位置:首页 > 安全分类 > WEB安全

区块链跨链桥安全问题凸显

2022-04-11 13:01:20 来源:
简介近日,加密货币网络Ronin披露了一起黑客攻击事件,肇事者携价值5.4亿美元的以太坊和USDC稳定币逃之夭夭。此次事件可谓币圈史上最大抢劫案之一,专从名为Ronin Bridge的跨链桥服务

近日,加密货币网络Ronin披露了一起黑客攻击事件,肇事者携价值5.4亿美元的以太坊和USDC稳定币逃之夭夭。此次事件可谓币圈史上最大抢劫案之一,专从名为Ronin Bridge的跨链桥服务中窃取资金。最近几年,成功拿下“区块链桥”的攻击变得越来越普遍,Ronin跨链桥攻击事件正好凸显出这一问题的紧迫性。 

区块链桥亦称跨链桥,是供用户在不同区块链之间转移数字资产的应用程序。加密货币通常各自为政,缺乏互操作性——你无法在比特币区块链上用狗狗币(Dogecoin)进行交易。因此,跨链桥就成为了加密货币经济当中非常关键的机制,算是缺失的一环吧。 

跨链桥服务可以“封装”加密货币,从而将一种加密货币转换为另一种。所以,如果你通过某个跨链桥服务使用另一种加密货币,例如比特币(BTC),该跨链桥就会生成封装比特币(WBTC)。这种区块链桥就好像礼品卡或支票,能够以另一种形式灵活表示储值。跨链桥需要加密货币储备来为所有这些封装币提供担保,这一加密货币储备就是黑客的主要目标。

James Prestwich的工作是研发跨链通信协议,他表示:“任何链上资本都处在全天候攻击之下,跨链桥始终都会是热门攻击目标。由于人们总在寻求加入新生态系统的机会,跨链桥也将继续发展壮大。随着时间的推移,我们会逐渐职业化,开发出各种最佳实践,会有更多人能够构建和分析跨链桥代码。跨链桥太新了,以至于这方面的专家都没有几个。”

除了Ronin劫案,攻击者还在1月份从Qubit Bridge盗走价值约8000万美元的加密货币。2月初则是Wormhole Bridge失窃价值约3.2亿美元的加密货币。此后没几天,Meter.io Bridge被盗价值420万美元的加密货币。值得一提的是,Poly Network跨链桥去年8月被偷走价值约6.11亿美元的加密货币,但攻击者几天后又还回来了。上述所有攻击中,黑客都利用了软件漏洞来盗取资金,但Ronin Bridge劫案的漏洞与众不同。

Ronin的缔造者是越南公司Sky Mavis,这家公司开发了基于非同质化通证(NFT)的流行视频游戏Axie Infinity。这起跨链桥攻击事件中,攻击者似乎采用社会工程方法骗得在此网络上验证交易所需的私有加密密钥。而这些密钥的设置方式不够严格,导致攻击者能够以此验证交易,自行批准他们的恶意提款。

3月29日,Sky Mavis在关于该事件的声明中写道:“正如我们所见证的,Ronin也未幸免于难,这次攻击凸显了优先考虑安全、保持警惕和缓解所有威胁的重要性。” 

Ronin在3月29日发现了漏洞,但平台的“验证节点”早在3月23日就遭到了入侵。攻击者盗走了17.36万枚以太币和价值2550万美元的USDC。Ronin Bridge此后一直处于宕机状态,用户无法在平台上进行交易。

“这起黑客事件很是令人忧虑,因为Ronin团队似乎未能遵从众所周知的基本安全实践。”从事跨链通信协议研发的Prestwich说道,“被黑几天都毫无所觉,说明团队对其系统缺乏基本的监测——标准安全实践会为异常事件或大笔资金流动设置自动电子邮件和短信警报。”

Ronin被黑事件或许代表着跨链桥黑客攻击的迭代,因为这起事件背后的黑客团伙并未像其他大多数跨链桥攻击那样利用特定软件漏洞,而是专注传统社会工程攻击和利用安全设计缺陷。特别是,其他攻击针对的是跨链桥在“智能合约”实现方式上的漏洞(智能合约是在特定条件下于特定时间点运行的一小段区块链程序——本质上是一种自执行的合约)。但通过社会工程方法接管特权目标账户也是一直以来广为使用的经典攻击策略,这种策略同样适用于去中心化金融领域。

“不仅仅是跨链桥,各种去中心化金融(DeFi)平台从来就没逃过社会工程和相关私钥泄露的攻击。”区块链分析与合规公司Elliptic加密货币威胁分析师Arda Akartuna如此说道,但是,相比代码漏洞利用,这类方法被监测到的次数还是相对较少。虽然Ronin事件的成功可能会启发其他黑客,但并没有任何迹象表明基于社会工程的漏洞利用正变得更加普遍。”

底层技术逐渐发展成熟的同时,加密货币平台和整个去中心化金融运动一直受到安全问题的困扰。随着加密货币淘金热的不断升温,共同支撑这一新兴金融生态的各种服务将会经历激烈的考验。跨链桥攻击或许是新型加密货币交易所黑客攻击,但这类攻击利用的是同样的问题,也就是为满足新的需求而仓促拼凑存有大量价值的高风险平台。

Akartuna指出,若想更好地保护跨链桥,就需要对平台的复杂代码进行更多监管和审计。各平台本就晦涩难懂,通联其间的服务自然不能未经全面而持续的审查就匆忙对接。

不过,Akartuna也补充道,有些跨链桥安全问题其实源于外部。

“有些情况下,与跨链桥交互的区块链相对鲜为人知,安全审计没那么普及。也就是说,相较于仅运行在知名区块链上的DeFi平台,这类小众平台的协议留有未修复安全漏洞的概率更高。”

研究人员警告称,就目前而言,区块链跨链桥黑客攻击事件还将继续出现。