跨链桥使区块链领域内的互操作性成为可能。 它们使协议能够相互通信、共享数据并构建令人兴奋的新用例,这些用例有助于推动 Web3 进入新领域。 但正如本月的 BNB 智能链漏洞利用提醒我们的那样,它们很容易受到攻击。
如果我们要利用桥梁提供的潜力,我们需要学习如何保护它们。
在今年的一系列攻击之后,Bridges 理所当然地赢得了 Web3 薄弱环节的美誉。 正如强盗更喜欢在货车运输时瞄准资产(而不是被锁定在具有复杂安全系统的银行金库中),黑客已经意识到运输中的代币同样容易受到攻击。
推荐阅读 1NFT 将像 10 年前的比特币一样“具有颠覆性”
2即将到来的升级会将 AVAX 推向 21 美元吗?
b>参见:b>| 观点
联邦调查局警告投资者,网络犯罪分子正在利用“跨链功能的复杂性”。 这当然符合当前的说法,即桥梁不仅易受攻击,而且易受攻击。
但是有一些方法可以防止漏洞利用。 作为一名曾在华盛顿特区的网络犯罪特别工作组任职的前 FBI 分析师,我可以说漏洞利用很少非常聪明或复杂(你可能在好莱坞电影中看到的那种类型)。 相反,它们通常是可预测的安全漏洞。
坚持使用通常在引入代码错误或泄露的加密货币密钥后被利用的桥梁世界,通常相当复杂但可以预见。 采取这样的漏洞利用:
正如这些例子所表明的那样,关注桥梁的缺点而未能解决地面安全措施并不是前进的方向。 桥梁本身不是问题。 毕竟,技术是不可知的。 漏洞利用中最常见的因素是人为错误。 黑客攻击后的调查和随后的修复通常有助于突出我们古老的倾向,即只有在马逃跑后才关闭谷仓门。
在进行调查时,我们经常与项目的团队成员讨论问题——因为他们通常是攻击的目标。 黑客很少在每次利用时都做任何全新的事情,而是依赖于一系列古老的技巧。
社会工程,或以人为目标以访问特权帐户,就是一个典型的例子。 人们可以成为朋友,放松警惕,或者用足够多的问题纠缠他们,让他们泄露一个秘密。
以 Ronin Bridge 为例,它是为 Axie Infinity 构建的以太坊侧链,使用户能够将资产转移到以太坊主网。 网桥的 9 个验证节点中有 5 个在网络钓鱼攻击中遭到破坏。 之后,Ronin 宣布了提高这一数字的计划,并在推特上写道:“我们攻击的根本原因是验证器集较小,这使得网络更容易受到攻击。”
那些谷仓的门,正在关闭。
我们还看到人为限制影响了创建适合目的的代码的能力。 持续的开发人员短缺意味着没有足够的专家能够构建和分析桥梁。 再次查看虫洞事件,我们看到它是由一个编码故障所怂恿的,该故障让黑客设置了一个欺诈性签名集,授权交易以铸造以太 (ETH)。
如果早点发现,这条攻击途径可能会被关闭。 毋庸置疑,Wormhole 的贡献者人数很少。 (对于这里的反面,请注意,以太坊拥有众多大型开发团队,迄今为止避免了重大黑客攻击。)
b>区块链桥梁安全吗? 为什么桥梁是黑客的目标
桥梁是软目标——在没有强大保护的情况下存储大量资金的中心点——并且将继续受到攻击。 但我们应该记住,脆弱的不仅仅是桥梁; 保护不善的连接使双方的区块链都处于危险之中。 是时候接受教育和审计了。
教育:
审计:
最重要的是,每当漏洞利用引起轰动时,整个加密货币都会对声誉和财务造成打击。 答案是从黑客一次又一次地教给我们的错误中吸取教训,更加积极主动地防止重复执行。
网桥是我们目前离不开的 Web3 基础设施的重要组成部分。 我们需要更有效地保护他们。