1 年超 30 亿美元被「黑」的加密货币都去哪了?

  以验证安全性跨链操作难,务器不在任何区块链系统内还因为负责监听消息的服,设的消息格式来还原操作指令只能通过监听到的消息和预。一来这样,监听和解码这一系列过程的正确性还原的准确性依赖于发布消息、,被验证难以。

  如例,转账方便易操作在同一家银行,转到其他银行但如果想把钱,外银行甚至境,程复杂不仅流,手续费还有。

  在币安链端的桥合约• 跨链网络调用,TH 等值的币给用户提供与 10 个 E。

  离了 Web 3 的精神有观点认为中心化的桥偏,eb 2 的旧逻辑背后还是一套 W。

  do Cash 就像一个资金池具体原理是这样的:Torna,把钱存进池子里所有人都可以,包地址从池子里取钱然后再用另外一个钱。一个取钱密码系统会提供,以用这个密码取钱任何钱包地址都可。

  来说简单,区块链转移到另一个区块链跨链桥可以将资产从一个,链系统间的操作打通不同区块。

  方们又上了一课:想避免黑客攻击事件发生Ronin Bridge 被黑给项目,证私钥的安全性最重要的是保。执行上在具体,更高的硬件钱包可以使用安全性;钥的分散性保证多个私;废弃节点的权限及时撤销某个。

  钱包里拿出来一部分钱攻击者每隔几天就会从,用来「洗钱」的工具 Tornado Cash转进 mixer(混币器)或一个可以被认为是。

   神也公开表示支持「多链」就连以太坊联合创始人 V,跨链」而非「,链之间使用跨链解决方案反对以太坊和其他区块,转移过程中的安全风险认为跨链桥会增加资产。

  rtikchina)高级工程师王沛宇告诉极客公园区块链安全公司 CertiK(公众号 ID:ce,被黑之后这些钱,的一个钱包地址里全部去到了攻击者。

  dge 被袭的原因Ronin Bri,节点失守是验证。e 上有 9 个验证节点Ronin Bridg,应的签名和私钥每个节点有对。证节点中的至少 5 个签名用户想存取款成功的线 个验。

  心丢钱除了担,玩家更为不满的是让埃文斯这样的,第 6 天才反应过来游戏公司在被攻击后的,用户提醒还是通过。们觉得玩家,整件事中最糟糕的公司的疏忽才是。

  数额只有百万级别假如被盗的资金,能性极低追回的可。idge 事件中Ronin Br,美金存进资金池之后攻击者将 6 亿多,里面的很多钱都属于他可能发生的结果是池子。情况下在这种,额取款操作一旦发生大,址背后是否指向这个攻击者有可能判断出某个取钱地。

  文所说如前,桥上转移资产在去中心化的,个节点的签名需要获得多,资源投入才能实现依赖复杂的设计和。中心化的桥如果换成,管理都更加方便项目方的设计和,更低成本。系统的高效和便捷一些跨链项目为了,的信息处理方式采取了中心化。

  所未有的信任危机加密世界面临着前,受到挑战安全性。值得人们关注区块链安全,任得不到保障如果安全和信,会沦为空谈区块链生态。

  易则不然跨链交。跨」字一个「,链间的壁垒打破了区块,需要在一定程度上保持更新一致也意味着「桥」两端的不同系统,能存在很大差异而这两个系统可。都只能保证链上交易由于每条链的设计,赖很多额外的机制跨链交易需要依,监听、处理和发送比如对链上信息的,远大于链上交易复杂性和难度。

  n Bridge有了 Roni,链传送变得操作「丝滑」原本无法实现的资金跨。

  链世界里在区块,技术生生不息新的概念和,建新生态系统的地基但安全问题始终是构。

  的想象中在人们,和 Web 3 世界「去中心化」的区块链,俱来的特性之一安全性是与生。不成问题的问题没想到它却是。

  技术的不断成熟随着链上分析,向交易所备案的身份验证以及一些资金变动需要,以判断出钱包背后的主人是谁通过链上行为在一定程度上可。Cash 作为合法工具而 Tornado ,供保护隐私的功能本意是为用户提。

  批评也不算冤游戏项目方挨。来本,各自独立的区块链上运行每一种的加密货币都在,单的交互方式彼此间没有简。如例,同的地址自由交易以太币你可以在以太坊上和不,直接发送到其他链上但没办法将以太币。

  对独立的个体:以太坊上的桥合约整个过程涉及三个相互联系但相,安链上的桥合约跨链网络和币。不同的平台上它们分处于,机制来保证数据在链间的传输相互之间只是通过消息传递。

  来说举例,个 ETH 转移到币安链要将以太坊上的 10 ,流程大致包括跨链交易的:

  件频繁发生黑客入侵事,编写时埋下了安全漏洞一个原因是智能合约在,项目在设计时存在逻辑漏洞另一个原因是 DeFi ,能会对交易逻辑产生的影响例如没考虑到加入手续费可。

