区块链集成前Web3 不会成为主流越来越多的攻击,这意味着什么?_LID:SWET价格

早在2022年3月,加密货币网络Ronin就透露它已成为有史以来最大的黑客攻击之一的受害者,该漏洞使攻击者窃取了价值超过5.4亿美元的以太坊和美元硬币。该事件导致黑客利用了名为RoninBridge的服务中的漏洞。这是最近对“区块链桥”的许多成功攻击之一,这些攻击引起了人们对其固有安全效率低下的关注。

区块链桥,有时称为网络桥,是一种服务,可以让加密货币持有者将他们的数字资产从一个区块链转移到另一个区块链。它们发挥了重要作用,因为加密货币通常是孤立的并且缺乏互操作性,这意味着你可以将比特币发送到以太坊钱包地址。由于这种孤立的性质,桥梁已成为加密经济中的一种关键机制。

桥接服务实际上并不将一种数字资产转移到另一条链上。相反,他们所做的是“包装”加密货币代币,以便将它们转换为另一条链上的新资产。因此,如果用户想要将比特币连接到Solana,该桥将通过将原始BTC锁定在钱包地址中来冻结原始BTC,然后吐出可以在第二条链上使用的所谓的打包BTC。它可以被认为是一种提供完全相同货币价值的礼品卡,只能在特定商店使用。

印度在担任G20轮值主席国期间将探索禁止无担保的加密货币:金色财经报道,印度周四表示,在其正在担任的G20轮值主席国期间,他将优先制定一个无担保加密资产、稳定币和去中心化金融的全球监管框架,并将探索“禁止它们的可能性”,这对新生行业来说可能是一个巨大的挫折。

金色财经此前报道,印度央行发布《金融稳定报告》称加密货币未能成为对冲通胀工具。[2022/12/30 22:15:43]

由于它们的工作方式,桥梁因此拥有大量锁定在智能合约中的加密货币代币储备,这些储备使它们对黑客特别有吸引力。

正如加密货币的拥护者所知道的那样,任何保存在链上的价值在一天中的任何时候都可能受到攻击。互联网永远不会离线,这意味着任何网桥持有的代币都可以随时访问。

RoninHack显示了中心化的危险

声音 | 陈云峰:国家发改委将挖矿列为淘汰类产业或是行业监管模式探索的重要一步:据南国早报消息,对于国家发改委将“虚拟货币‘挖矿’活动”列为淘汰类产业一事,中伦文德律师事务所高级合伙人、互联网金融专业委员会主任陈云峰向记者分析道:“从政策导向上看,发改委的这一决定短期内确实会对虚拟货币挖矿业产生负面影响,但是长期来看,该决定是否会对行业产生决定性的指导作用尚不得而知,需进一步观察后方可判断。” 陈云峰认为,虚拟货币挖矿业相较于其他行业,仍处在发展初期。假设未来虚拟货币被证明是耗能大、无价值的产品,那么这一决定将是行业监管模式探索的重要一步。由于本次发布的‘产业结构调整指导目录’尚处于征询阶段,我们认为对该行业可以继续研究、继续观察。[2019/4/14]

就美元价值而言,对Ronin网络的攻击是有史以来最大的DeFi抢劫案之一。Ronin是一种以太坊侧链,可以以比主网络更快的速度进行更便宜的交易。它是流行的“赚钱”加密货币游戏AxieInfinity的首选桥梁,这意味着它不断处理数百万美元的加密货币和稳定币。

区块链技术仍在早期阶段,处于探索初期的公司不确定性很大:东方财富网《信息时报》专栏今日发文称,一位计算机行业分析师向记者表示:当前区块链的技术仍处于早期阶段,对于大部分公司来说,应用落地还比较困难,只有金融贸易、游戏娱乐和数字化等行业等有望较快落地。因此,投资者对于上市公司参与区块链业务要加以警惕,其中尚处于探索初期的公司未来的不确定性仍然较大。[2018/3/20]

侧链是一种区块链扩展解决方案,需要一个桥来连接到其他链。使用Ronin,用户可以将他们的ETH和薄荷包裹的ETH锁定在替代网络上。交易通过权威证明共识算法进行处理和批准。使用此模型,必须有9个验证者中的5个同意交易才能达成共识。然而,Ronin的四个验证器由一家公司运营——Ronin的开发者SkyMavis。

这是一个高度集中的设置,源于AxieDao决定在2021年11月设置一个无气体RPC节点以尝试修复网络拥塞。DAO将SkyMavis密钥列入许可名单,以代表其签署交易。这应该只是一个临时安排,但白名单从未被撤销。这为攻击者创造了机会,该集团使用社会工程技术来破坏SkyMavis的四把钥匙。黑客随后在RPC代码中发现了一个漏洞,使其控制了第五个验证者并允许其进行非法取款。

主要问题是Ronin用于签署交易的多重签名系统由于缺乏去中心化而受到损害。它说明了安全机制的弱点,其中大部分治理集中在单个实体手中。

智能合约漏洞持续存在

Ronin黑客事件不是一次性的,而只是对区块链桥的一系列备受瞩目的攻击中的最新一次,这些攻击已导致价值数百万美元的价值损失。一个月前,在对QubitBridge的攻击之后,攻击者成功窃取了价值约8000万美元的以太坊。

