跨链桥又双叒叕出事了。
今日早间,BNBChian跨链桥BSCTokenHub遭遇攻击。黑客利用跨链桥漏洞分两次共获取200万枚BNB,总价值高达5.66亿美元。关于此次事件的具体过程,Odaily星球日报已在《解析:约5.66亿美元BNB被盗全过程》一文中做了详细梳理。
跨链桥一直都是黑客事件的高发区,Chainalysis在八月初发布的一份报告中曾提及,跨链桥相关的金额损失已高达20亿美元,其中大部分发生在2022年间,占今年行业总数据的69%。
即便是BNBChian这次高达5.8亿美元的超大额资金损失,放在跨链桥的“黑历史”中也只是堪堪挤进前三名。下文中,Odaily星球日报将对过往十次较大规模的跨链桥黑客事件再做一次简单复盘,希望所有开发团队都能以史为鉴,提高警惕。
1.RoninNetwork
今年三月下旬,AxieInfinity侧链RoninNetwork的跨链桥遭到攻击,损失总额高达6.24亿美元。
Meta Mask机构解决方案MMI发布2023年Q1回顾,链上资产增加89.17%:4月18日消息,MetaMask机构解决方案MMI(MetaMask Institutional)发布2023年Q1回顾,新功能包括投资组合仪表板、NFT视图的账户捆绑、身份验证和登录、Institutional Staking市场等。在数据方面,MMI扩展的八周用户留存率超过65%,这是该团队密切关注的指标。使用MMI部署在链上的资产(AUD)增加了89.17%。与此同时,MMI团队预计年收入将增长25.87%。
据悉,MMI于2020年12月推出,旨在解决加密货币基金、做市商等机构接入DeFi的需求,同时需要满足安全、运营和合规的要求。[2023/4/18 14:10:27]
根据后续各方的披露,Ronin所遭受的攻击系社会工程学攻击。首先,一家虚假公司的员工通过领英联系到了AxieInfinity和Ronin开发商SkyMavis的员工,并邀请他们来工作;随后,SkyMavis的一名员工在面试后获得了假Offer,在他下载了伪造的Offer文件之后,黑客软件渗透到Ronin系统中,并接管了9个验证者节点中的4个;再然后,黑客通过SkyMavis控制了AxieDAO,后者曾允许SkyMavis代表其签署各种交易;最终,黑客控制了绝大多数的验证者节点,继而控制了整个网络。
Mobius Finance推出2021年以太坊历程回顾得分活动:1月1日,据官方消息,去中心化多资产协议MobiusFinance宣布推出2021年以太坊历程回顾得分活动,分数最高的前5名用户每人将获得200美元作为奖励。用户可在指定页面输入钱包地址,生成报告后下载并转发即可参与。
据悉,目前以太坊创始人Vitalik Buterin和FTX创始人兼CEOSBF均为84分,三箭资本CEOSuZhu获得88分。此前报道,2021年11月,MobiusFinance正式上线Polygon主网。[2022/1/1 8:18:19]
Ronin一事不单单是跨链桥历史上规模最大的黑客事件,如果按照事件发生时的市场价格计算,这更是整个加密货币历史上涉案金额最大的黑客事件。幸运的是,通过后续融资,RoninNetwork此后启动了对用户的赔付,并于六月底重启了其跨链桥。
2.PolyNetwork
去年八月,跨链互操作性项目PolyNetwork突遭黑客攻击,损失金额高达6.1亿美元。
夜间回顾 | 欧亚经济联盟编制加密货币报告以促进监管:1.Ripple向Bitstamp和不知名钱包转移价值2.5亿美元XRP
2.已有23家交易所、金融机构等使用Liquid Network
3.李启威:将添加机密交易使莱特币更具可替代性
4.Lux Vending已在芝加哥部署30台加密货币ATM
5.Ripple集体诉讼案定于2月13日进行口头辩论
6.英伟达下调2019财年Q4收入预估,因挖矿收入下降等
7.立高控股拟建立合营企业发展区块链等技术
8.格鲁吉亚人正出售旧车以挖掘比特币
9.奥地利首都为公民开发奖励代币
10.欧亚经济联盟编制加密货币报告以促进监管
11.两个可能仍活跃的黑客组织共窃取了10亿美元加密货币
12.委内瑞拉比特币交易量创历史新高[2019/1/29]
关于该起事件发生的原因,综合多家安全公司的分析,酿成本次事件的祸因在于EthCrossChainData合约的keeper可由EthCrossChainManager合约进行修改,而EthCrossChainManager合约的verifyHeaderAndExecuteTx函数又可以通过_executeCrossChainTx函数执行用户传入的数据。
行情 | 11月加密货币市场单月跌幅回顾:比特币现金跌幅最高为60%,其次是比特币跌幅45%,EOS从5.2美元跌至2.87美元下跌45%,以太坊跌幅约为42%,莱特币从50美元跌至32美元下跌了36%左右,恒星币跌幅不到30%,瑞波币相对较好价格跌幅仅为15%。总结:11月跌幅在30%以下的加密货币包括瑞波币、恒星币和新经币,而“最大输家”包括比特币现金、以太坊、EOS和ADA。[2018/12/4]
尽管在各方的持续努力之下,黑客最终选择了归还全部6.1亿美元赃款,但作为一起注定会被记入历史的惊天大案,针对该事件本身及其相关趋势进行复盘和梳理仍有着较大的警示意义。
3.BSCTokenHub
也就是本次事件,详见《解析:约5.66亿美元BNB被盗全过程》。
4.Wormhole
