科普：跨链桥是如何被黑的？

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-hbvPVTkb-1666679410875)(htTPS://tva1.sinaimg.cn/large/e6c9d24ely1h4r0auxvmxg20tr04ojug.gif)]

跨链桥是一种允许两个独立区块链网络之间进行通信的技术，例如转账和交换资产，调用来自其他区块链的合约中的函数等等。换句话说，桥使用户能够将资产从一个网络转移到另一个网络。例如，如果你有比特币，但想要像以太坊一样进行消费，你就可以通过桥来实现。

毫无疑问，随着不同区块链数量的增长，用户使用桥的机会会越来越多。但是，如果你不熟悉每个桥的特点，就可能会面临意想不到的风险，所以要谨慎使用。

在如此频繁且如此短的时间内发生这些重大黑客事件的情况下，显然，安全对我们来说是个十分迫切的事情。本篇将介绍最常见的桥攻击，以帮助保护我们自己免受潜在的攻击!

2022年桥黑客事件

BSC Bridge：5.68亿美元：2022年10月7日，一个漏洞影响了名为“BSC Token Hub”的本地跨链桥。共被提取200万个BNB，币安不得不暂时暂停BSC网络，以防止进一步的损失。从BSC取出的资金估计在1亿至1.1亿美元之间。进一步阅读：blog.quillhash.com/2022/10/11/the-million-dollars-bsc-token-hub-bridge-hack-analysis

Nomad攻击：2亿美元：早在8月份，黑客利用Nomad窃取了大约2亿美元。攻击的主要原因是Nomad的智能合约未能正确验证交易的输入。进一步阅读：sm4rty.medium.com/nomad-bridges-200-million-exploit-postmortem-9d1cd83db1f7

Harmony Bridge：1亿美元：2022年6月，Harmony Horizon桥因为两个私钥被盗而被黑。这次攻击导致了大约1亿美元的各种加密货币被盗，包括WETH、AAVE、SUSHI、DAI、Tether (USDT)和USD Coin (USDC)。随后，攻击者使用Tornado Cash清洗了许多被盗的代币。进一步阅读：
medium.com/harmony-one/harmonys-horizon-bridge-hack-1e8d283b6d66

Ronin Bridge：6亿美元：2022年3月，Ronin Network遭到大规模黑客攻击，这是一个基于以太坊的侧链，用于著名加密货币游戏Axie Infinity。攻击者盗窃了约173,600个ETH和2550万USDC，总价值约6.24亿美元。据称，攻击者在两次交易中使用黑客的私钥从Ronin桥合约中伪造取款。进一步阅读：blog.chainalysis.com/reports/axie-infinity-ronin-bridge-dprk-hack-seizure

Poly Network：2021年8月10日，Poly Network遭遇黑客攻击，损失超过6亿美元。此次黑客攻击发生在多个区块链上，包括以太坊、币安智能链和Polygon。这是迄今为止规模最大的加密货币黑客攻击。进一步阅读：mudit.blog / poly-network-largest-crypto-hack

**Wormhole Bridge **：2022年2月2日，Wormhole Bridge被黑了12万个wETH，价值3.2亿美元。黑客利用智能合约中的漏洞，制造了新的代币。黑客入侵后，Wormhole Bridge被迫关闭来修补漏洞。进一步阅读：rekt.news / wormhole-rekt

桥是如何被黑的?

假事件

通常，跨链桥将监控一个区块链上的存储事件，以启动向另一个区块链的转移。如果攻击者可以在不进行真正的存入或使用无值代币进行存入的情况下生成存入事件，那么他们可以从另一端的桥中提取价值。

消息验证错误

跨链桥在实际进行任何转账之前会执行存款或取款验证。过去有很多例子，缺乏适当的签名验证导致数百万美元的黑客攻击。最近BSC链因为一个类似的漏洞而受到攻击，黑客总共提取了5.76亿。

区块链桥缺乏跨合约访问控制

对执行诸如修改所有者、资金和代币转移、暂停和取消合约等操作的关键函数进行访问控制验证是很重要的。

验证者接管

一些跨链桥有一组验证者来进行投票决定是否批准某个特定的转账。如果攻击者控制了这些验证者中的大多数，他们就可以批准虚假和恶意的转账。

管理员私钥泄漏

如果智能合约的管理密钥被泄露，智能合约的所有资金和运行都将面临巨大的风险。最近，Harmony Bridge被窃取了两个私钥。这次攻击导致各种加密货币约1亿美元被盗。

总结

一旦某些东西上了区块链，它就是永久的，任何人都可以使用。所以如果桥上有漏洞，就无法保证黑客会不利用它。

如果我们最终想让人们有机会成为自己的银行，则必须意识到，在这种情况下，人们必须能够取代传统银行获得资金的所有服务。

这里好像才是一个真正的雷区。了解最新的攻击技术，白帽备忘录，并进行防御。在这场智力拳击比赛中，准备最充分的人才能获胜。

Source：https://hackernoon.com/how-are-cross-chain-bridges-hacked

关于

ChinaDeFi - ChinaDeFi.com 是一个研究驱动的DeFi创新组织，同时我们也是区块链开发团队。每天从全球超过500个优质信息源的近900篇内容中，寻找思考更具深度、梳理更为系统的内容，以最快的速度同步到中国市场提供决策辅助材料。

Layer 2道友 - 欢迎对Layer 2感兴趣的区块链技术爱好者、研究分析人与Gavin（微信: chinadefi）联系，共同探讨Layer 2带来的落地机遇。敬请关注我们的微信公众号 “去中心化金融社区”。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-6lWlFtnk-1666679410877)(htTPS://tva1.sinaimg.cn/large/e6c9d24ely1h4r0b7i2jnj20p00dw3zq.jpg)]