DEFI:黑客事件频发 如何选择相对安全的跨链桥？_去中心化金融defi什么意思

在行业快速步入多链生态后，用户对跨链桥的需求也愈发强烈。然而目前的市场上，各公链的官方桥往往支持的链有限，因此，第三方跨链协议凭借着更广泛的公链支持数量成为了用户跨链的主流选择。与此同时，跨链桥也成了黑客们垂涎的目标。

就在刚刚过去的1月18日，第三方跨链协议Multichain再次遭到黑客攻击，合计损失约600万美元。

由于近期针对跨链桥的安全事件频发，为了帮助读者在使用中避免可能的风险，我们将近期发生的跨链桥安全事件进行了简单的总结。

近一年跨链桥安全事件回顾

2021年6月29日，THORChain遭遇第一次攻击，损失约35万美元。在随后的7月，THORChain又接连遭遇了两次攻击，损失约1600万美元。

2021年7月11日，ChainSwap遭到攻击，官方冻结BSC映射Token地址以过滤掉黑客地址。合作方RAIFinance因ChainSwap合约漏洞被盗超70万枚RAIToken。

Axie Infinity：此次黑客事件是去年12月的社会工程攻击和人为错误所致:金色财经消息，NFT游戏Axie Infinity联合创始人兼COOPsycheout发推表示，内部网络目前正在进行深入的取证审查，此次黑客事件是2021年12月的社会工程攻击和人为错误所致。SkyMavis的技术是可靠的，将在Ronin网络添加几个新的验证者节点，以进一步去中心化网络。Axie Infinity致力于确保收回或偿还所有耗尽的资金，正在继续与利益相关者进行对话，以确定最佳行动方案。[2022/3/30 14:27:22]

2021年7月12日，Anyswap发布公告表示，新推出的V3跨链流动性池在昨日凌晨遭到黑客攻击，总计损失为239万USDC与550万MIM，损失总额超过787万美元

2021年8月10日，PolyNetwork遭受黑客攻击，约6.1亿美元资产被转走。

2021年11月7日，跨链协议Synapse被黑客攻击，约800万美元资产受到影响。

美国政府要求EtherDelta黑客事件受害者提供信息:金色财经报道，美国总检察长和特勤局已经要求2017年EtherDelta黑客事件的受害者提供信息。据悉，美国加利福尼亚州北区检察官办公室在2019年8月就黑客攻击事件起诉了Elliot Gunton和Anthony Tyler Nashatka。两人涉嫌修改了EtherDelta交易所的域名系统，以将用户重定向到类似于真实平台的假网站。[2021/5/22 22:30:55]

2021年11月23日，Celo官方桥Optics跨链桥多签钱包所有权被未知人士转移，Optics跨链桥暂停使用。

2022年1月18日，Multichain再次遭到黑客攻击，合计损失约600万美元。

发生安全事故只是因为运气不好吗？

针对最近Multichain安全事件，@0x_Todd评论认为，对于DeFi应用，只要出过一次安全问题，就会接二连三地出问题。而一个协议如果一直不出问题，那么就一直不会出问题。

以太坊2017年黑客事件相关地址已转移300枚ETH:据The Block 1月1日消息，一个与以太坊2017黑客事件有关的地址开始转移ETH。2017年一名黑客利用了其multi-sig软件钱包的漏洞，使Parity（以太坊客户端开发公司）损失了超过15万ETH（在被黑客攻击时大约3000万美元）。而在当时，这是针对以太坊的第二大攻击。随后，黑客将7万个ETH平均分配到7个钱包中，其中一个钱包于2020年12月27日开始将大约300个ETH转换为renBTC。0x4de76b3dfd38292ba71cf2465ca3a1d526dcb567地址目前仍然持有9229枚ETH，且自12月27日以来未发生任何转移。与Parity攻击相关的其他地址都没有转移其ETH。[2021/1/2 16:15:33]

法官驳回Bithumb用户的两项索赔请求，涉及2017年黑客事件:首尔中央地方法院一名法官驳回用户针对交易所Bithumb的两项索赔请求。这些人分别要求12.6万美元和3.8万美元的损失赔偿，涉及2017年发生的一次数据泄露事件。

据Fn News报道，原告Hong和Seo（均以姓氏命名）表示，他们因网络钓鱼攻击（该攻击使用在Bithumb黑客攻击中提取的私人数据）而蒙受损失。第三名索赔人Jang获得5000美元，以弥补全部损失。这一数额比他最初索赔的27200美元低得多。在这三起案件中，法院都表示，交易所存在过失，因为它们本可以在安全方面分配更多资源，以防止大规模数据泄露事件。

然而，法官认为Bithumb和Jang都负有部分责任，并指出受害者提供的细节并未包含在最初从交易所流出的数据中。为了实施攻击，网络罪犯冒充Bithumb客户中心的代理人，向Jang提供了他认为只有Bithumb员工才能有的信息。黑客随后告诉Jang，其账户上有一次可疑的登录尝试，需要向其电话号码发送一个验证码，以帮助阻止可疑的访问。一旦获得许可，这位黑客就着手将Jang持有的XRP和ETH转化为法币。（Cointelegraph）[2020/9/4]

