BTC/HKD-0.35%
HK$ 493910
$ 62944.9

ETH/HKD+1.39%
HK$ 20361
$ 2594.84

LTC/HKD+0.08%
HK$ 523.22
$ 66.68

DOT/HKD-0.37%
HK$ 34.6
$ 4.409

ADA/HKD-0.01%
HK$ 2.79
$ 0.356

SOL/HKD-0.2%
HK$ 1156.4
$ 147.368

XRP/HKD+2.07%
HK$ 4.7
$ 0.599

DOGE/US-0.64%
HK$ 0.86
$ 0.109

比特幣交易所最好的比特幣交易所

幣安

世界排名第一的比特幣交易所

URL：https://www.binance.com

火幣

成立於2013年的比特幣交易所

URL：https://www.huobi.com

歐易OKX

成立於2014年的比特幣交易所

URL：https://www.okx.com

ETH:5次跨鏈橋漏洞攻擊總損失已超13億美元誰來為這天價買單？_ftt幣最新利好消息

Author：

Time：1900/1/1 0:00:00

2022年自年初至今，僅5次的跨鏈橋攻擊就導致了13.17億美元的損失——這個數字是2022年Web3.0行業因黑客、欺詐、漏洞等事件造成總資產損失金額的57%。

之所以跨鏈橋攻擊的損失如此巨大，是因其本身的固有安全漏洞及整個領域缺乏防御攻擊專業意識和相關理論知識。

規模位于前三的跨鏈橋攻擊事件分別為：Ronin Network，造成6.24億美元的損失；Solana跨鏈橋項目蟲洞（Wormhole），造成3.26億美元的損失；Nomad，造成1.9億美元的損失。

本文將通過分析今年發生的這5起尤其是具有代表性的Nomad Bridge攻擊事件，與大家探討跨鏈橋的安全問題及解決方式。

跨鏈橋安全

在分析這幾起攻擊事件前，我們需要明確一下跨鏈橋存在的固有安全問題。

V神Vitalik Buterin曾在Reddit上寫道，因為51%攻擊的影響，他對跨鏈應用持悲觀態度。然而除此之外，還有更多需要考慮的?其他問題。

Kusama開啟第15次平行鏈插槽Auction，目前出價最高的是Genshiro:11月16消息，據PolkaWorld發文稱，目前Kusama網絡已經開啟第15次平行鏈插槽Auction，目前出價最高的是Genshiro。11月16日凌晨1:30左右Kusama的第14個平行鏈插槽Auction結束，UNIQUE的先行網Quartz以鎖定54,384個KSM贏得了第14個平行鏈插槽，租期范圍是Lease17-Lease24，會在Lease17開始的時候，即11月27日接入Kusama中繼鏈，并以平行鏈的方式出塊。[2021/11/16 21:55:39]

在2022年7月22日發布的一個推特視頻中（https://twitter.com/nomadxyz_/status/1550525582714097664），Nomad的創始人James Prestwich解釋了為何行業普遍在跨鏈應用建立安全模型方面缺乏專業知識，以及為何獲取這些標準的專業知識需要花費一年的時間。

對于個人用戶來說，很難將資產從一個區塊鏈轉移到另一個區塊鏈，因此必須通過跨鏈橋來實現這一操作。跨鏈橋協議的原理是：用戶在A鏈將代幣存入，隨后在B鏈上收到債務代幣。一旦B鏈的債務代幣被銷毀，則A鏈存儲的代幣就會被釋放。

FTX完成第105次FTT回購銷毀，銷毀約270萬美金的FTT:據官方消息，數字資產衍生品交易所FTX昨日完成對其平臺幣FTT的第105次回購銷毀，共銷毀88,808 FTT（約270萬美金）。FTT的部分銷毀來自于FTX所收得手續費的33%，已銷毀FTT總數達12,668,794 FTT（約4億美金)。

FTT暫報32.03美金，總流通市值約49.4億美金。此外，質押FTT將尊享：邀請返傭比例、掛單手續費獎勵、上幣投票額外權益、空投額外獎勵、免提幣手續費以及通證預售額外認購券以及抽取FTX周邊大禮包。詳情請見官方公告。[2021/7/28 1:21:07]

為了實現這一功能，跨鏈橋需要實現這幾個功能：保管用戶存入的代幣，向用戶釋放債務代幣，以及在不同鏈之間發送消息的預言機。這使得跨鏈橋在安全方面更加脆弱——黑客可以下手的地方實在太多了。

條條大路通跨鏈橋，對黑客來說，又怎么能輕易拒絕這種快速暴富的攻擊渠道？攻擊造成的后果并不只是存款損失，一旦跨鏈橋產生漏洞或遭到攻擊，整個跨鏈橋的代幣將很可能失去所有價值。

