星期六, 25 3 月, 2023
  • 隱私權保護政策
雷司紀的小道投資
  • 文章總覽
  • 精選主題
    • 人物專訪系列
    • 市場延燒話題
    • 金融投資新知
    • 省錢小撇步
  • 美股投資入門
    • 投資基礎思維
    • 大師投資策略
    • 美股投資分析
    • 投資商品知識
    • eToro 交易平台
    • IG Markets 交易平台
  • 加密貨幣交易所
    • Binance 幣安交易所
    • OKX 歐易交易所
    • Pionex 派網交易所
    • Bitget 幣記交易所
    • Bitfinex 交易所
    • KuCoin 庫幣交易所
    • BingX 交易所
    • WOO X Global 交易所
    • 台灣加密貨幣交易所
    • 其他加密貨幣交易所
  • 區塊鏈投資
    • 幣圈被動投資
    • 懶人包 & 操作教學
    • 加密貨幣錢包教學
    • 基礎概念大補帖
    • 項目方 & 幣種介紹
    • NFT 資訊大解密
  • 合作專欄
    • 大杯可樂的每日金融
    • PANews 區塊鏈智庫媒體
    • BlockBeats 區塊律動
    • ODAILY 星球日報
    • Techflow 深潮
  • 關於我們
    • 免費資源
    • 諮詢服務
    • 聯絡我們
  • 文章總覽
  • 精選主題
    • 人物專訪系列
    • 市場延燒話題
    • 金融投資新知
    • 省錢小撇步
  • 美股投資入門
    • 投資基礎思維
    • 大師投資策略
    • 美股投資分析
    • 投資商品知識
    • eToro 交易平台
    • IG Markets 交易平台
  • 加密貨幣交易所
    • Binance 幣安交易所
    • OKX 歐易交易所
    • Pionex 派網交易所
    • Bitget 幣記交易所
    • Bitfinex 交易所
    • KuCoin 庫幣交易所
    • BingX 交易所
    • WOO X Global 交易所
    • 台灣加密貨幣交易所
    • 其他加密貨幣交易所
  • 區塊鏈投資
    • 幣圈被動投資
    • 懶人包 & 操作教學
    • 加密貨幣錢包教學
    • 基礎概念大補帖
    • 項目方 & 幣種介紹
    • NFT 資訊大解密
  • 合作專欄
    • 大杯可樂的每日金融
    • PANews 區塊鏈智庫媒體
    • BlockBeats 區塊律動
    • ODAILY 星球日報
    • Techflow 深潮
  • 關於我們
    • 免費資源
    • 諮詢服務
    • 聯絡我們
No Result
View All Result
雷司紀的小道投資
No Result
View All Result
Home 合作專欄 ODAILY 星球日報

回顧史上規模最大的十次跨鏈橋攻擊

BSC的5.66億美元,在跨鏈橋安全黑歷史上排名第三

byODAILY 星球日報
2022-10-08
in ODAILY 星球日報
0
回顧史上規模最大的十次跨鏈橋攻擊
0
SHARES
122
VIEWS
分享到 Facebook分享到 Twitter
原文引自:ODAILY《回顧史上規模最大的十次跨鏈橋攻擊》
原作者:Azuma

跨鏈橋又双叒叕出事了。

今日早間,BNB Chian 跨鏈橋BSC Token Hub 遭遇攻擊。駭客利用跨鏈橋漏洞分兩次共獲取200 萬枚BNB,總價值高達5.66 億美元。關於此次事件的具體過程,Odaily 星球日報已在《解析:約5.66億美元BNB被盜全過程》一文中做了詳細梳理。

跨鏈橋一直都是駭客事件的高發區,Chainalysis 在八月初發布的一份報告中曾提及,跨鏈橋相關的金額損失已高達20 億美元,其中大部分發生在2022 年間,佔今年行業總數據的69%。

即便是BNB Chian 這次高達5.8 億美元的超大額資金損失,放在跨鏈橋的“黑歷史”中也只是堪堪擠進前三名。下文中,Odaily星球日報將對過往十次較大規模的跨鏈橋駭客事件再做一次簡單複盤,希望所有開發團隊都能以史為鑑,提高警惕。

目錄

  • 1. Ronin Network
  • 2. Poly Network
  • 3. BSC Token Hub
  • 4. Wormhole
  • 5. Nomad
  • 6.Harmony Horizon
  • 7. Qubit
  • 8. EvoDeFi Bridge
  • 9. THORChain
  • 10. pNetwork
  • 小結

