跨链桥资金量大且频繁遭到攻击,流动性前三的桥均出现过安全事故,说明跨链桥属于高危领域。
区块链世界已有上百条公链,然而因为缺乏主流资产,需要使用跨链桥从以太坊等公链上获取资产。近期,DeFi安全事故频发,跨链桥资金量大且频繁遭到攻击。下文中,PANews盘点了过去跨链桥中比较大的10次攻击过程,所有开发团队都需安全警钟长鸣。相对而言,开发团队背景越好越有资本的跨链桥在出现安全事故后,确实更容易找回资产或者由项目方进行赔付,因此用户选择有实力的跨链桥会更加稳妥。
ChainSwap:涉及资金800万美元,重新发币
2021年7月2日和7月11日,ChainSwap两次遭到黑客攻击,第一次损失约80万美元,第二次损失约800万美元。第二次攻击涉及的范围较大,超过20个使用ChainSwap进行跨链的项目受到影响。
根据ChainSwap的调查,本次事故是因为协议没有严格检查签名的有效性,攻击者可以使用自己生成的签名对交易进行签名。
由于损失的都是项目方的治理代币,包括ChainSwap自身在内的多个项目决定进行快照,并发行新的代币,以补偿代币持有者和LP。
相关阅读:《跨链桥项目Chainswap再遭黑客攻击,超20个项目被盗》
“汉语盘点2021”活动正式启动:虚拟货币、元宇宙入围年度推荐字词:金色财经报道,11月19日,由国家语言资源监测与研究中心、商务印书馆等联合主办的“汉语盘点2021”启动仪式在商务印书馆举行。启动仪式上,主办方推出“专家版本”和“大数据版本”的年度推荐字词,其中国家语言资源监测与研究中心通过监测语料库推荐的国际词有气候峰会、东京奥运会、塔利班、德尔塔、虚拟货币,清华大学教授沈阳作为“汉语盘点”活动的评议专家,推荐了“治、离、元宇宙、碳中和”等年度字词。12月20日,“汉语盘点2021”揭晓仪式将揭开年度字词的面纱。[2021/11/20 7:00:36]
PolyNetwork:涉及6.1亿美元,已找回
2021年8月10日晚间,跨链互操作协议PolyNetwork遭到黑客攻击,在以太坊、币安智能链、Polygon上分别损失2.5亿、2.7亿、8500万美元的资产,总损失约6.1亿美元。
本次攻击主要是PolyNetwork的合约权限管理逻辑存在问题。攻击者在源链上构造了一笔将目标链Keeper修改为自己的地址的操作;官方中继器毫无防备的提交了交易并执行替换Keeper的操作;攻击者通过替换后的Keeper地址对转出资产的操作进行了签名;交易通过验证并执行,资产被转移到黑客地址。
攻击者在事先已经做好准备,初始资金来源为隐私代币XMR,在无需KYC的交易所换成BNB、ETH、MATIC后提币。但黑客最终还是归还了所有资金,PolyNetwork也称对方为“白帽”黑客,并愿意聘请他担任公司首席安全顾问。
央行盘点2020:积极运用区块链等技术将金融服务融入实体经济“关键动脉”:央行发布《盘点央行的2020 | ⑦金融科技和金融基础设施》表示,积极运用大数据、人工智能、区块链等技术将金融服务融入实体经济“关键动脉”。首个由我国专家召集制定的ISO标准《银行产品服务描述规范》正式发布,同时牵头研制移动支付、区块链、绿色金融等多项国际标准。(中国人民银行公众号)[2021/1/11 15:53:08]
相关阅读:《被黑6.1亿美金的PolyNetwork事件分析与疑难问答》
Multichain:涉及600万美元,已赔付
2022年1月18日,Multichain表示,发现一个对WETH、PERI、OMT、WBNB、MATIC、AVAX六种代币有影响的重要漏洞,虽然漏洞已修复,但用户需要尽快撤销授权,否则资产仍然可能面临风险。一个月后,Multichain官方发布了该漏洞的调查报告,共有7962个用户地址受到影响,4861个地址已撤销授权,其余3101个地址尚未撤销授权。共有1889.6612WETH和833.4191AVAX被盗。WETH和AVAX的损失按1月18日的价格计算,价值约604万美元。
