1. 首頁
    2. 做區塊鏈的有哪些公司(因黑客入侵區塊鏈橋而被盜的20億美元暴露了DeFi的致命弱點)

    做區塊鏈的有哪些公司(因黑客入侵區塊鏈橋而被盜的20億美元暴露了DeFi的致命弱點)

    2023-09-24

    文/Maria Gracia Santillana Linares

    如果說2018年是中心化加密貨幣交易所的黑客爆發之年,那么去中心化的區塊鏈橋似乎注定會在今年贏得這一“榮譽”。

    加密貨幣分析公司Chainalysis的一篇新博客文章表示,在2022年上半年,共有超過19億美元的資金在跨鏈黑客攻擊中被盜。

    最近幾周,跨區塊鏈橋也因其脆弱性而受到抨擊。跨區塊鏈橋的核心是允許用戶用一種代幣兌換另一種代幣,比如把幣安的BNB代幣換成以太坊。可以說,區塊鏈橋是擴展區塊鏈可操作性的關鍵。

    Chainalysis研究主管Kim Grauer表示:“實現這種互操作性至關重要。”

    但為了發揮這種作用,區塊鏈橋必須持有大量的兩種代幣。這樣的資金池對黑客來說很有吸引力。Kim Grauer說,區塊鏈橋“允許區塊鏈之間進行對話,但也為居心不良的人創造了偷食的蜜罐。”

    “不管這些資金是被存儲在一個智能合約中,還是通過一個集中托管機構在保存,這個存儲點都會成為一個黑客攻擊的目標。”

    它們的脆弱性也可能是去中心化金融(DeFi)增長過快的結果。網絡安全公司Active Fence的高級戰略總監Amit Dar說,跨區塊鏈橋“有點像是一個馬后炮”。

    “有效的區塊鏈橋設計仍然是一個未解決的技術挑戰,許多新的模型正在開發和測試當中。”

    盡管如此,這些橋梁已經成為DeFi的主要組成部分,只要它們仍然脆弱,黑客攻擊也仍將層出不窮。

    ArweaveAR的CEO Sam William說:“原本去中心化金融的承諾是,我們可以獲得免信任的融資。”ArweaveAR是一家成立于永久網絡(Permanweb)的區塊鏈級初創企業,旨在保護互聯網內容。“但相反,人們最終相信了營銷,并在沒有驗證的情況下信任了代碼。”

    隨著DeFi的發展,正如Grauer所說的那樣,這個“痛苦的教訓”正在讓用戶付出前所未有的代價。今年上半年的加密貨幣盜竊案比2021年同期增加了58%。報告補充說,“這一趨勢似乎不會很快得到逆轉”。事實上,在報告截止日期之后不久的8月初,區塊鏈橋平臺Nomad上就有1.9億美元的資金被黑客盜走。

    Chainalysis關于年中加密貨幣犯罪的博文更新表示,今年的大部分跨鏈黑客攻擊都源于代碼漏洞。像所有的DeFi應用和使用一樣,區塊鏈橋是由開發人員構建并由程序員修改的開源項目。所有區塊鏈橋的全部代碼可以在GitHub上找到,而后者是一個開放代碼托管服務,任何人都可以在那里檢查它們的漏洞。

    開源的捍衛者認為這是社區和實現去中心化的關鍵。但這是一把雙刃劍。就像開發人員、用戶和社區都能看到代碼一樣,居心不良者也能看到代碼。他們可以很容易地發現其中的漏洞或故障,并利用這些漏洞來操縱區塊鏈橋本身。Chainalysis早前的一份報告發現,在今年第一季度從DeFi盜取的資金當中,由代碼漏洞引起的占近50%。Chainalysis告訴《福布斯》,他們還沒有拿到今年第二季度的數據。

    在今年最大的幾起區塊鏈橋黑客盜竊事件中,代碼漏洞也是主要原因,涉及的區塊鏈橋包括Ronin、Wormhole、Harmony和Nomad。在這些盜竊案中,黑客都是利用了代碼中的漏洞,導致受損的驗證器節點批準了盜竊行為。

    Williams說,黑客們正在尋找可在每個節點上廣泛部署的軟件中的故障。區塊鏈依靠一系列被稱為節點的計算機來驗證和確認交易歷史。當黑客發現代碼中的bug或漏洞時,他們可以利用該漏洞來更改每個節點上的某些功能。

    加密貨幣研究公司Paradigm的研究合伙人兼安全主管samczsun在Twitter上發帖稱,對Nomad的攻擊源于一次錯誤的更新。在黑客入侵之前,該區塊鏈橋上存有價值1.97億美元的加密貨幣。

    一次例行的升級將該平臺的代碼設置為自動批準每條消息,因此也就意味著批準每筆交易。黑客不需要修改任何代碼,他們只需要找到一個已經成功的交易,替換地址并重新播放信息就可以盜取資金。

    他在推特上寫道:“攻擊者利用這一點來復制/粘貼交易,在一場瘋狂的混戰中迅速榨干了這個區塊鏈橋。”

    那么,去中心化金融將何去何從?Mimi Idada是區塊鏈孵化器和風險基金Open Web Collective的創始合伙人,他建議區塊鏈橋利用開源來發揮自己的優勢。她說:“這是一個美麗的故事,但其中有一些不懷好意的人在從事一些惡意活動。但當我們意識到這一點,當我們知道發生了什么以后,我們就可以在資金都被榨干之前,爭取我們的社區和其他開發者的幫助。”

    事實上,在Nomad的案例中,就有“白帽子”,也就是善意的黑客,使用了與竊賊相同的方法,將部分資金返還給了這個區塊鏈橋。雖然Nomad目前只持有9萬美元的加密貨幣,但根據Etherscan.io的數據,超過3,600萬美元已被發送到該區塊鏈橋的恢復錢包地址。Nomad還會向返還至少90%資金的人提供10%的賞金。

    Grauer表示,盡管有些黑客心懷善意,但持續不斷的攻擊將迫使DeFi“在安全方面達到更高的標準”。

    “天知道每時每刻,代碼中有多少漏洞沒有被潛在的黑客群體解析。”

    相關文章
    草莓视频