏈橋漏洞所能造成的破壞性極其巨大。

Web3.0世界目前急需更安全和更廣泛的跨鏈應用。未來同類性質的漏洞可能會出現的越來越多、越來越頻繁。

我們可以盡力而為的至少是確保項目代碼經過了完備的測試和安全審計，這將大幅提高面對高破壞性黑客攻擊的抵御能力。

來源：金色財經

Tags：ETHBITNOMBRIETHMAXY價格bitfinexANOMbrise幣是哪個國家的

酷幣