桥接漏洞在2022年造成了20亿美元的损失,以下是如何避免这些漏洞的方法
在迈向完全多链未来的演变中,桥梁比加密货币网络本身更容易受到黑客攻击。仅在2022年,从代币桥梁攻击中被盗取的资产超过20亿美元。最糟糕的是,通过采用多种安全措施,所有这些攻击本来都可以避免。
通过审查2022年的一些攻击,我们可以更好地了解系统中的主要缺陷以及存在或正在开发的各种安全措施,以保护免受这些攻击。
社交工程
社交工程攻击是最常见的安全漏洞形式。每个人都曾经遭受过社交工程攻击,无论是通过钓鱼还是蜜罐,都会承诺“过于美好以至于难以置信的优惠”,以换取个人信息。
Martin Köppelmann 是 Gnosis 的联合创始人。
2022年最大的桥梁攻击中,黑客们依靠类似的手段来窃取资金。高调加密游戏 Axie Infinity 的区块链遭到了钓鱼诈骗计划的攻击,该计划涉及伪造的 LinkedIn 工作机会。
游戏开发商 Sky Mavis 表示,其员工成为了假工作机会的目标,甚至被要求出席多轮面试。当员工上钩时,黑客们就可以访问他们的系统,并从 Sky Mavis 的 Ronin Network 中窃取6.25亿美元。在对出了什么问题进行事后分析时,Sky Mavis 表示,它是先进的鱼叉式钓鱼攻击的受害者。
私钥受损
2022年9月,算法市场制造商 Wintermute 被黑客攻击,损失了1.6亿美元,可能是由于 Profanity 应用生成的私钥弱点。
热钱包的私钥被利用并用于提取资金。据报道,之前在 Profanity 地址中发现了缺陷,但该公司并没有认真对待这些报告。
类似的原因也导致 Slope 被黑客攻击,使该公司损失了600万美元。
智能合约漏洞
智能合约是存储在区块链中的程序,设置触发某些预定条件时触发。例如,在电子商务方面,它可以确认当您将物品添加到购物篮并支付后,网站应该交付该物品。因此,智能合约中的错误可能允许黑客在不满足任何条件的情况下非法触发区块链之间的资金转移。
在 Nomad 的情况下,黑客们通过发现主要智能合约中的配置错误,从桥梁中提取了近2亿美元。
这些漏洞和安全漏洞如此明显地被黑客利用,这是一个令人担忧的想法,更令人不安的是,人们没有考虑使用的“可信”系统是如此容易被利用。
解决方案:多重安全措施
桥梁标准是定义不同区块链网络如何通过跨链桥梁相互通信的一组规则。虽然其中一些协议本身面临着被利用的风险,但当它们组合在一起时,它们会添加迫切需要的额外安全层。
通过同时使用多个桥梁标准,开发人员可以通过使用另一个协议来抵消一个协议中显示的弱点。让我们看看一些密码学标准,可以将它们组合使用以添加额外的安全层。
多重签名和委员会
多重签名技术需要多个方的签名或批准才能执行交易。它可以防止未经授权的访问网络,并确保没有任何单个方面拥有完全控制。
委员会桥梁标准使用一组受信任的实体或委员会来管理网络桥梁的安全性。成员负责批准和监督网络交易。当多个组织共享对网络的访问权时,委员会是有益的。
零知识证明
零知识证明(ZK)是一种加密技术,允许两个方之间交换信息,而无需透露任何超出所需的信息。
ZK 模型的集成通过允许开发人员在链上使用轻客户端,而无需委员会模型。通过使用零知识证明系统,特别是 ZK-SNARK 的“简明性”属性,可以使用链上轻客户端有效地执行此验证过程。也可以在链上验证状态转换和共识,以实现最大安全性,类似于运行完整节点。
为此,链上轻客户端使用零知识证明系统来证明源链的状态是有效的。这是通过生成一个可以被目标链验证的证明来完成的,而不需要知道源链的整个状态。使用链上轻客户端可以帮助提高区块链的安全性和可扩展性。通过在目标链上验证源链的状态,目标链可以更加自信地确保源链的状态是准确的。这有助于防止欺诈和其他恶意活动,同时仍然致力于扩展网络。例如,ZK可以用来证明某个钱包的所有者已经授权了一笔交易,而不泄露私钥。
乐观
有些桥梁使用“乐观”方法来验证交易,即不是立即在目标区块链上验证每个交易,而是假设每个交易都是有效的,然后激励其他参与者指出欺诈交易以获取奖励。只有在挑战期结束后,资金才会被清算。这意味着乐观的桥梁在博弈理论上是安全的,但在数学上不是安全的 – 它们依赖于第三方关注发生的事情。所有这些通常通过额外的流动性提供者从用户中抽象出来,这些提供者独立检查桥梁声明的真实性,并根据几个基点的费用立即在另一条链上提供资金。
即使不立即验证每个交易,乐观的桥梁仍然可以非常安全。这是因为它们使用“挑战和争议”方法;如果用户认为某个交易已被错误处理,他们可以挑战该交易,桥梁将进行调查。
实施多个桥梁标准的挑战
归根结底,通过使用一系列标准来实现最佳安全性。这样,如果一个桥梁实现遇到漏洞或安全弱点,其他标准仍然可以保护网络。
应该注意的是,桥梁仍然依赖于连接网络的共识机制。桥梁永远不能比它连接的网络更安全。
安全地访问多链世界
桥梁是必要的,以提供对我们的多链世界的自由访问,但我们必须以有创意的方式加强这些桥梁,以减少攻击点。区块链技术是专门为允许陌生人聚集在一起做出直接的、不可变的决策而构建的,我们越是专注于利用我们可用的整个网络范围,我们的桥梁就会变得更加强大。
由Jeanhee Kim和David Z. Morris编辑。