04月19日 10:00
简体中文
English
Tiếng Việt
Español
Русский
Français (Afrique)
Português
ไทย
Indonesia
日本語
بالعربية
Українська
1. 3月29日,最大链游Axie Infinity的专用侧链Ronin宣布遭到攻击,损失价值达到6.16亿美元,成为DeFi历史上规模最大的盗窃案。
2. 黑客设法控制了Ronin桥的四个节点验证器及一个第三方验证器,达到了跨链桥的验证器阈值并成功实施攻击。
3. 目前,这些价值极高且易于攻击的跨链桥项目就这样成为了众多黑客严重的目标。
4. 1月5日,Vitalik发文表示区块链的未来是”多链的“(multi-chain),而非”跨链的“(cross-chain),并且强调了跨链所存在的安全性问题。
3月29日,最大链游Axie Infinity的专用侧链Ronin宣布遭到攻击,被盗173,600枚以太坊和超过两千五百万枚USDC。Ronin损失价值达到6.16亿美元,超越了去年8月Poly Network被盗案中的6.11亿,该案也成为DeFi历史上规模最大的盗窃案。
关于Poly Network被盗案,请参考我们此前的博客文章:
Poly Network惊天盗币案,敲响DeFi安全警钟
图:Twitter@Ronin
据Ronin官方消息,3月23日,黑客者使用被骇的私钥进入系统,伪造了两笔虚假的取款实现了攻击。而直到5天后的3月29日,由于一名用户报告无法从跨链桥中提取5,000枚ETH,项目官方才发觉本次袭击。盗窃发生后,Ronin官方立刻停止了Ronin Bridge和链上去中心化交易所Katana。此外,Ronin官方还表示,本次攻击表明Ronin桥的潜在安全性问题,Ronin区块链自身的安全则仍是有保障的。
消息一出,包括AXS、RON在内的多种关联资产价格纷纷发生断崖式下跌。
黑客攻击细节
Axie Infinity是目前最为流行的区块链游戏,在全球拥有超过1000万的玩家。该游戏开创了影响深远的”Play-to-earn“模式,玩家可以在游玩过程中赚取NFT资产或多种代币,并可在交易所兑换为wETH、稳定币等其他资产。
为了满足游戏内高频道具交易的要求,同时降低交易的手续费用,Axie Infinity没有采用较为安全以太坊主网,而是自行搭建了高性能以太坊侧链Ronin。此外,为了保证交易速度,Ronin采用独特的Proof-of-Authority(权威证明,POA)共识模型,验证者数量较少,中心化程度较高。权威证明要求这些验证者具有良好信誉,他们需要质押上自己的“信誉”才能成为验证者。而若验证者出现了不当行为或是威胁到了网络安全,便会失去信誉。
图:Axie Marketplace
要参与游玩Axie Infinity,需要拥有3只NFT宠物,这初始的三只Axies是游戏的入场券,需要在游戏商店购买获得。为此则必须通过专用的跨链桥将以太坊上ETH转换为Ronin链上的wETH,接着才能使用wETH在游戏商店中购买Axie。在这里,跨链桥变成了Ronin的软肋,成为了本次黑客攻击的突破口。
此前,共有九个验证节点共同负责跨链桥的维护,至少需要九个节点中的五个签名,才能成功识别跨链桥上的存取款事件。在本次攻击中,黑客设法控制了四个节点验证器的私钥以及一个第三方验证器,达到了跨链桥的验证器阈值,实施了攻击并成功取款。据悉,这一额外的第三方验证器由Axie DAO所管理,但该节点早期发放的白名单权限并未取消,攻击者可以通过无gas RPC节点获取该验证器的签名。
目前,Ronin已临时将跨链桥的验证器阈值从5个提高到8个,以暂时杜绝进一步的攻击风险。截止4月6日,Ronin链上的Katana Dex已重新开放。
跨链桥:阿喀琉斯之踵
跨链桥可以将链上资产从一个区块链转移到另一个区块链上。如果将区块链自身比作坚实的砖块,那么跨链桥是区块链与区块链之间的“柔软的连接处”。随着整个区块链行业的发展,多种不同公链层出不穷,由于这些公链之间本身不可互操作,能够沟通彼此的跨链桥也变得越来越重要。
在本次攻击事件中,黑客并非利用智能合约的漏洞施展攻击,而是攻击了Ronin、以太坊之间的跨链桥。并且攻击方式也较为原始,直接盗取了多个跨链桥验证节点的私钥。目前,大量跨链桥项目都使用与Ronin桥相似的多签技术,这些项目也面临着相似的被骇风险。在经过较为严格的代码审计后,区块链自身的安全性已经能够得到保证,而拥有着极高TVL的跨链桥则成为了威胁区块链安全的“阿喀琉斯之踵”。
据Dune Analytics数据,仅以太坊跨链桥TVL便已经达到了210.6亿美元。其中Polygon、Avalanche、Arbitrum、Fantom、Near跨链桥的TVL都超过了10亿美元。这些价值极高且易于攻击的跨链桥项目就这样成为了众多黑客严重的目标。
事实上,近几个月来已经接连发生了多起针对跨链桥的黑客攻击事件。2022年1月27日,Qubit Bridge被盗超过把钱往美元;2月2日,Wormhole Bridge被盗3.2亿美元;2月5日,另一个跨链桥Meter.io Bridge又被黑客盗取了420万美元。
2022年1月5日,以太坊创始人Vitalik在Reddit上发文,认为区块链的未来是”多链的“(multi-chain),而非”跨链的“(cross-chain),并且强调了跨链所存在的安全性问题。在单一区块链中,即便在最糟状况下仍然有可能把区块链恢复到到原有状况,而一旦涉及跨链,问题就难以解决了。
结语
DeFi安全问题一直以来都是区块链广泛应用的一大难点。在Code is law的世界,如果规则却存在漏洞,那未免也太煞风景了。随着相关技术的完善,我们由衷希望一个更加安全的去中心化世界能够早日到来。
作者:Gate.io 研究员
Edward H.
*本文仅代表观察员观点,不构成任何投资建议。
*本文内容为原创,版权为Gate.io所有,如需转载请注明作者和出处。
推荐阅读
《为何跨链桥很重要》
《以太坊硬分叉始末:读懂历史上的TheDAO被盗案》
《Aave推出V3版本,引领DeFi板块强势归来》