这是一项由QubitFinance平台运营的服务,使用户能够通过以太坊和币安智能链网络借出和借入数字资产。例如,它可以存入ERC-20代币并接收BEP-20代币作为交换,然后可以在Binance链上使用。

QubitBridge因其智能合约代码中的“逻辑错误”而遭到黑客攻击。该漏洞使黑客能够使用恶意数据操纵桥接器,因此他或她可以提取BSC代币而无需在以太坊上进行任何存款。对攻击的尸检发现,QBridge智能合约没有正确验证所需数量的ETH已被锁定。相反,黑客能够出示不存在存款的虚假证明。

广西南宁市政府将利用区块链等技术,推进智慧城市建设:5月7日,中国平安保险(集团)股份有限公司与南宁市人民政府签署智慧城市战略合作框架协议。根据协议,双方将在智慧政务、智慧财政、智慧医保等诸多领域展开合作,并借助平安全球领先的人工智能、区块链等技术,提供面向南宁市政府、企业和社会公众的智慧应用,全面提升数字化、信息化对南宁市经济和社会发展的支撑与引导作用,共同推进南宁智慧城市建设。[2018/5/7]

该事件凸显了智能合约漏洞如何在DeFi中仍然是一个长期存在的问题,尤其是对于区块链桥而言。绝大多数桥接攻击都针对智能合约中的错误,智能合约是在满足某些条件时自动执行的自动合约。

桥梁是扩大加密范围的关键

自从新兴行业开始流行以来,加密平台一直受到层出不穷的攻击。DeFi的拥护者表示,它可以提供比传统金融服务更容易获得和更公平的替代方案,但随着空间的发展,它已经经受了本质上是一场火灾的考验。对网桥的攻击与加密货币交换和DeFi协议抢劫一样司空见惯。问题在于,像交易所和协议一样,桥梁是高风险平台,拥有巨大的价值,其中任何一个平台都可能容易受到底层代码错误的影响。

人们普遍认为,如果没有适当的攻击风险解决方案,加密货币和DeFi永远不会得到广泛采用。世界上绝大多数的价值都由投资银行和大型对冲基金等机构投资者持有。此类组织将合规性和资金安全置于可能获得的任何潜在利润之上。因此,在解决安全问题之前,DeFi和加密货币不太可能成为一个利基投资行业。

桥梁安全尤为重要。区块链的孤立性质是一个严重的障碍,限制了任何去中心化应用程序的潜在范围。建立在以太坊上的dApp无法与基于不同区块链的其他人对话。它无法与世界上最有价值和最广泛使用的加密货币比特币进行交易,这意味着BTC持有者无法与DeFi生态系统进行交互。如果加密货币将变得无处不在,用户必须有一种安全的方式与不同的链进行通信。

建造更好的桥梁

好消息是,业内有些人认识到安全区块链连接的重要性。一个令人兴奋的前景是AllianceBlock极具前景的AllianceBridge,它支持包括以太坊、币安智能链、Avalanche、Polygon、Arbirtrum、Optimism和EnergyWeb在内的主要网络,其独特的基础设施更加去中心化并提供更快、更安全的性能。

与依赖单个或仅几个实体来验证交易是否合法的中心化桥不同,去中心化桥基于与区块链本身相同的原则。有多个运营商利用结构良好的共识机制来建立交易的有效性。AllianceBridge是一个去中心化的桥梁,它开发了一种独特的方法来确保达成共识。

与其他人一样,AllianceBridge将其收到的代币锁定到智能合约中,然后在目标区块链上发行打包的代币。这些打包的代币将存在于第二条链上,直到用户决定在原始网络上赎回它们。此时,被包装的代币被烧毁,这意味着它们不再存在,而原生链上的原始代币被解锁。

AllianceBridge的不同之处在于它采用了与EVM兼容的网桥运营商网络。此外,它还利用了强大的第三方HederaHashgraph共识服务,该服务由创新的“gossip-about-gossip”共识算法提供支持。

使用HCS服务,区块链应用程序和网络可以将消息提交到Hedera公共分类账,在那里它们被加盖时间戳并以完全透明的方式排序。这使得AllianceBridge可以在不保持其网桥运营商之间同步的情况下达成共识。这意味着更高的性能和高度的去中心化,而HCS提供了额外的信任层,使桥梁更加安全。

AllianceBridge的智能合约,用于锁定原始资产和铸造和烧毁包裹的代币,提供了更多的保证。整个智能合约代码库的编写与EIP-2535标准产生共鸣,并已通过Omniscia的全面审核。在审核期间,Omniscia指出了一些潜在问题,AllianceBlock在代码上线之前及时修复了这些问题。

AllianceBridge的安全性和可靠性在扩展AllianceBlock的DeFi产品套件的实用性方面发挥了关键作用,它为项目在多个受支持的网络和dApp上启动流动性挖掘和质押活动提供了一种简单的方法。凭借其安全的区块链互操作性协议,AllianceBlock正在为丰富、互联的Web3生态系统的发展和发展奠定坚实的基础。

今天的分享到此结束了,有问题欢迎评论区留言私信!

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金宝趣谈

[0:15ms0-3:498ms