北京时间2022年8月2日,跨链解决方案Nomad遭到黑客攻击,损失资金超过1.9亿美元。
和历次黑客攻击事件不同的是,本次攻击事件中有大量普通用户参与其中,在黑客发现Nomad漏洞并成功攻击之后,利用漏洞“抢劫”Nomad桥资金的方法就在加密社区极速扩散,很多加密用户蜂拥而至,有些用户甚至都来不及使用马甲进行伪装,就直接使用常用的ENS域名,这难免会暴露自己的真实信息。
本次黑客攻击事件可谓是加密史上第一次去中心化、加密用户广泛参与的安全事件。
Nomad是一种采用optimistic机制的互操作性协议,可实现安全的跨链通信。在其官网中介绍到,Nomad的目标是构建一个联结组织,使用户和开发人员能够在多链世界中安全地交互,并且重点讲述了三个核心优势——安全的、省费用和可扩展的。
NOMAD
在今年第二季度,Nomad迎来了发展的良机,获得了一笔Polychain领投的2200万美元的种子轮融资。
本次攻击事件的发生要从一个合约漏洞讲起,Nomad官方对智能合约进行了常规升级,但升级后的智能合约副本存在致命缺陷,主要就是将零哈希标记为有效根,令人惊讶的是,这个设置具有自动验证每条消息的功能,这便让黑客可以轻而易举的盗取桥上的巨额资产。
而普通用户只需要找到一个有效交易,用钱包地址替换掉已有地址并重新广播,此外也有的用户从Moonbeam网络通过Nomad跨链0.01个BTC到以太坊网络,却收到了100个BTC。很多用户闻风而动参与其中,俨然成为一场加密市场集体“抢劫”行动!
Nomad 代币桥总锁仓量(TVL)原本应有1.9亿美元,但在foobar发布推文时(北京时间8月2日6点35分),跨链桥中依然有 1.3 亿美元资产。然而官方却没有采取任何应急措施,来制止更多的资金流失。
大约一个小时后,北京时间8月2日7点25分,Nomad官方发布关于该事件的推文,只是强调说:“我们知道涉及 Nomad 代币桥的事件。我们目前正在调查,并会在我们有更新时提供更新。”此时,跨链桥中仍然有约7500万美元的资金,但Nomad官方仍然未采取任何应急措施,来制止这一事件朝着更为严重的方向发展。
尔后,当跨链桥资金只剩下约4502美金的时候,Nomad官方才有所行动,然而,此时已经损失了超过1.9亿美元的资金。
跨链桥攻击事件频繁发生,从2021年下半年至今超过10起,而且此类攻击事件往往损失巨大,就在不久前的6月24日,跨链桥Horizon发生黑客攻击事件,损失高达 1 亿美元。为什么跨链桥项目频繁被攻击?
1、有利可图
随着整个加密市场的蓬勃发展以及多链格局的形成,整个加密市场对跨链桥的需求旺盛且使用频繁,因此跨链桥中往往存在大量的加密资产,必然会成为黑客攻击的重点目标。
2、流程复杂
跨链桥的整个业务流程比较复杂,会涉及到多条链、多个合约之间的交互,这便给跨链桥的整体安全提出了极高的要求,某一个部分的安全并不能解决全链路整体安全,一旦某一部分出现安全问题仍将严重威胁跨链桥风险。
3、不可能三角
区块链技术存在“不可能三角”的问题,即不能同时兼顾“去中心化”、“安全性”、“交易处理性能”这三个特性。有些跨链协议为了追求“交易处理性能”和“去中心化”,就会不可避免的损失“安全性”,这便降低了黑客攻击的难度。
1、分散跨链桥池
跨链桥项目可以建立多个总跨链桥池,用户资金可以分散其中,这样可以有效增加黑客攻击成本,也能最大限度增加跨链桥的安全性。
2、扩大签名比例
将所需签名者的比例进行适度增加,同时将多签分配到不同的钱包中,可以有效消除相关的安全风险。
3、严格合约审计
最近发生的多起跨链桥被黑事件中,很多都是因为合约漏洞所致,项目在进行合约发布和审计时需要严格审计,防止此类事件再次发生。此外,可以通过漏洞赏金的方式来高效提高安全性。
SAFEIS,让区块链更安全!
来源:金色财经
| 欢迎光临 优惠论坛 (https://tcelue.tv/) | Powered by Discuz! X3.1 |