1. Ronin Network

今年三月下旬,Axie Infinity 側鏈Ronin Network 的跨鏈橋遭到攻擊,損失總額高達6.24 億美元。

根據後續各方的披露,Ronin所遭受的攻擊系社會工程學攻擊。首先,一家虛假公司的員工通過領英聯繫到了Axie Infinity 和Ronin 開發商Sky Mavis 的員工,並邀請他們來工作;隨後,Sky Mavis 的一名員工在面試後獲得了假Offer,在他下載了偽造的Offer 文件之後,駭客軟件滲透到Ronin 系統中,並接管了9 個驗證者節點中的4 個;再然後,駭客通過Sky Mavis 控制了Axie DAO ,後者曾允許Sky Mavis 代表其簽署各種交易;最終,駭客控制了絕大多數(5/9)的驗證者節點,繼而控制了整個網路。

Ronin 一事不單單是跨鏈橋歷史上規模最大的駭客事件,如果按照事件發生時的市場價格計算,這更是整個加密貨幣歷史上涉案金額最大的駭客事件。幸運的是,通過後續融資,Ronin Network 此後啟動了對用戶的賠付,並於六月底重啟了其跨鏈橋。


2. Poly Network

去年八月,跨鏈互操作性項目Poly Network 突遭駭客攻擊,損失金額高達6.1 億美元。

關於該起事件發生的原因,綜合多家安全公司的分析,釀成本次事件的禍因在於EthCrossChainData 合約的keeper 可由EthCrossChainManager 合約進行修改,而EthCrossChainManager 合約的verifyHeaderAndExecuteTx 函數又可以通過_executeCrossChainTx 函數執行用戶傳入的數據。

儘管在各方的持續努力之下,駭客最終選擇了歸還全部6.1 億美元贓款,但作為一起注定會被記入歷史的驚天大案,針對該事件本身及其相關趨勢進行複盤和梳理仍有著較大的警示意義。


3. BSC Token Hub

也就是本次事件,詳見《解析:約5.66億美元BNB被盜全過程》。


4. Wormhole

今年二月,Solana 生態最主要的跨鏈橋項目Wormhole 遭到攻擊,損失約12 萬枚ETH ,價值約3.26 億美元。

該事件的具體流程為,攻擊者起初先是在Solana 上鑄造了0.1 Wormhole ETH,得到了“transfer message” 合約中的“post_vaa” 函數,然後通過加載一個外部的合約繞過了簽名檢查合約,生成了Wormhole 函數“complete_wrapped” 所需的參數,進而實現了無限鑄幣。而發生這一切的根本原因是Wormhole 使用了過期的系統合約,而沒有對參數所需的合約進行最新的升級。

好在,當時還沒被UST 毒打的Jump Crypto(Jump Crypto 已收購Wormhole 的開發公司Certus One)隨後宣佈為Wormhole 投入12 萬ETH,以彌補被盜損失。


5. Nomad

今年八月初,跨鏈通訊協議Nomad 遭遇攻擊,致使橋內約1.9 億美元的流動性被迅速耗盡。

與其它駭客事件不同,Nomad 可以說是被一群“駭客”集體攻擊的。據知名安全大神 samczsun 的分析,本次事故是因為Nomad 在一次合約升級中將可信根初始化為0x00,導致任何人都可以使用一筆有效的交易,用自己的地址替換對方的地址,然後將交易廣播出去即可從跨鏈橋提取資金。事後統計顯示,本次攻擊共涉及到了1251 個ETH地址。

事後,在各方的努力下,Nomad 最終收回了至少20%(近4000 美元的資金),並已於九月下旬發布了重啟計劃。


6.Harmony Horizon

今年六月,Harmony 官方跨鏈橋Horizon 遭到攻擊,損失約為1 億美元。

事後,Harmony創始人 Stephen Tse 承認,攻擊係因私鑰洩漏導致,資金從跨鏈橋的以太坊一側被盜,攻擊者成功訪問和解密其中一些密鑰,其中一些用於簽署未經授權的交易。

事後,Harmony 曾嘗試追回贓款,但最終無果。七月,Harmony 發布了一版希望通過增發ONE 代幣來賠償用戶損失的修復方案,但遭到了社區的集體反對,最終Harmony 放棄了該方案。九月下旬,Harmony 又提出了另一版不涉及代幣增發的修復方案,併計劃從10 月開始為Horizon 跨鏈橋恢復分配資金。


