您的位置 首页 资讯

跨链桥安全事故频发 如何降低风险

随着大众对加密货币的兴趣及其价值都在蓬勃发展,这些钱也成为了对精通技术的窃贼的有吸引力的目标。

 

3月29日,Axie Infinity 专属侧链Ronin被曝被盗价值 6.24 亿美元的加密资产(包括173,600 ETH和 2550 万 USDC),堪称有史以来最大的黑客加密货币抢劫案之一。

 

更尴尬的是,这次黑客事件发生在 6 天前。

 

受此影响,AXS价格下跌,RON闪崩,这次重大利空事件详情如何?又会对AXS币价造成何种影响呢?

 

被盗经过

 

作为一条以太坊侧链,Ronin 的跨链桥采用的是 MPC 门限签名技术,其设置的 9 个验证者密钥中,需要有 5 个或 5 个以上的验证者密钥批准才能进行存款和取款交易。

 

而其中有 4 个密钥是由同一个人(即 Sky Mavis)负责管理的,这意味着,只要攻击者控制了 Sky Mavis 的密钥,然后再控制另一个验证者密钥,那么整个Ronin网络的资金就被黑客掌控了。最终攻击者设法控制了五个私钥,其中包括 Sky Mavis 的四个 Ronin 验证器和一个由 Axie DAO 运行的第三方验证器。

 

而目前多数跨链桥项目,均采用了这样的多重签名技术,因此,理论上,这些项目也都可能会遭受类似的攻击。

 

Sky Mavis表示,事件发生后,他们将把交易所需的节点数量增加到8个,一旦确定没有更多资金可用,它将“在以后”重新开放 Ronin 。

 

事件发生后,Ronin桥和Katana Dex已暂停运行。

 

被盗原因分析

1. Ronin是GameFi项目Axie Infinity做的游戏以太坊侧链,Axie玩家需要将ETH、USDC等跨链到Ronin侧链上玩Axie游戏;

2. Ronin采用简易的资产跨链模式,用户在以太坊上向Ronin跨链合约转账资产,Ronin控制的私钥钱包在Ronin链上给用户铸造ETH或USDC。若用户在Ronin上销毁USDC、ETH,则Ronin控制的私钥钱包签名提币证明,用户拿提币证明调用以太坊跨链合约赎回USDC、ETH等资产;

3. 这意味着Ronin控制的私钥钱包配置在服务器上,并且第三方服务可访问,在服务器上就存在被盗私钥可能性。

 

 

项目方所采取的行动

事件曝光后,项目方便迅速采取行动,并积极采取了以下措施防范未来的攻击。

1、为了防止进一步的短期损害,将验证人门槛从 5 个增加到 8 个。

2、及时与主要交易所的安全团队保持联系,将在未来几天内与所有人建立联系。

3、正在迁移节点,与旧基础设施完全分离。

4、暂时暂停 Ronin Bridge,确保没有进一步的攻击向量保持开放。保险起见Binance 还暂时禁用了他们与 Ronin 之间的桥梁。

5、由于无法套利和向 Ronin Network 存入更多资金,暂时禁用了 Katana DEX。

6、正在与 Chainalysis 合作监控被盗资金。

 

下一步

项目方正与各个政府机构直接合作,以确保将罪犯绳之以法。

正在与 Axie Infinity / Sky Mavis 利益相关者讨论如何最好地推进并确保没有用户的资金损失。

Sky Mavis 长期存在,并将继续建设。

 

关于跨链

上个月,黑客以 3.2 亿美元的价格利用了虫洞桥。今天,黑客以 6.25 亿美元的价格利用了 Ronin Bridge。这不得不让我们再次重视一个问题:跨链桥也许比我们意识到的要脆弱得多。

V神曾经发布文章表示:关于为什么未来将是*多链*,但不会是*跨链*的论点——跨越多个“主权区域”的桥梁的安全性存在根本限制。此次Ronin Bridge被盗6.24亿美元,让我们不得不重视跨链所带来的安全性问题。

 

目前以太坊生态最依赖的 rollup 跨链桥,相比侧链跨链桥,当前的 rollup 跨链桥可能看上去并没有什么本质上的不同,两者都会依赖 n-of-m 联邦信任模型(也就是多重签名),但 rollup 跨链桥可以随着发展去掉这个信任模型,而最终的风险点在于智能合约本身,而侧链的跨链桥,当前只能依赖这个联邦信任模型,同时还会面临智能合约风险以及 51% 攻击风险。

 

一些简单的建议

跨链的水太深了,几乎每种方案都会面临多种潜在的攻击方式,系统设计的越复杂,遭遇攻击的可能性也就越大,因此,并不建议通过现有的跨链桥在各个公链之间转移太多的资产。如果实在有需求,可以采取以下几种方式,以降低遭遇攻击的风险;

  1. 通过较安全的中心化交易所,兑换对应链的原生资产,然后将其提取到相应链,以避免可能发生的智能合约风险。

  2. 采用信任最小化的跨链桥,例如 IBC、Nomad 以及成熟的 rollup 跨链桥。

  3. 暂时不看TVL指标,这个值越高,跨链桥被黑客攻击的可能性也就越大。

  4. 采用长期存在,并且从未出过安全事故的跨链桥,同时尽量避免使用不同生态之间的跨链桥。

 

写在最后

此次事件被盗了6亿美金金额巨大,一旦追不回,AXS赔付用户损失资金的可能性极低,现在只能等待官方后续的公告,如果没有做好赔付,AXS很有可能从此一蹶不振。以后也很难恢复元气了,一旦失去了用户的信任,Ronin作为一条侧链也基本挂了。

 

Ronin这次的被盗事件,短期会对链游造成不小打击。Axs或将剔除出龙头行列,最后,衷心希望跨链桥能够越来越安全。

热门文章

发表回复

您的电子邮箱地址不会被公开。