Ronin Network

58COIN季度合約完成第四季度第5次結算:據58COIN官方公告，其季度合約已于今日17:58啟動2020年第四季度第5次結算，現已結算完畢，分攤機制未啟用。據官方介紹，其季度合約擁有浮盈開倉、雙向持倉、USDT計價結算、最高150倍杠桿等獨特設計及特點。[2020/10/30 11:15:25]

Ronin Network漏洞是有史以來最大的DeFi漏洞。

3月底，CertiK審計團隊監測到NFT游戲Axie Infinity側鏈Ronin Network遭到攻擊，損失價值約6.24億美元的17.36萬枚ETH以及2550萬枚USDC。

Ronin Network需要驗證九個驗證節點中的五個簽名。而攻擊者黑了4個Sky Mavis的私鑰，制造了5個合法的簽名，即：4個Sky Mavis驗證器和1個Axie DAO運行的第三方驗證器產生的簽名。

這導致5個驗證器節點被破壞，高級魚叉式網絡釣魚攻擊是造成這一情況的罪魁禍首。

近七日Tether新增印鈔5次共計8.1億USDT:據Tokenview區塊瀏覽器數據顯示，近七日Tether新增印鈔5次，共計8.1億USDT。其中2.4億在以太坊上增發，5.7億在波場上增發。

而USDT在以太坊和波場鏈上的交易活躍度同樣開始上升，7月28日以太坊上USDT共計產生26.47萬筆交易，交易額達34.01億，單日鏈上交易額創下歷史新高。[2020/7/31]

Solana跨鏈橋項目蟲洞（Wormhole）

北京時間2022年2月3日凌晨1點58分，CertiK審計團隊監測到Solana跨鏈橋項目蟲洞（Wormhole）遭到攻擊。

此次事件中，攻擊者通過注入一個欺騙性的sysvar賬戶繞過了系統驗證步驟，并成功生成了一條惡意“消息”，指定要鑄造12萬枚wETH。最后，攻擊者通過使用惡意“消息”調用了“complete_wrapped”函數，成功鑄造了12萬枚wETH，價值約3.26億美元。

鑄幣兩分鐘后，攻擊者將1萬枚ETH橋接到以太坊鏈上，約20分鐘后，以太坊鏈上又產生了8萬枚ETH的交易。時至今日，這些資金仍在攻擊者的錢包里。

動態 | 聯合國報告：朝鮮黑客涉嫌對虛擬貨幣交易所進行了35次網絡攻擊:聯合國安理會下屬專家小組發布報告稱，朝鮮在2015年12月至2019年5月期間，涉嫌對至少17個國家的金融機構和虛擬貨幣交易所進行了35次網絡攻擊，共竊取近20億美元的法幣和加密貨幣。這份報告的較長版本顯示，韓國受到的打擊最嚴重，朝鮮發起10次網絡攻擊；其次是印度，遭受3次攻擊；孟加拉國和智利各遭受2次攻擊。（南華早報）[2019/8/13]

該事件造成的損失金額之大，令其成為了跨鏈橋史上第二大黑客攻擊事件。

Harmony?Bridge

北京時間2022年6月23日19:06:46，CertiK審計團隊監測到Harmony鏈和以太坊之間的跨鏈橋經歷了多次惡意攻擊。

CertiK團隊安全專家分析，此次攻擊事件可能源于黑客掌握了owner的私鑰——攻擊者控制MultiSigWallet的所有者直接調用confirmTransaction（）從Harmony的跨鏈橋上轉移大量代幣，導致Harmony鏈上價值約9700萬美元的資產被盜，該筆資金后被轉移至Tornado Cash。

這起攻擊事件涉及到了12筆價值約5萬美元到4120萬美元以上的交易及3個攻擊地址，涉及到的代幣包括ETH、USDC、WBTC、USDT、DAI、BUSD、AAG、FXS、SUSHI、AAVE、WETH和FRAX。

Qubit?Bridge

發生于年初的Qubit攻擊事件也是一個典型的跨鏈橋漏洞事件。

2022年1月27日，CertiK審計團隊監測到Qubit遭到攻擊，導致了約8000萬美元的損失。

攻擊者調用了QBridge合約，在沒有提供任何加密貨幣的情況下使bridge合約產生了攻擊者已存款的虛假時間證明。

ETH和ERC-20的存款共享相同的事件證明，因此允許攻擊者調用該函數利用不存在的ERC20存款事實生成虛假的ETH存款事件證明，并以此在另一條鏈上提取ETH。因此，攻擊者在沒有向合約發送任何代幣的情況下通過了QBridgeHandler證明，并在交叉鏈上鑄造了大約77,162個qxETH。黑客隨后將盜取的資金存入了Tornado Cash。