我们当然知道这句话有一定的调侃意味，并不能真的作为定理去评估项目风险。但是从行业内发生的某些案例来看，那些有过安全事故记录的项目，确实是更容易接二连三不断翻车。比如著名的DeFi保险项目Cover在归零前反复被黑客攻击了多次。做保险的协议自己不保险，Cover协议简直成了黑客的便携提款机。

韩国监管机构在Youbit黑客事件后对比特币交易所进行现场检查:韩国监管机构在12月19日Youbit黑客事件后对比特币交易所进行现场检查。根据政府政策协调办公室发布的官方公告，监管机构对十几家比特币交易所进行了现场检查，以确定他们是否符合加密货币交易的规定。根据现场访问后发布的最新消息，检查人员对他们的发现并不满意。“进行现场检查的结果主要的虚拟货币交易,大多数接受调查的公司（10家公司）进行行政和技术安装和操作的访问控制等安全设备和个人信息的整体加密措施，发现这些措施还是存在不足。”这是该交易所在2017年第二次被攻破，并促使该交易所的母公司Yaipan立即停止交易，并申请破产。该事件变得颇具争议，因为韩国当局指称黑客是黑客代表朝鲜政权进行的。[2017/12/28]

其实出现这种现象的原因，在于安全事故的发生其实并不是一个偶然事件，其背后反映出了这个应用开发团队在内部发布流程、风控意识等方面或许都存在着严重的问题。

事故的发生往往只是内部管理失败的外在表现形式而已。如果不能彻底清除掉内部的风险隐患，而只是头疼医头脚疼医脚地解决表面问题，那么相似的安全事故只会接二连三地不断出现。

然而目前许多加密行业内的创业团队，在工作中并不具备相对严谨的工作态度。他们往往是在仓促解决了眼前的故障后，继续快马扬鞭向前推进项目的开发进度并抢占市场，使得协议内部积累的风险隐患越来越大。

那么，对于普通用户来讲，在跨链已经逐渐变为刚需的今天，如何才能找到一个相对让人放心的跨链桥？

这里我们先对之前@0x_Todd提到的「定理」进行一下修正。首先，目前没有出现安全风险的协议并不等于绝对的安全。但加入这个协议的TVL足够大，并且协议上线运行的时间足够长，那么可以说其安全风险是相对较低的。毕竟对于这样一块「肥肉」来说，其代码一定早已被各类顶级黑客所反复分析过了。

此外，如果说对于发生过一次安全事故的协议全部一棒子打死有些过于绝对，那么对于那些已经连续发生两次甚至更多安全事故的协议，还是尽量敬而远之。

最后，我们按照这个标准，对目前市场上TVL已经有一定规模，且对各个公链兼容性比较广泛的第三方跨链桥进行了盘点。

当然，由于多链生态以及跨链桥基本都是近一年中快速发展的结果，因此这些协议所经历的考验或许并不充分。对于下方所列出的没有发生过安全问题的跨链桥，依然建议用户能够在控制好自身风险的前提下谨慎使用。

盘点目前安全记录良好的第三方跨链桥

AllBridge

Allbridge是由APYSwap团队开发的跨链桥，其主要特点是在支持主流EVM兼容链跨链的同时，支持主流的非EVM链跨链。

上线时间：2021年7月

TVL：5.46亿美元

cBridge

cBridge?是目前这几个跨链桥中支持的EVM链最多的跨链桥，基本完整覆盖了市面上能见到的EVM兼容链，现已支持19条链和层的跨链桥接。其总跨链资金已达24亿美金，而其锁仓量也在V2版本推出后出现了快速增长，目前已超过2亿美元的规模。

不同于其他第三方跨链桥只针对资产跨链，cBridge的目标显得更加宏大。除了做好资产跨链以外，cBridge还在近期发布了Celer跨链消息框架，正式进军信息跨链领域，试图成为未来多链生态中跨链互操作的底层基础设施协议。

根据官方文档的描述，未来依托CelerIM构建的新一代多链原生dApp，将会成为未来多链世界的第一批原生跨链应用。可以帮助用户实现在一条链上质押资产，并直接在另一条链上借出资产，或者让用户在一次交易中跨多条链交换资产等功能。

上线时间：2021年2月

TVL：1.95亿美元

HopProtocol

HopProtocol的突出优势是在支持主流EVM链跨链的同时，还支持以太坊上主流Layer2如Arbitrum、Optimism的跨链。目前支持的跨链资产种类包括ETH、USDC、USDT、DAI、MATIC。

上线时间：2021年7月

TVL：1.06亿美元

xPollinate

xPollinate支持的跨链种类同样很丰富，除了主流EVM兼容链以外，还支持Layer2跨层以及波卡生态的EVM兼容平行链的跨链。

上线时间：19年9月

TVL：2668万美元

文章的最后再次提示一下风险，过往没有发生安全事故的项目并不等于绝对的安全。用户在使用跨链工具时，依然有必要保持良好的账户使用习惯。如及时清理授权，或将主要资产保存地址与日常交互地址分开管理等等。毕竟，在个人拥有绝对主权的加密世界中，唯一能为自己负责的其实只有我们自己。?

来源：金色财经

标签：DEFI比特币ALLNET去中心化金融defi什么意思比特币行情软件文华itokenwallet停止维护doge停止维护BlackBerry Network

莱特币热门资讯