  工程师杨源楠介绍CertiK ,不同性质的交易这是两种完全。——已经被理论和实践验证过安全性链上交易依赖区块链算法的共识机制。看作一个系统如果将区块链,在系统内进行数据更新单独的链上交易只是,共识达成。

  nin Bridge遭受黑客攻击的Ro,e 生态所创建的跨链桥正是游戏公司为 Axi,之间发送和交换游戏代币方便玩家在不同的区块链,昂贵的交易费用绕开以太坊上。

  转移过程中的安全风险尽管「桥」增加了资产,依旧大量涌现但跨链项目,金就像静置盘中的蛋糕活跃在「桥」上的资,又易取美味,赴后继来下刀吸引黑客前。

  警惕的是但值得,不变的美好没有一成。世界一样正如现实,往往潜藏着危机有利益的地方,越大利益,越复杂危机。

   是全球知名的 NFT 游戏Axie Infinity,(Game Finance一款典型的 GameFi,融)产品游戏化金。ie 官网根据 Ax,已达 36 亿美元该游戏的市场交易额, 200 万用户每天吸引全球约。约 6。25 亿美元这起盗窃案损失高达,融)领域数额最大的黑客攻击事件是目前 DeFi(去中心化金。

  都像他一样走运但不是所有玩家。 Bridge 之后黑客攻击 Ronin,H 和 2550 万枚 USDC窃取了 17。36 万枚 ET,25 亿美元价值 6。。走的「钱」这些被盗,哪里呢去了?

  5 月 4 日截至北京时间 ,乎全部被转走被盗资金几,下 1。8 枚 ETH原来的攻击钱包里只剩。

  对私钥的管理存在漏洞归根结底是游戏公司。外另,个密钥来授权操作工作室想利用多,的安全性提高交易,目早期的名单访问权限但没有及时撤销游戏项,了可乘之机给黑客提供。

  下来接,Tornado Cash 中取钱攻击者很可能利用其他钱包地址从 ,「洗钱」的闭环完成从盗窃到。

  Fi 来说对于 De,某个项目中存在特权账户「中心化风险」通常源自。更改智能合约的配置特权账户可以随意,普通用户的资金甚至动用其他,资金的风险存在转移。

  一个复杂的系统跨链项目本身是,是消息传递机制这里的核心就。制存在漏洞一旦这个机,消息从而发起攻击的关键就可能成为黑客伪造跨链。

  里的权力过大特权账户手,张自由进出的通行证还可能为黑客提供一。特权账户的私钥一旦黑客攻下了,账户盗取项目资金就可能通过这个,人的权益损害其他。

  年前半, 的跨链桥被黑名为 Poly,6 亿美元损失约 。年初今年,3 起类似的「炸桥案」10 天之内就发生了 ,已经成为区块链安全的薄弱环节引起了人们的警惕——「桥」。

  知自己玩的游戏 Axie Infinity 陷入一起黑客盗窃案当 24 岁的美国小伙洛根·埃文斯(Logan Evans)得,自己失去了一切」第一反应是「担心。

  外另,代码复杂性较高不同跨链项目的,比较大差别也,题也更为多样化潜在的安全性问。链上的资产相比与仅存储于单一,的资产更不稳定跨链网络所涉及,易丢失也更。

  实给埃文斯这样的氪金玩家提了个醒Ronin Bridge 被黑确,放弃这个游戏但他并不打算。信 Axie「我依然相,社区里的一切我热爱这个。」

  数量巨大由于资金,程又比较复杂「洗钱」过,净也不是一件简单的事黑客想全部「洗」干。

  所以复杂跨链桥之,是完全不同的系统是由于跨链双方,为中间第三方跨链网络作,息验证发行的安全性等它的消息处理能力、消,在的风险都有潜。

  素博弈的结果这是多个因,笔经济账也是一。计上在设,实现去中心化跨链桥可以,中心化也可以,和运行成本都高于中心化但去中心化的设计成本,更加复杂因为它。

  项目的诞生跨链技术和,同区块链之间的壁垒打通了加密世界不,币的经济流通性可以提高虚拟货。的 GameFi 产品以 Axie 为代表,链的应用场景丰富了区块,更加亲民让技术, 3 的参与门槛降低了 Web。

  沛宇看来但在王,是更接近 Web 3目前跨链桥的存在还,eb 3 产物属于典型的 W。一个区块链转到另外一个区块链因为跨链桥的功能就是把钱从,上实现的这是在桥。包含了智能合约的逻辑几乎所有的桥的实现都,于区块链上的代码智能合约是存在。

  界限并不是泾渭分明的中心化和去中心化的,存在着「中心化风险」Web 3 的世界。

  言之总而,资金越多被黑的,内把它「洗」干净黑客越难在短时间,能性越大追回的可。回多少数额但具体能追,难说了就很。

  密货币这块「肥肉」黑客已经盯上了加。sis 发布的数据报告根据 Chainaly,价值 32 亿美元的加密货币黑客在 2021 年盗走了。年前三个月2022 ,手中窃取了 13 亿美元黑客从交易所、平台和个人,自 DeFi 协议其中 97% 来。

  世界里多链,要的基础设施跨链桥是重,联网和道路交通一样就像现实世界中的互。不同的区块链系统跨链桥可以连接,之间传送和交换代币允许用户在不同的链。

  实上事,非 Axie 游戏本身这次被黑客攻击的目标并, Ronin Bridge而是由此衍生出来的跨链桥。

  链桥上在跨,件很平常的事情资金往来是一。操作误以为是用户正常的存取款行为Axie 游戏公司很可能把黑客的,合约余额监控系统再加上缺少完备的,发现攻击行为没有第一时间。

  ge 的 4 个验证器和一个第三方验证器攻击者成功入侵了 Ronin Brid,个合法的签名获取了 5 ,链桥上的资金就此拿下了跨。

  是幸运的埃文斯,失——他持有的游戏货币和原来数量一样他没有因为黑客攻击而有真正的金钱损,法从游戏中提款只不过暂时没办。

分享: