科普:跨链桥是如何被黑的?

news2024/11/15 6:47:35

科普:跨链桥是如何被黑的?

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-hbvPVTkb-1666679410875)(htTPS://tva1.sinaimg.cn/large/e6c9d24ely1h4r0auxvmxg20tr04ojug.gif)]

截屏2022-10-25 上午10.22.14

跨链桥是一种允许两个独立区块链网络之间进行通信的技术,例如转账和交换资产,调用来自其他区块链的合约中的函数等等。换句话说,桥使用户能够将资产从一个网络转移到另一个网络。例如,如果你有比特币,但想要像以太坊一样进行消费,你就可以通过桥来实现。

毫无疑问,随着不同区块链数量的增长,用户使用桥的机会会越来越多。但是,如果你不熟悉每个桥的特点,就可能会面临意想不到的风险,所以要谨慎使用。

在如此频繁且如此短的时间内发生这些重大黑客事件的情况下,显然,安全对我们来说是个十分迫切的事情。本篇将介绍最常见的桥攻击,以帮助保护我们自己免受潜在的攻击!

2022年桥黑客事件

BSC Bridge:5.68亿美元:2022年10月7日,一个漏洞影响了名为“BSC Token Hub”的本地跨链桥。共被提取200万个BNB,币安不得不暂时暂停BSC网络,以防止进一步的损失。从BSC取出的资金估计在1亿至1.1亿美元之间。进一步阅读:blog.quillhash.com/2022/10/11/the-million-dollars-bsc-token-hub-bridge-hack-analysis

Nomad攻击:2亿美元:早在8月份,黑客利用Nomad窃取了大约2亿美元。攻击的主要原因是Nomad的智能合约未能正确验证交易的输入。进一步阅读:sm4rty.medium.com/nomad-bridges-200-million-exploit-postmortem-9d1cd83db1f7

Harmony Bridge:1亿美元:2022年6月,Harmony Horizon桥因为两个私钥被盗而被黑。这次攻击导致了大约1亿美元的各种加密货币被盗,包括WETH、AAVE、SUSHI、DAI、Tether (USDT)和USD Coin (USDC)。随后,攻击者使用Tornado Cash清洗了许多被盗的代币。进一步阅读:
medium.com/harmony-one/harmonys-horizon-bridge-hack-1e8d283b6d66

Ronin Bridge:6亿美元:2022年3月,Ronin Network遭到大规模黑客攻击,这是一个基于以太坊的侧链,用于著名加密货币游戏Axie Infinity。攻击者盗窃了约173,600个ETH和2550万USDC,总价值约6.24亿美元。据称,攻击者在两次交易中使用黑客的私钥从Ronin桥合约中伪造取款。进一步阅读:blog.chainalysis.com/reports/axie-infinity-ronin-bridge-dprk-hack-seizure

Poly Network:2021年8月10日,Poly Network遭遇黑客攻击,损失超过6亿美元。此次黑客攻击发生在多个区块链上,包括以太坊、币安智能链和Polygon。这是迄今为止规模最大的加密货币黑客攻击。进一步阅读:mudit.blog / poly-network-largest-crypto-hack

**Wormhole Bridge **:2022年2月2日,Wormhole Bridge被黑了12万个wETH,价值3.2亿美元。黑客利用智能合约中的漏洞,制造了新的代币。黑客入侵后,Wormhole Bridge被迫关闭来修补漏洞。进一步阅读:rekt.news / wormhole-rekt

桥是如何被黑的?

假事件

通常,跨链桥将监控一个区块链上的存储事件,以启动向另一个区块链的转移。如果攻击者可以在不进行真正的存入或使用无值代币进行存入的情况下生成存入事件,那么他们可以从另一端的桥中提取价值。

消息验证错误

跨链桥在实际进行任何转账之前会执行存款或取款验证。过去有很多例子,缺乏适当的签名验证导致数百万美元的黑客攻击。最近BSC链因为一个类似的漏洞而受到攻击,黑客总共提取了5.76亿。

区块链桥缺乏跨合约访问控制

对执行诸如修改所有者、资金和代币转移、暂停和取消合约等操作的关键函数进行访问控制验证是很重要的。

验证者接管

一些跨链桥有一组验证者来进行投票决定是否批准某个特定的转账。如果攻击者控制了这些验证者中的大多数,他们就可以批准虚假和恶意的转账。

管理员私钥泄漏

如果智能合约的管理密钥被泄露,智能合约的所有资金和运行都将面临巨大的风险。最近,Harmony Bridge被窃取了两个私钥。这次攻击导致各种加密货币约1亿美元被盗。

总结

一旦某些东西上了区块链,它就是永久的,任何人都可以使用。所以如果桥上有漏洞,就无法保证黑客会不利用它。

如果我们最终想让人们有机会成为自己的银行,则必须意识到,在这种情况下,人们必须能够取代传统银行获得资金的所有服务。

这里好像才是一个真正的雷区。了解最新的攻击技术,白帽备忘录,并进行防御。在这场智力拳击比赛中,准备最充分的人才能获胜。

Source:https://hackernoon.com/how-are-cross-chain-bridges-hacked

关于

ChinaDeFi - ChinaDeFi.com 是一个研究驱动的DeFi创新组织,同时我们也是区块链开发团队。每天从全球超过500个优质信息源的近900篇内容中,寻找思考更具深度、梳理更为系统的内容,以最快的速度同步到中国市场提供决策辅助材料。

Layer 2道友 - 欢迎对Layer 2感兴趣的区块链技术爱好者、研究分析人与Gavin(微信: chinadefi)联系,共同探讨Layer 2带来的落地机遇。敬请关注我们的微信公众号 “去中心化金融社区”

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-6lWlFtnk-1666679410877)(htTPS://tva1.sinaimg.cn/large/e6c9d24ely1h4r0b7i2jnj20p00dw3zq.jpg)]

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/511849.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【git】用好 stash,工作超nice

一、介绍 如果修改后的内容还不想commit,就可以用git stash命令。它会将工作区和暂存区中的修改(也就是还没commit的内容)都会被保存到堆栈里,并在之后恢复到任意指定的分支上。 二、应用场景 1、在分支a进行开发feature 1时,突然需要紧急…

【AI大模型】讯飞星火大模型能否超越chatgpt?

文章目录 前言你使用过这种对话式AI吗?有什么看法或感受?“讯飞星火大模型将超越chatgpt?”这类型的人工智能对现在的社会有什么意义?这类型的人工智能,未来前景如何?申请体验写在最后 前言 5月6日&#xf…

机器学习-10 聚类算法

聚类算法 算法概括聚类(clustering)聚类的概念聚类的要求聚类与分类的区别 常见算法分类聚类算法中存在的问题 距离度量闵可夫斯基距离欧式距离(欧几里得距离)曼哈顿距离切比雪夫距离皮尔逊相关系数余弦相似度杰卡德相似系数 划分…

建造者模式详解:建造随意搭配的肯德基套餐

一、简介 建造者模式(Builder Pattern)是五种创建型设计模式之一,它将一个复杂对象的构建与其表示分离,使得同样的构建过程可以创建不同的表示。这句话怎么理解呢:一个对象的构建过程本质上就是这个对象包含的所有成员…

一觉醒来IDEA感觉不香了,AI智能编程工具Cursor使用

一、简介 为使用人工智能编程而构建的编辑器,一款人工智能编程软件、智能Ai代码生成工具。 它有什么特点呢? 集成了GPT-4,国内可用,不仅有ChatGPT的聊天功能,还有强大的自动代码生成能力,简直是编码神器。 …

Java中常见的几种数组排序方法

这篇文章总结一下我学习到的几种常见的数组排序方法 冒泡排序 冒泡排序在我看来是最简单、最基本的排序方法,我们应当将冒泡排序的原理和代码熟记于心。 冒泡排序的原理十分简单:用数组的第一个元素和第二个元素进行比较,将大的放到后面&a…

【Java编程系列】Minio实现文件上传下载

热门系列: 【Java编程系列】Amazon S3实现文件上传下载 目录 热门系列: 1、前言 2、Minio实战代码 2.1 Minio环境部署 2.2 Minio的Sdk对接实现 2.2.1 Minio Maven依赖 2.2.2 minio配置与初始化 2.2.3 上传文件 2.2.4 下载文件 2.2.5 生成文件…

【LLM大模型】LLM模型和指令微调方法

note 文章目录 note零、AIGC生成式模型1. 核心要素2. LLM evolutionary tree3. 几个bigScience里的概念 二、LLM大模型1. ChatGLM(1)GLM-130B(2)ChatGLM-6B 2. LLaMA3. RoBERTa4. Bloom5. PaLM 三、模型指令微调1. 指令微调的注意…

使用Vue+Vue-router+el-menu实现菜单功能实战

前言 上节回顾 上一小节我们使用H5+CSS3实现了管理平台的架构布局,并且通过Vuex的使用,获取到前端数据本地化存储的username,绑定到右上角进行全局展示。还不了解上下文的同学可以回顾一下 使用Vue+Vuex+CSS3完成管理端响应式架构模板实战 。 本节介绍 本小节已经是专栏的…