今年二月,Solana生态最主要的跨链桥项目Wormhole遭到攻击,损失约12万枚ETH,价值约3.26亿美元。
精选 | 九月区块链声音回顾:1.经合组织(OECD)秘书长:区块链不是一种政策或监管而是一种工具。
2.央行主管金融时报:区块链技术与央行数字货币存在三大分歧。
3.中国信通院:当前区块链技术的发展趋势体现在五个方面,面临四大挑战。
4.萨摩亚中央银行:加密货币发起人将被视为金融机构,加密货币不是法币。
5.中关村区块链产业联盟理事长元道:通证发行与IC0融资没有必然关系。
6.清华大学邢春晓:要抓住区块链带来的科技革命和产业变革机遇。
7.中国政法大学许晓东:哈希值校验是可信时间戳和区块链技术的基础环节。
8.孟岩:对实体经济的通证化道路提出四点建议。
9.中国农行私人银行部副总裁:利用区块链等技术加快实施数字化转型。
10.伯克利大学经济学教授:稳定币并不能解决所有问题。
11.肖风:稳定币技术在未来一年将会迅猛发展。
12.中国旅游研究院产业所副所长:区块链未来会改变在线旅游的格局。
13.余额宝创始人周杰:通证经济才是区块链的血液。
14.蚂蚁金服副总裁蒋国飞:更看好公链技术。[2018/9/30]
该事件的具体流程为,攻击者起初先是在Solana上铸造了0.1WormholeETH,得到了“transfermessage”合约中的“post_vaa”函数,然后通过加载一个外部的合约绕过了签名检查合约,生成了Wormhole函数“complete_wrapped”所需的参数,进而实现了无限铸币。而发生这一切的根本原因是Wormhole使用了过期的系统合约,而没有对参数所需的合约进行最新的升级。
好在,当时还没被UST打的JumpCrypto随后宣布为Wormhole投入12万ETH,以弥补被盗损失。
5.Nomad
今年八月初,跨链通讯协议Nomad遭遇攻击,致使桥内约1.9亿美元的流动性被迅速耗尽。
与其它黑客事件不同,Nomad可以说是被一群“黑客”集体薅秃的。据知名安全大神samczsun的分析,本次事故是因为Nomad在一次合约升级中将可信根初始化为0x00,导致任何人都可以使用一笔有效的交易,用自己的地址替换对方的地址,然后将交易广播出去即可从跨链桥提取资金。事后统计显示,本次攻击共涉及到了1251个ETH地址。
事后,在各方的努力下,Nomad最终收回了至少20%,并已于九月下旬发布了重启计划。
6.HarmonyHorizon
今年六月,Harmony官方跨链桥Horizon遭到攻击,损失约为1亿美元。
事后,Harmony创始人StephenTse承认,攻击系因私钥泄漏导致,资金从跨链桥的以太坊一侧被盗,攻击者成功访问和解密其中一些密钥,其中一些用于签署未经授权的交易。
事后,Harmony曾尝试追回赃款,但最终无果。七月,Harmony发布了一版希望通过增发ONE代币来赔偿用户损失的修复方案,但遭到了社区的集体反对,最终Harmony放弃了该方案。九月下旬,Harmony又提出了另一版不涉及代币增发的修复方案,并计划从10月开始为Horizon跨链桥恢复分配资金。
7.Qubit
今年一月,借贷协议Qubit的跨链桥QBridge遭到攻击,损失约8000万美元。
关于该起事故发生的原因,系因合约对白名单内代币进行转账操作时未对其是否是0地址再次进行检查,导致本该通过native充值函数进行充值的操作却能顺利走通普通代币充值逻辑。
事件发生后,Qubit的开发团队TeamMound宣布已无法维持,因此决定解散,由该团队领导开发的Bunny和Qubit协议将由DAO管理。社区将拥有升级合约、更改费用结构等所有相关权限。
目前Qubit几乎已无人使用,TeamMound虽表示会继续赔付,但当前仅赔付了极小一部分资金。
8.EvoDeFiBridge
今年六月,Oasis生态用户发现其链上DEXValleySwap上的USDT和USDC出现严重脱锚,深究之后发现根本原因系因其依赖的跨链桥EvoDeFiBridge涉嫌在抵押不足的状态下凭空铸造桥接资产。具体来说,EvoDeFiBridge在Oasis链上生成了8300万USDT和3300万USDC,但抵押资产仅有1060万USDT和1020万USDC。
根据安全数据库Rekt的统计,该事件的给用户造成的具体损失总额约为6600万美元。
事后,Oasis表态称ValleySwap和EvoDeFiBridge和自己并没有关系,后者的官方社交媒体也在此后停止更新,疑似已跑路。
9.THORChain
去年六月至七月,跨链桥项目THORChain连续三次遭受黑客攻击,合计损失约1600万美元。
事后,THORChain表态将分三步进行补偿,第一批通过"国库"划拨出资产补偿,第二批通过RUNE作为抵押从IronBank借出资产进行偿还,第三批将在网络重新运行后再进行补偿。
今年二月,THORChain在公布2021年第四季度财报时表示,此前因被盗所产生的债务已经全部偿还。
10.pNetwork
去年九月,跨链协议pNetwork遭受黑客攻击,损失了277枚pBTC。
针对该起事件,pNetwork表示系因黑客利用了其代码库中的一个漏洞,并从BSC区块链中抽取pBTC,其它链上的合约则不受影响。
事后,pNetwork曾表态如果不能追回赃款,将会启动相应的赔付方案,但此后并未披露具体的赔付进展。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。