7. Qubit

今年一月,借貸協議Qubit 的跨鏈橋QBridge 遭到攻擊,損失約8000 萬美元。

關於該起事故發生的原因,係因合約對白名單內代幣進行轉賬操作時未對其是否是0地址再次進行檢查,導致本該通過native 充值函數進行充值的操作卻能順利走通普通代幣充值邏輯。

事件發生後,Qubit 的開發團隊Team Mound 宣布已無法維持,因此決定解散,由該團隊領導開發的Bunny 和Qubit 協議將由DAO 管理。社區將擁有升級合約、更改費用結構等所有相關權限。

目前Qubit 幾乎已無人使用,Team Mound 雖表示會繼續賠付,但當前僅賠付了極小一部分(約2%)資金。


8. EvoDeFi Bridge

今年六月,Oasis 生態用戶發現其鏈上DEX ValleySwap 上的USDT 和USDC 出現嚴重脫錨,深究之後發現根本原因係因其依賴的跨鏈橋EvoDeFi Bridge 涉嫌在抵押不足的狀態下憑空鑄造橋接資產。具體來說,EvoDeFi Bridge 在Oasis 鏈上生成了 8300 萬USDT 和3300 萬USDC,但抵押資產僅有1060 萬USDT 和1020 萬USDC。

根據安全數據庫Rekt 的統計,該事件的給用戶造成的具體損失總額約為6600 萬美元。

事後,Oasis 表態稱ValleySwap 和 EvoDeFi Bridge 和自己並沒有關係,後者的官方社交媒體也在此後停止更新,疑似已跑路。


9. THORChain

去年六月至七月,跨鏈橋項目 THORChain 連續三次遭受駭客攻擊,合計損失約1600 萬美元。

事後,THORChain 表態將分三步進行補償,第一批通過”國庫”劃撥出資產補償,第二批通過RUNE 作為抵押從Iron Bank 借出資產進行償還,第三批將在網路重新運行後再進行補償。

今年二月,THORChain 在公佈2021 年第四季度財報時表示,此前因被盜所產生的債務已經全部償還。


10. pNetwork

去年九月,跨鏈協議pNetwork遭受駭客攻擊,損失了277 枚pBTC(按當前價格計算價值超過1300 萬美元)。

針對該起事件,pNetwork 表示係因駭客利用了其代碼庫中的一個漏洞,並從BSC 區塊鏈中抽取pBTC,其它鏈上的合約則不受影響。

事後,pNetwork 曾表態如果不能追回贓款,將會啟動相應的賠付方案,但此後並未披露具體的賠付進展。


小結

關於跨鏈橋的安全問題,業界早已是“老生常談”了。

為什麼跨鏈相關協議如此容易遭到攻擊?跨鏈橋到底該如何平衡效率與安全性?在安全形勢愈發嚴峻的當下,項目方、用戶等不同角色需要注意些什麼?倘若真的發生了極端事故,又有哪些行之有效的彌補手段?此前,Odaily星球日報曾就這一系列問題採訪過 PeckShield、BlockSec 等知名安全公司,感興趣的讀者可以看看《對話頭部安全公司,為什麼受傷的總是跨鏈橋?》一文。

原文引自:ODAILY《回顧史上規模最大的十次跨鏈橋攻擊》

原作者:Azuma

Last Updated on 2022-10-08 by 刻銘

Tags: 加密貨幣區塊鏈攻擊幣安鏈跨鏈橋駭客
ODAILY 星球日報

ODAILY 星球日報

致力於從內容平台切入,成為區塊鏈產業鏈資源整合服務者。於 2018 年初由 36Kr 孵化成立,全面覆蓋新聞、快訊、深度、解讀分析、行業報告等內容形式。

相關文章

涼兮前傳:偏執、天才與表演型人格

涼兮前傳:偏執、天才與表演型人格
byODAILY 星球日報
2022-10-21
0

10 月 17 日晚,波場創始人孫宇晨與...

Read more

盜取 Mango 上億資金後,駭客發起 DAO 提案試圖〝免罪〞

盜取 Mango 上億資金後,駭客發起 DAO 提案試圖〝免罪〞
byODAILY 星球日報
2022-10-13
0

Solana  生態去中心化交易平臺 M...

Read more

美FSOC報告:加密貨幣需要「適當監管」

美FSOC報告:加密貨幣需要「適當監管」
byODAILY 星球日報
2022-10-07
0

美國政府發布新報告表示,如果加密貨幣持續...

Read more

2022三季度NFT報告:頂住熊市頹敗,下一步在哪裡?