据慢雾安全团队分析,这次被盗的原因是Multichain在检查用户传入的Token的合法性时出现问题,未考虑到并非所有underlying代币都有实现permit函数,导致事先有将WETH授权给AnyswapV4Router合约的用户的WETH被转移到攻击者恶意构建的地址中。
美股持续走高,道指较3月23日收盘点位上涨20.48%:美股盘中持续走高,道指涨逾1200点,较3月23日收盘点位上涨20.48%;纳指、标普500指数分别较3月23日收盘点位上涨约12%、16%。[2020/3/27]
在Multichain官方发布漏洞调查报告时已有912.7984WETH和125AVAX被追回,占被盗资金总额的近50%。团队发起提案,将被盗资金退还给已撤销合约授权的用户,但不再对2月18日24:00之后的损失进行赔付。
相关阅读:《慢雾分析Multichain被盗经过,合约一函数未检查用户传入Token的合法性》
QBridge:涉及8000万美元,仅赔付2%
2022年1月28日,借贷协议Qubit的跨链桥QBridge遭到攻击,损失约8000万美元。
本次事故的原因在于QBridge在对白名单代币进行转账操作时,未对其是否是零地址再次进行检查。在充值ERC20代币和ETH分开实现的情况下,调用deposit函数本该是存入ERC20代币的交易,黑客的deposit操作中将ERC20代币的地址设为零地址,在没有存入任何代币的情况下,在BSC上凭空铸造了大量xETH代币。以这些xETH代币为抵押品,从Qubit中借出其它代币,导致Qubit中的抵押品耗尽。
目前Qubit已几乎无人使用,官网显示还有98%的被盗资金尚未得到赔付。
相关阅读:《Qubit项目的QBridge遭受攻击主要由于未对其是否是0地址再次进行检查》
动态 | 澳媒盘点12国加密货币税制 日本税率最高:7月23日,澳大利亚加密货币媒体Mickey发文盘点各国加密货币税制,并指出日本加密货币税率非常高。根据2017年4月实行的资金结算法修订版,加密货币交易所产生的利益所得划分为杂项收入,所得税最高可达45%,作为伴随着损失的交易市场税率来说非常高。此外,该媒体列举了以下几个国家的加密货币税制:1、德国:加密货币交易免除附加税,持续保有加密货币一年以上可免除转让所得税。全部欧洲市民向德国转移资产时可免除转移税。2、新加坡:长期投资加密货币的企业和个人免除转让所得税。3、葡萄牙:不像加密货币征收附加税和所得税,但企业通过加密货币交易所得的收益需要课税。4、马耳他:加密货币的日交易作为法人税征收税金,但个人投资者购买和拥有加密货币不用缴纳税金。5、马来西亚:不需要缴纳转让所得税。6、白俄罗斯:对加密货币挖矿和对加密货币的投资不征收税金。7、瑞士:对专业投资者的加密货币交易征收法人税,挖矿被视为个人营业收入,但个人投资者的投资及交易不需缴纳转让所得税。8、加密货币被认为是资产,纳税方式和股票一样;如果购买加密货币并保留一年以上,根据收入水平征收0%至20%的税金。9、澳大利亚:当所有交易均被视为转让收入,并且兑换为澳元时要求保留所有准确的交易记录;如果进行加密货币投资获得的利润,就要交纳与个人所得税相同速率的税金。但如果持有1年以上的加密货币,将减免50%的税金。10、以色列和瑞典:如果纳税人不能证明他们购买的加密货币的购买额,将会征收百分之百的税金。[2019/7/23]
Meter.io:涉及440万美元,用未来收益赔付
动态 | 证券日报发布2018年区块链行业焦点盘点:证券日报发布《2018年区块链行业焦点盘点:乱象频发币圈狼藉监管筑篱》文章称,很多人将此轮区块链热潮与20年前的互联网泡沫相比。可以确定的是,区块链“泡沫”一定有,但区块链能否如互联网般改造世界,尚难下定论。监管部门去年以来重拳出击,规范资本市场“炒链”行为,严厉惩治ICO。从中央到地方,掀起防范以“区块链”名义进行非法集资的高潮,不断给区块链“排瘦身”。而瘦身后的区块链也正逐步回归理性——币圈萧条,市场开始重新审视以比特币为代表的加密数字货币的价值与意义;去芜存菁,越来越多的企业沉下心转向技术应用开发;人才成本也挤出“泡沫”,回归同行业正常水平。[2019/1/4]
