MAN:DoDo Research:从合约层面解析跨链桥机制设计弱点

近期BNB跨链桥受攻击,导致近$570M损失。这一事件再次把跨链桥的安全性问题推上热议。根据Messari8月的研报数据,过去一年内共有8起跨链桥攻击事件,构成将近$2B美金的资产损失。

Dr.DODO今天通过深度分析PolyNetwork,Multichain及BNB桥事件,从合约层面展示跨链桥机制设计弱点。

首先,让我们简要回顾跨链桥的基本概念,以及设计机制分类。

不同的公链如同孤立的无需许可的计算机,具有不同的共识机制,相互之间无法直接通讯。跨链桥的存在就是为了使信息能够不被篡改地从一个计算机传递到另一个计算机上。

跨链桥的核心是解决一个共识问题:跨链桥如何确定源链上的状态已发生改变,进而在目标链上铸造等量的资产?

不同的跨链桥对这个共识问题有不同解决方案,如采用中心化的桥,委员会,PoS机制,轻客户端等。而不同的解决方案在信息传递的安全性,成本,延迟性上有所取舍。

Mantle Network发起设立生态基金的提案,拟在3年内筹集2亿美元资金池:7月10日消息,Mantle Network发起MIP-24:Mantle生态基金提案,请求社区授权Mantle Treasury提供1亿美元设立Mantle生态基金、成立Mantal生态基金投资委员会、以及来自Mantle Treasury的1000万枚USDC首次募集资金。目前,该提案支持率为99.92%,将于7月15日18:30结束。该提案旨在通过Mantle生态基金与战略风险合作伙伴的努力,在未来3年内在Mantle生态系统中筹集2亿美元资金池。这2亿美元资金池由Mantle Treasury和Strategy Venture Partners与Mantle生态基金共同投资时的外部匹配资本组成。生态基金的主要目标是支持创始人与协议技术伙伴在Mantle生态内建设、推动Mantle Network在开发者和DApp中的采用、激励战略风险合作伙伴对Mantle生态的支持与投资等。[2023/7/10 10:45:35]

详细分析可以参考此前文章《跨链漫谈:深度解析16个跨链方案权衡》:

接下来,我们进一步的把跨链流程进行拆解,了解跨链具体涉及到哪些步骤,这样在讨论不同攻击的时候,我们可以更好的理解出错的点在哪里。

跨链流程:

1.当源链用户发起一个状态改变,如一笔交易;此事件将由源链验证者进行验证出块。

Bitfinex宣布即将上线Sui (SUI):据官方公告,Bitfinex宣布即将上线Sui (SUI),很快将公布其充值和交易时间。[2023/5/2 14:38:26]

2.此时跨链桥去监听此跨链事件,下载并对进行验证、签名。

3.接下来被验证签署后的事件被传输至目标链。

4.由目标链上的验证者进行验证出块。

5.由此,源链上发起的状态改变得以在目标链被执行。

讲述跨链桥机制分类的文章已经很多,我们在此按验证方法把跨链桥分为:

-外部性验证:PoS

-乐观性验证

-本地验证:轻客户端

按资产转移方式把跨链桥分为:

-燃烧+铸造

-锁定+铸造

-在源链/目标链部署流动性池

Tether合并资产价值略高于664亿美元,商票敞口下降58%:金色财经消息,会计师事务所BDO Italia对Tether的资产完成了审计,并对其前一季度业绩出具独立证明信息。审计发现,Tether持有的合并资产价值略高于664亿美元。合并负债总额接近662亿美元,其中近99%与数字货币有关。

Tether此前曾表示,将在2022年8月底之前减少其商业票据持有量。审计报告显示,商业票据敞口从上一季度的200亿美元降至85亿美元,下降了58% 。

Tether的首席技术官Paolo Ardoino在Twitter上称,公司打算继续减持商业票据,在10月底将持有量降至零。他表示,“Tether将继续得到其储备透明度的支持,且(储备)一直是稳定的主要来源,这让我们能为全球经济打造一种工具。”(btctimes)[2022/8/30 12:57:34]

PolyNetwork攻击案例分析

简单来说,PolyNetwork的工作机制是作为中间链去接收发送链的区块头,相当于所有它连接的链的轻客户端。

Voyager拒绝Alameda的收购提案,称其是低价竞标并会伤害客户:7月25日消息,加密借贷公司 Voyager 拒绝 FTX 及 Alameda 等公司提出的收购提案,并表示重组公司的计划更好,将能够及时交付所有客户的现金和尽可能多的加密货币。而接受收购提案会对客户造成伤害,包括资本利得税后果、不公平地将每个 Voyager 用户账户的价值限制在 7 月 5 日的价值,以及取消 VGX 代币,这将“破坏立即超过 1 亿美元的价值。”

Voyager 的律师表示,收购计划只是有利于 Alameda 和 FTX 清算 Voyager 的资产,这是一个伪装成拯救白骑士的低价竞标。

据此前报道,FTX 联合 FTX.US 母公司及运营商 West Realm Shires Inc.以及 Alameda Ventures 共同提出针对 Voyager Digital 用户的提前索赔计划,SBF 强调该计划旨在帮助用户尽快取回资产。(Cointelegraph)[2022/7/25 2:35:18]