2022三季度NFT報告:頂住熊市頹敗,下一步在哪裡?
byODAILY 星球日報
2022-10-05
0

2022 年 Q3,整個幣圈都陷入低潮,...

Read more

Q4值得關注的20個DeFi項目

Q4值得關注的20個DeFi項目
byODAILY 星球日報
2022-10-04
0

2022 年的熊市有些漫長,不過在這段時...

Read more
Next Post
WEB3 VC 排行榜解讀:TO5 VC 有何競爭優勢?

WEB3 VC 排行榜解讀:TO5 VC 有何競爭優勢?

發佈留言 取消回覆

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

訂閱雷司紀Telegram

近期文章

Pionex 派網交易所

2023/ 3-4 月派網合約寵粉活動:最高獎金 1 萬 U 完成任務一人獨得

2023-03-23
基礎概念大補帖

加密貨幣熊市投資好難?介紹你這妙方:量化交易策略指標之優缺點評價

2023-03-21
Pionex 派網交易所

派網 x 呢喃貓量化交易策略指標:介紹、優缺點評價、如何免費跟單操作教學

2023-03-21
Bitget 幣記交易所

Bitget x Haloworld (HALO) 代幣 IEO 空投|Launchpad 參與辦法教學

2023-03-16

延燒話題

  • 2023 幣安出金教學|美元電匯、錢包轉帳、C2C 台幣提現

    2023 幣安出金教學|美元電匯、錢包轉帳、C2C 台幣提現

    0 shares
    Share 0 Tweet 0
  • 價值投資教學:合理股價怎麼計算?四種公式與方法教你!

    0 shares
    Share 0 Tweet 0
  • 2023 最新實測|幣安 5 種入金方式步驟、手續費比較

    0 shares
    Share 0 Tweet 0
  • 石油投資攻略:五大石油公司超過 10% 殖利率配息,全球存股達人的長期首選!

    3357 shares
    Share 3357 Tweet 0
  • 派網 Pionex 是詐騙嗎?平台安全性和評價整理

    0 shares
    Share 0 Tweet 0

熱門文章

  • 2023 幣安出金教學|美元電匯、錢包轉帳、C2C 台幣提現

    2023 幣安出金教學|美元電匯、錢包轉帳、C2C 台幣提現

    0 shares
    Share 0 Tweet 0
  • 價值投資教學:合理股價怎麼計算?四種公式與方法教你!

    0 shares
    Share 0 Tweet 0
  • 2023 最新實測|幣安 5 種入金方式步驟、手續費比較

    0 shares
    Share 0 Tweet 0
  • 石油投資攻略:五大石油公司超過 10% 殖利率配息,全球存股達人的長期首選!

    3357 shares
    Share 3357 Tweet 0
  • 派網 Pionex 是詐騙嗎?平台安全性和評價整理

    0 shares
    Share 0 Tweet 0

追蹤我們

  • 首頁
  • 精選主題
  • 美股投資入門
  • 加密貨幣交易所
  • 區塊鏈投資
  • 合作專欄
  • 諮詢服務
  • 關於我們

© 版權所有 2023 雷司紀的小道投資。查看我們網站的 隱私權保護政策。

No Result
View All Result
  • 文章總覽
  • 精選主題
    • 人物專訪系列
    • 市場延燒話題
    • 金融投資新知
    • 省錢小撇步
  • 美股投資入門
    • 投資基礎思維
    • 大師投資策略
    • 美股投資分析
    • 投資商品知識
    • eToro 交易平台
    • IG Markets 交易平台
  • 加密貨幣交易所
    • Binance 幣安交易所
    • OKX 歐易交易所
    • Pionex 派網交易所
    • Bitget 幣記交易所
    • Bitfinex 交易所
    • KuCoin 庫幣交易所
    • BingX 交易所
    • WOO X Global 交易所
    • 台灣加密貨幣交易所
    • 其他加密貨幣交易所
  • 區塊鏈投資
    • 幣圈被動投資
    • 懶人包 & 操作教學
    • 加密貨幣錢包教學
    • 基礎概念大補帖
    • 項目方 & 幣種介紹
    • NFT 資訊大解密
  • 合作專欄
    • 大杯可樂的每日金融
    • PANews 區塊鏈智庫媒體
    • BlockBeats 區塊律動
    • ODAILY 星球日報
    • Techflow 深潮
  • 關於我們
    • 免費資源
    • 諮詢服務
    • 聯絡我們

© 版權所有 2023 雷司紀的小道投資。查看我們網站的 隱私權保護政策。

點擊複製