在行业快速步入多链生态后,用户对跨链桥的需求也愈发强烈。然而目前的市场上,各公链的官方桥往往支持的链有限,因此,第三方跨链协议凭借着更广泛的公链支持数量成为了用户跨链的主流选择。与此同时,跨链桥也成了黑客们垂涎的目标。
就在刚刚过去的 1 月 18 日,第三方跨链协议 Multichain(原 Anyswap)再次遭到黑客攻击,合计损失约 600 万美元。
由于近期针对跨链桥的安全事件频发,为了帮助读者在使用中避免可能的风险,我们将近期发生的跨链桥安全事件进行了简单的总结。
2021 年 6 月 29 日,THORChain 遭遇第一次攻击,损失约 35 万美元。在随后的 7 月,THORChain 又接连遭遇了两次攻击,损失约 1600 万美元。
2021 年 7 月 11 日,ChainSwap 遭到攻击,官方冻结 BSC 映射 Token 地址以过滤掉黑客地址。合作方 RAI Finance 因 ChainSwap 合约漏洞被盗超 70 万枚 RAI Token。
养老金账户平台IRA因黑客事件对Gemini交易所提起诉讼:6月7日消息,养老金账户平台IRA Financial Trust对加密货币交易所Gemini提起诉讼,原因是Gemini没有适当的保护措施来保护客户的加密资产。据此前报道,2月8日IRA Financial Trust称遭到黑客攻击,导致3600万美元的加密货币被盗,这些资产属于Gemini保管的客户退休账户。在IRA通知Gemini后,犯罪分子仍然可以将资金从交易所客户的账户中转移出去。
据悉,自事件曝光以来,两家公司一直在互相指责对方为资金损失负责。IRA基金一直在努力为其受影响的客户寻找解决方案,现在已承诺使用诉讼所得赔偿受事件影响的客户。(watcher.guru)[2022/6/7 4:08:17]
2021 年 7 月 12 日,Anyswap 发布公告表示,新推出的 V3 跨链流动性池在昨日凌晨遭到黑客攻击,总计损失为 239 万 USDC 与 550 万 MIM,损失总额超过 787 万美元
被动收益协议Indexed Finance提出黑客事件补偿方案:11月4日消息,被动收益协议Indexed Finance提出1600万美元黑客事件的补偿方案,将发布两个独立的索赔代币,一个针对DEFI5、CC10和FFF资金池代币的持有人,将得到99.32%损失金额赔偿,另一个代币针对此三个资金池LP代币持有人,将得到88.5%损失金额赔偿,索赔代币需要未来在以太坊主网认领,可以用来兑换为DAI。赔偿资金来源方面,Indexed Finance将提取DEFI5、CC10和FFF三个资金池中的剩余资产,流动性池中剩余的流动性,以及未来Indexed Finance协议的部分收入,转换为DAI来补偿给受影响用户。目前Indexed Finance正在将受影响用户的金额进行汇总,确保正确的赔付金额。此前消息,10月15日,Indexed Finance的DEFI5和CC10池遭到攻击,损失达1600万美元。[2021/11/4 6:31:42]
2021 年 8 月 10 日,Poly Network(O3 Swap)遭受黑客攻击,约 6.1 亿美元资产被转走。
安全公司:年度最大DeFi黑客事件Poly Network遭受攻击源头已找到:对于跨链互操作协议Poly Network遭受攻击事件,成都链安技术团队经过深度分析已找到攻击的源头。该笔交易对应的跨链交易由本体链上f771ba开头的这笔交易发出,并定位到本体链上AM2W2L开头的攻击者地址。攻击者在ONT链上进行攻击尝试发现有效后,通过这笔f771ba开头的地址交易批量向多个链发起更改Keeper的跨链消息,然后BSC链的relayer 0xa0872c79开头地址率先处理了该笔跨链交易,并将keeper设置为攻击者指定的以0xa87开头的地址。
接着Ethereum、Polygon两条链上攻击者重放了BSC链的 relayer所使用的有效签名。Keeper地址更改为自己的地址后,攻击者使用自己可控的Keeper发起了提币交易,转移了跨链池中的资产。此处攻击成功表明PolyNetwork在对跨链交易事件的验证存在缺陷,导致了恶意的跨链消息被接收并在对应的链上进行了跨链消息所指定的操作。[2021/8/11 1:49:10]
2021 年 11 月 7 日,跨链协议 Synapse(原名 Nerve)被黑客攻击,约 800 万美元资产受到影响。