比如,当Ontology上发起一笔交易,区块头会被送到PolyNetwork上。区块头含有stateroothash,当交易与证明到达PolyNetwork,这上面的keepers就可以进行验证。若合法,PolyNetwork会自己发送一个event,目标链的relayer听到后,会转发到目标链的EthCrossChainManager合约上。

毕马威:2023年将在Web3和元宇宙中投入3000万美元:金色财经报道,据《财富》杂志消息,毕马威美国和加拿大公司已宣布 2023 年将在元宇宙和 Web 3上投资 3000 万美元,包括推出一个协作中心。毕马威美国企业创新负责人 Cliff Justice 透露,毕马威将在美国创建一个卓越中心,目前还推出一个工作室孵化器来测试围绕 Web3 和元宇宙构建新想法和服务,还预留了资金,旨在与客户一起探索相关领域、以及B2B和B2C业务。[2022/6/28 1:36:38]

在了解PolyNetwork工作机制之后,我们来看受攻击的合约。

首先,LockProxy是控制资产的合约。其次,EthCrossChainManager(CCM)的优越性有两点:

1)只有它能调用LockProxy进行unlock或者burn资产。

2)CCM掌管着CrosschainData,合约保存着PolyNetwork的keeper公钥名单。

也就是说,当跨链交易的数据发到CCM之后,合约可以从这个数据中恢复出一些签名的地址。

然后它会拿这些地址和它自己存的keeper名单做对比,看看是不是有2/3的keeper在这些地址里面。如果有,就认为发送过来的数据是合法的。

黑客通过bruteforce撞出了CCM中特定的“SolidityfunctionID”,从而得以调用EthCrossChainData的合约,并把其中存的keeper名单里的公钥匙换成自己的,这样他就可以任意的给CCM发信息,自己去进行签署,从而操作lockproxy。

所以上述攻击出现的问题有两点:

1)任意的用户可以进行的远程调用合约。在这个事件之后,项目方加入了白名单机制,只有指定方可以调用这个非常特别的合约。

2)合约之间的从属关系,导致关键的合约容易被篡改。

Multichain攻击案例分析

Multichain是可实现跨链路由的桥,通过封装资产“anyToken”,Multichain可实现任意资产的任意跨链。首先,当用户把DAI放到池子里,等量的anyDAI就会被铸造出来,然后由网络中的验证人确定这一事件,在B链铸造出等量的anyDAI,然后燃烧掉A链的anyDAI。

受攻击的合约中,关注下图标记的1,2,3行:首先,从anyDAI?这个合约拿到它底层资产合约的地址,即DAI。其次,permit()?使用户通过签名来允许路由器从用户地址中提款。最后,safetransferfrom是一个真正的提款动作。

注:签名了的交易被表示为(v,r,s)

可以看到黑客恶意部署的代币地址,和无效的签名。

回顾8.1中的三行代码,黑客重新部署了anyDAI导致底下OUTPUT的底层资产解析出来是WETH的地址。在此,Multichain在这里的失误就是它应该检验代币地址是不是来自Multichain的代币。

第二个微妙的问题就是permit是erc20的一个扩展协议,但是由于比weth出来的时间晚,所以weth没有支持这个特性。那么如果去调用一个合约的一个不存在的方法,EVM会自动去调用这个合约的fallback方法;然而,fallback方法在这个情况下也没报错,所以,permit功能也被成功执行。

而第三行之所以可以执行,我们可以认定因为Multichain之前请求了WETH无限的花费上线,黑客通过滥用了这个approval把WETH从受害者的账户转出。但值得注意的是很多的协议都会使用,以帮助用户节省gas费用。

BNB桥攻击案例简述

Binance事件的黑客用RangeProof伪造Merkleproof证明某些数据存在Merkletree。

Proof理论上难伪造。

BNB桥涉及数据结构IAVL:可理解为等价于以太坊的Merklepatriciatrie,是一种custommerklizedbalancebinarysearchtree,InnerNode分为Left和Right两个字段。

在这里IAVL的RangeProof存在的重要问题就是它允许Left和Right两个字段可以同时被填充。而当Left与Right都存在的情况下会忽略Right进行RootHash计算。

击者基本上通过将信息粘贴到Right字段中的优势,而这些信息从未得到验证,也从未影响哈希计算,以使验证者相信某些Leaf是Tree的一部分。从而,成功地伪造了MerkleProof。

关于BNB桥攻击中更复杂的合约调用逻辑可以阅读:

https://mp.weixin.qq.com/s/y9jiMKrGThN8J4agFnFpJw

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

地球链

BNBERK:跨链桥接原生 IBC 所支持的未来

通过回顾我们之前的一些研究文章,我们可能已经很清楚,我们是模块化区块链和特定应用区块链设计范式的信仰者。这样做的一个结果是,我们设想了一个具有很多不同的区块链的世界,用于各种应用、垂直行业等等.

[0:15ms0-1:20ms