【C语言】字符串---刷题篇

1.统计字符串中元音字母的字数 2.使用起泡法和选择法将字符串按ASCII码值从小到大排列 3.将字符串中的数字字符倒置,即‘0’变‘9’、‘1’变‘8’、…、‘9’变‘0’.例如:字符串“a1b2c3d4e9f0”倒置变为“a8b7c6d5e0f9 4.将一个字符串中从第m个字符开…

187页9万字企业大数据治理与云平台实施方案(word)

1 项目背景概述 1.1 项目背景理解 1.2 项目需求范围 2 项目技术方案 2.1 咨询研究服务方案 2.1.1 咨询研究服务内容 2.1.2 咨询服务方案 2.2 第三方独立评估 2.2.1 概述 2.2.2 管理办法 2.2.3 考核机制 2.3 安全咨询研究服务方案 2.3.1 安全咨询服务内…

大唐杯学习笔记(1)—— 5G网络架构与组网部署

目录 一、名词汇总1.核心网与接入网2.5G网络架构3.核心网架构演进(1)2G核心网(1)3G,4G核心网 4.4G核心网架构5.5G核心网架构6.5G接入网网架构7.主要网元功能 二、5G主要网元功能1.用户面功能UPF(User Plane Function)2.会话管理功能SMF(Session Management Function…

【SpringCloud微服务实践】服务注册与发现(理论)

注册与发现 在之前的示例中,采取的是硬编码的方式,需要调用的微服务的地址是被我们写死在文件或代码中的。在传统应用程序中,一般都是这么做的,然而这种方式存在不少缺陷: 静态配置:因为是写死的网络地址…

Cy5.5-PEG2000-Biotin,Cy5.5-聚乙二醇-生物素;Biotin-PEG-Cy5.5;可用于检测抗生物素、链霉亲和素或中性生物素

Cyanine5.5-PEG-Biotin,Cy5.5-聚乙二醇-生物素 中文名称;Cy5.5-聚乙二醇-生物素 英文名称;Cyanine5.5-PEG-Biotin 性状:粘稠液体或固体粉末,取决于分子量大小 溶剂:溶于水、氯仿、DMSO等常规性有机溶剂 分子量PEG:1k、2k、3.…

【Python】JupyterLab报错:Server Connection Error如何解决?

文章目录 一、报错情形二、深层原因三、解决方案3.1 重命名用户名3.2 启用Administrator账户3.3 切换Administrator账户3.4 重命名用户文件夹3.5 修改注册表3.6 修改环境变量 小结 Anaconda的JupyterLab 作为优秀的网页编辑器,非常适用于编写Python程序,…

Qt的窗口的设置

窗口外部设置 Qt::WindowFlags Qt::WidgetQWidget默认窗口,没有父窗口的话,是一个独立窗口Qt::Window是一个窗口,有窗口边框和标题Qt::Dialog是一个对话框窗口Qt::Sheet是一个窗口或部件Macintosh表单(sheet)Qt::Drawer是一个窗口或部件Ma…

Mac 安装Nginx详细教程

一、前言 本文介绍一下,如何在Mac系统中安装Nginx,把详细过程记录下来,方便以后查看,也方便大家学习。 二、正文 1、安装 Homebrew homebrew是什么?它是Mac中的一款软件包管理工具,通过brew可以很方便的…

复刻一个羊了个羊掘金商城版

游戏逻辑 与羊了个羊逻辑一致&#xff0c;不再赘述 游戏实现 盛放元素的容器box&#xff0c;临时存储的容器temp&#xff0c;多余元素的容器source与source1&#xff0c;结果元素result <div id"box"></div><div id"temp"></div&…

【OC底层-类和对象深基】

文章目录 前言1 类和对象1.1 类1.1.1 cache_t 和 class_data_bits_t 1.2 对象 2 isa指针&#xff08;结构体&#xff09;复习-OC中的对象实例对象&#xff08;Instance&#xff09;类对象(Class)元类对象isa的指向方法调用顺序&#xff08;不涉及消息转发&#xff09; 2.1 unio…

JavaScrip 实战案例之【实现动画导航栏效果】

​Hello~ 咱们今天一起来学习一个动画导航的小项目 Part 1 HTML结构 <body><nav class"active" id"nav"><ul><li><a href"#">Home</a></li><li><a href"#">Works</a>&…