跨鏈橋安全事故頻發 如何降低風險
發表於 2022-03-31 16:54 作者: 必查客
隨着大衆對加密貨幣的興趣及其價值都在蓬勃發展,這些錢也成爲了對精通技術的竊賊的有吸引力的目標。
3月29日,Axie Infinity 專屬側鏈Ronin被曝被盜價值 6.24 億美元的加密資產(包括173,600 ETH和 2550 萬 USDC),堪稱有史以來最大的黑客加密貨幣搶劫案之一。
更尷尬的是,這次黑客事件發生在 6 天前。
受此影響,AXS價格下跌,RON閃崩,這次重大利空事件詳情如何?又會對AXS幣價造成何種影響呢?
被盜經過
作爲一條以太坊側鏈,Ronin 的跨鏈橋採用的是 MPC 門限籤名技術,其設置的 9 個驗證者密鑰中,需要有 5 個或 5 個以上的驗證者密鑰批准才能進行存款和取款交易。
而其中有 4 個密鑰是由同一個人(即 Sky Mavis)負責管理的,這意味着,只要攻擊者控制了 Sky Mavis 的密鑰,然後再控制另一個驗證者密鑰,那么整個Ronin網絡的資金就被黑客掌控了。最終攻擊者設法控制了五個私鑰,其中包括 Sky Mavis 的四個 Ronin 驗證器和一個由 Axie DAO 運行的第三方驗證器。
而目前多數跨鏈橋項目,均採用了這樣的多重籤名技術,因此,理論上,這些項目也都可能會遭受類似的攻擊。
Sky Mavis表示,事件發生後,他們將把交易所需的節點數量增加到8個,一旦確定沒有更多資金可用,它將“在以後”重新开放 Ronin 。
事件發生後,Ronin橋和Katana Dex已暫停運行。
被盜原因分析
1. Ronin是GameFi項目Axie Infinity做的遊戲以太坊側鏈,Axie玩家需要將ETH、USDC等跨鏈到Ronin側鏈上玩Axie遊戲;
2. Ronin採用簡易的資產跨鏈模式,用戶在以太坊上向Ronin跨鏈合約轉账資產,Ronin控制的私鑰錢包在Ronin鏈上給用戶鑄造ETH或USDC。若用戶在Ronin上銷毀USDC、ETH,則Ronin控制的私鑰錢包籤名提幣證明,用戶拿提幣證明調用以太坊跨鏈合約贖回USDC、ETH等資產;
3. 這意味着Ronin控制的私鑰錢包配置在服務器上,並且第三方服務可訪問,在服務器上就存在被盜私鑰可能性。
項目方所採取的行動
事件曝光後,項目方便迅速採取行動,並積極採取了以下措施防範未來的攻擊。
1、爲了防止進一步的短期損害,將驗證人門檻從 5 個增加到 8 個。
2、及時與主要交易所的安全團隊保持聯系,將在未來幾天內與所有人建立聯系。
3、正在遷移節點,與舊基礎設施完全分離。
4、暫時暫停 Ronin Bridge,確保沒有進一步的攻擊向量保持开放。保險起見Binance 還暫時禁用了他們與 Ronin 之間的橋梁。
5、由於無法套利和向 Ronin Network 存入更多資金,暫時禁用了 Katana DEX。
6、正在與 Chainalysis 合作監控被盜資金。
下一步
項目方正與各個政府機構直接合作,以確保將罪犯繩之以法。
正在與 Axie Infinity / Sky Mavis 利益相關者討論如何最好地推進並確保沒有用戶的資金損失。
Sky Mavis 長期存在,並將繼續建設。
關於跨鏈
上個月,黑客以 3.2 億美元的價格利用了蟲洞橋。今天,黑客以 6.25 億美元的價格利用了 Ronin Bridge。這不得不讓我們再次重視一個問題:跨鏈橋也許比我們意識到的要脆弱得多。
V神曾經發布文章表示:關於爲什么未來將是*多鏈*,但不會是*跨鏈*的論點——跨越多個“主權區域”的橋梁的安全性存在根本限制。此次Ronin Bridge被盜6.24億美元,讓我們不得不重視跨鏈所帶來的安全性問題。
目前以太坊生態最依賴的 rollup 跨鏈橋,相比側鏈跨鏈橋,當前的 rollup 跨鏈橋可能看上去並沒有什么本質上的不同,兩者都會依賴 n-of-m 聯邦信任模型(也就是多重籤名),但 rollup 跨鏈橋可以隨着發展去掉這個信任模型,而最終的風險點在於智能合約本身,而側鏈的跨鏈橋,當前只能依賴這個聯邦信任模型,同時還會面臨智能合約風險以及 51% 攻擊風險。
一些簡單的建議
跨鏈的水太深了,幾乎每種方案都會面臨多種潛在的攻擊方式,系統設計的越復雜,遭遇攻擊的可能性也就越大,因此,並不建議通過現有的跨鏈橋在各個公鏈之間轉移太多的資產。如果實在有需求,可以採取以下幾種方式,以降低遭遇攻擊的風險;
通過較安全的中心化交易所,兌換對應鏈的原生資產,然後將其提取到相應鏈,以避免可能發生的智能合約風險。
採用信任最小化的跨鏈橋,例如 IBC、Nomad 以及成熟的 rollup 跨鏈橋。
暫時不看TVL指標,這個值越高,跨鏈橋被黑客攻擊的可能性也就越大。
採用長期存在,並且從未出過安全事故的跨鏈橋,同時盡量避免使用不同生態之間的跨鏈橋。
寫在最後
此次事件被盜了6億美金金額巨大,一旦追不回,AXS賠付用戶損失資金的可能性極低,現在只能等待官方後續的公告,如果沒有做好賠付,AXS很有可能從此一蹶不振。以後也很難恢復元氣了,一旦失去了用戶的信任,Ronin作爲一條側鏈也基本掛了。
Ronin這次的被盜事件,短期會對鏈遊造成不小打擊。Axs或將剔除出龍頭行列,最後,衷心希望跨鏈橋能夠越來越安全。
標題:跨鏈橋安全事故頻發 如何降低風險
地址:https://www.coinsdeep.com/article/1723.html
鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。
上一篇