推特黑客事件策划者Graham Clark拥有价值300万美元比特币:推特黑客事件幕后黑手之一17岁少年Graham Clark目前拥有价值约300万美元的比特币,这笔财富与本次推特攻击名人账号无关,是在2019年的另一次刑事调查过程中被发现的,足够支付新案件涉及的725000美元的保释金。(u.today)[2020/8/2]
2021 年 11 月 23 日,Celo 官方桥 Optics 跨链桥多签钱包所有权被未知人士转移,Optics 跨链桥暂停使用。
2022 年 1 月 18 日,Multichain(原 Anyswap)再次遭到黑客攻击,合计损失约 600 万美元。
针对最近 Multichain 安全事件,/img/2022812151302/0.jpg">
黑客事件发生前几周 推特曾加紧寻求新任首席信息安全官:消息人士透露,在周三的黑客事件发生的前几周,推特曾试图加快新任首席信息安全官的招募工作。据悉,自2018年5月Michael Coates离职后,摩根大通前高管Joe Camilleri临时接替了信息安全领导工作,但直至今日,该公司一直没有一名常任的首席信息安全官。(纽约邮报)[2020/7/17]
我们当然知道这句话有一定的调侃意味,并不能真的作为定理去评估项目风险。但是从行业内发生的某些案例来看,那些有过安全事故记录的项目,确实是更容易接二连三不断翻车。比如著名的 DeFi 保险项目 Cover 在归零前反复被黑客攻击了多次。做保险的协议自己不保险,Cover 协议简直成了黑客的便携提款机。
其实出现这种现象的原因,在于安全事故的发生其实并不是一个偶然事件,其背后反映出了这个应用开发团队在内部发布流程、风控意识等方面或许都存在着严重的问题。
事故的发生往往只是内部管理失败的外在表现形式而已。如果不能彻底清除掉内部的风险隐患,而只是头疼医头脚疼医脚地解决表面问题,那么相似的安全事故只会接二连三地不断出现。
然而目前许多加密行业内的创业团队,在工作中并不具备相对严谨的工作态度。他们往往是在仓促解决了眼前的故障后,继续快马扬鞭向前推进项目的开发进度并抢占市场,使得协议内部积累的风险隐患越来越大。
那么,对于普通用户来讲,在跨链已经逐渐变为刚需的今天,如何才能找到一个相对让人放心的跨链桥?
这里我们先对之前 /img/2022812151302/1.jpg">
Allbridge 是由 APYSwap 团队开发的跨链桥,其主要特点是在支持主流 EVM 兼容链跨链的同时,支持主流的非 EVM 链(如 Solana、Terra)跨链。
上线时间:2021 年 7 月
TVL:5.46 亿美元(DeFi Llama 1 月 20 日数据)
cBridge?是目前这几个跨链桥中支持的 EVM 链(包括 Layer 2)最多的跨链桥,基本完整覆盖了市面上能见到的 EVM 兼容链,现已支持 19 条链和层的跨链桥接。其总跨链资金已达 24 亿美金,而其锁仓量也在 V2 版本推出后出现了快速增长,目前已超过 2 亿美元的规模。
不同于其他第三方跨链桥只针对资产跨链,cBridge 的目标显得更加宏大。除了做好资产跨链以外,cBridge 还在近期发布了 Celer 跨链消息框架(Celer Inter-chain Message,简称 Celer IM),正式进军信息跨链领域,试图成为未来多链生态中跨链互操作的底层基础设施协议。
根据官方文档的描述,未来依托 Celer IM 构建的新一代多链原生 dApp,将会成为未来多链世界的第一批原生跨链应用。可以帮助用户实现在一条链上质押资产,并直接在另一条链上借出资产,或者让用户在一次交易中跨多条链交换资产等功能。
上线时间:2021 年 2 月
TVL:1.95 亿美元(cBridge 官方 1 月 21 日数据)
Hop Protocol 的突出优势是在支持主流 EVM 链跨链的同时,还支持以太坊上主流 Layer 2 如 Arbitrum、Optimism 的跨链。目前支持的跨链资产种类包括 ETH、USDC、USDT、DAI、MATIC。
TVL:1.06 亿美元
xPollinate 支持的跨链种类同样很丰富,除了主流 EVM 兼容链以外,还支持 Layer 2 跨层以及波卡生态的 EVM 兼容平行链的跨链。
上线时间:19 年 9 月
TVL:2668 万美元
文章的最后再次提示一下风险,过往没有发生安全事故的项目并不等于绝对的安全。用户在使用跨链工具时,依然有必要保持良好的账户使用习惯。如及时清理授权,或将主要资产保存地址与日常交互地址分开管理等等。毕竟,在个人拥有绝对主权的加密世界中,唯一能为自己负责的其实只有我们自己。?
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。