2022年2月6日,MeterPassport跨链桥被恶意利用,造成440万美元的损失。
Meter官方表示,问题出在Meter上扩展原始码出现的“错误的信任假设”,让黑客以“调用底层ERC20存款功能”来伪造BNB和ETH转账。
Meter首先称,将用MTRG代币赔偿用户的BNB和WETH损失。但在治理投票中,决定新发行PASS代币赔付给用户,后续用Meter的未来收益回购PASS代币,但尚未进行过任何回购。
相关阅读:《PeckShield:Meter.io跨链桥遭黑客攻击,损失约430万美元》
Ronin:涉及6.2亿美元,已赔付
2022年3月29日晚间,区块链游戏AxieInfinity背后的Ronin链上的资金被盗。此次被盗发生在3月23日,但直到3月29日才被发现。本次攻击造成的损失约6.2亿美元。
根据SkyMavis博客文章和TheBlock的报道,Ronin的被盗指向社会工程学攻击。一家虚假公司的员工通过领英联系到了AxieInfinity和Ronin开发商SkyMavis的员工,并鼓励他们申请工作。SkyMavis的一名员工在经过多次面试之后获得了“Offer”。在下载了伪造的“Offer”录取信后,黑客软件渗透到Ronin的系统中,接管了Ronin网络9个验证者中的4个。随后,黑客通过SkyMavis控制了AxieDAO,后者曾允许SkyMavis代表其签署各种交易,一旦攻击者能够访问SkyMavis,就可以从AxieDAO验证器中获得签名。
Ronin的被盗资金并未能追回。4月4日,SkyMavis宣布完成了一笔币安领投的1.5亿美元融资,用于赔偿用户损失。6月29日,SkyMavis宣布重新上线Ronin桥,用户可以获得赔偿。但被盗资金主要为ETH,在攻击至赔付期间,ETH价格下降约2/3。
相关阅读:《价值5.4亿美元的Offer:Ronin遭攻击源自工程师打开了一家虚假公司的录取信》
Wormhole:涉及3.26亿美元,已赔付
2022年2月3日,跨链互操作协议Wormhole遭到黑客攻击,损失约12万枚ETH,价值约3.26亿美元。
黑客在Wormhole的Solana一侧大量增发whETH,并从以太坊上提走了所有ETH。2月5日,Wormhole在针对该事件的报道中称,此次漏洞是因为Solana端Wormhole核心合约签名验证代码存在错误,攻击者可以伪造来自“监护人”的消息来铸造whETH。
2月4日,JumpCrypto宣布为Wormhole投入12万ETH,以弥补Wormhole的被盗损失,Wormhole已恢复运行。
相关阅读:《跨链桥Wormhole遭黑客攻击,约3.26亿美元资产被盗》
EvoDeFi:预计涉及上千万美元,未处理
2022年6月7日,Oasis生态DEXValleySwap上的USDT严重脱锚。ValleySwap曾是Oasis链上最大的DEX,TVL最高为2.2亿美元。由于USDC-USDT交易对的流动性挖矿收益较高,当时有部分用户在ValleySwap上用这两种稳定币挖矿。DefiLlama显示,ValleySwap上的资金从6月4日开始大量流出,6月7日时的TVL为8878万美元,具体损失金额未知,预计在上千万美元级别。
ValleySwap上资产脱锚的原因在于使用的跨链桥EVODeFi在源链上的流动性已经不足。EVODeFi称是因为FUD恐慌导致的问题,但这个理由显然站不住脚。Oasis官方人员则回应称,已提示EVODeFi存在风险,Oasis网络与ValleySwap和EvoDeFi没有任何关联,EvoDeFi是高风险的、未经审计,也不是开源和去中心化的。本次事故的原因可能为EVODeFi通过后门盗取了用户资产。
用户的损失并没有任何解决方案,公链Oasis急于与自己摆脱关系,ValleySwap和EVODeFi的官方推特均在6月8日后停止更新,约等于跑路。
相关阅读:《Oasis生态DEXValleySwap上的USDT已严重脱锚》
Horizon:涉及近1亿美元,正在制定赔偿方案
2022年6月24日,Harmony官方跨链桥Horizon遭到攻击,共造成约1亿美元的资金损失。
6月26日,Harmony创始人StephenTse承认,可能是“私钥泄露”导致了本次攻击。资金在以太坊和BNB链上被盗,被盗资产包括BUSD、USDC、ETH、WBTC等。此前,以太坊与Horizon间的多重签名只需5个中的2个即可转移资金,事后需要的签名数被修改为5个中的4个。
Harmony曾希望通过增发ONE代币,在3年时间里赔偿用户的损失,但目前并未与社区达成一致。在Harmony社区7月27日发起的赔偿提案中,StephenTse表示,理解社区的担忧,将重新制定赔偿提案。
相关阅读:《安全团队:HarmonyBridge遭遇攻击原因或为私钥泄露》
Nomad:涉及1.9亿美元,处理中
2022年8月2日,Nomad中的流动性被迅速耗尽,在发生安全事故前Nomad中共有1.9亿美元的流动性。本次事故也导致另一个Layer2互操作性协议Connext损失约334万美元,当时Connext路由在受影响的链上持有约334万美元的madAssets。
据Paradigm研究员samczsun分析,本次事故是因为Nomad在一次合约升级中将可信根初始化为0x00,导致任何人都可以使用一笔有效的交易,用自己的地址替换对方的地址,然后将交易广播出去即可从跨链桥提取资金。
据欧科云链分析,本次攻击涉及到1251个ETH地址,涉案金额约1.9亿美元,其中包括12个ENS地址,ENS地址约占总金额的38%。项目方并未给出一个确切的赔付方案,已有部分白帽黑客表态愿意归还资金。
相关阅读:《Nomad黑客事件复盘:1.9亿美元被盗仅因一个低级错误》
小结
跨链桥安全事故的多发足以让我们保持警惕,按流动性排名前三的桥Multichain、Portal、PolyNetwork均发生过安全事故,说明跨链桥属于高危领域,任何跨链桥都有可能再次出现安全问题。
相对而言,开发团队背景越好越有资本的跨链桥在出现安全事故后,确实更容易找回资产或者由项目方进行赔付,如PolyNetwork、RoninNetwork、Wormhole的巨量资金被盗后找回,或进行了足额赔付。
团队的实时监控和积极处理是有效的,HopProtocol和Stargate在收到可疑活动报告后都快速进行了处理,即时狙击黑客未能攻击成功。
来源:金色财经
标签:以太坊比特币DEFHARM以太坊价格比特币价格实时行情币价格DEFILANCER价格HarmonyLauncher
文章重点 以太坊价格飙升,数字飙升并开始新的每周交易超过1700美元尽管合并正在迅速接近,但多个指标表明未来将开始显着的牛市反弹以太坊价格在与空头发生激烈争吵后飙升至早盘交易时段的高点1726.
互联网有一个特点普及很快,但是区块链恰恰是一个例外,已经有十多年了,依然没有普及,问题在哪里?从技术角度来看,首先第一个问题就是难以提升的交易效率,比特币每秒只有7笔交易.
注:原作者为Jean-PaulFaraj熊市是积累财富的最好机会。游客都已离开,现在正是淡季。这是建设者们埋头工作的时候,也是投资者对下一个大趋势下注的时候.
美国8月5日的就业数据高于市场预期,表明通胀并未降温。强劲的数据降低了美联储放慢激进加息步伐的可能性。根据芝商所的数据,在发布后,9月份加息75个基点的可能性已上升至68%.
最近几年,很多人都把DeFi当作是颠覆CeFi的“最强杀招”,占据最前的CEX自然而然也偶尔被推上风口浪尖.
最近Aptos、Sui的新热潮带火了Move相关的生态概念。我们团队从事Move相关的工作一年多,算是全球最经验最多、踩坑最多的开发者团队之一,借此分享一下对Move的看法与理解.