区块链数据平台进行的研究 Chainalysis 据估计,到 2 年为止,跨链桥的黑客攻击损失了 2022 亿美元。
Chainalysis 在报告中表示,该问题现在“对建立对区块链技术的信任构成了重大威胁”。
此外,研究人员表示,桥接黑客受到朝鲜黑客的青睐,据估计,这些黑客占迄今为止被盗的 2 亿美元的一半。
该报告紧随其后 游牧桥黑客,其中 191 亿美元被盗。 Nomad 链接了 Ethereum、Avalanche、Evmos、Moonbeam 和 Milkomeda 区块链。
跨链桥有多个漏洞点
跨链桥连接不同的区块链,实现数据或代币在其他不兼容的链之间的传输。 该技术是推动整个加密生态系统可互操作的一部分。
桥接使得在不同的区块链上使用资产成为可能,而无需脱链在交易所交易所需的代币。 通常,它们通过使用锁定-薄荷-燃烧机制的资产转换过程进行操作。
然而,桥梁易受多种因素的影响 漏洞,包括单点故障/中心化、由于中心化实体必须保留资产池而导致的低流动性、锁定-薄荷-销毁机制受智能合约管理的技术漏洞以及审查制度。
链分析建议
Chainalysis 报告称,今年迄今为止发生了 13 起单独的桥梁黑客事件,占所有被盗资金的 69%。
研究人员绘制了其他黑客与桥梁黑客的细分图表,显示没有明显的模式。 在 3 年第三季度之前,不存在桥梁黑客攻击。 但 2021 年第一季度,从桥梁中窃取的资金达到了顶峰; 这恰逢被盗资金总额达到顶峰。
Chainalysis 在报告中表示,此前交易所是黑客的主要目标。 但交易所安全性的提高迫使黑客寻找更新的、更易受攻击的目标。
为了解决这个问题,研究人员呼吁对智能合约代码进行严格的审计,并将经过验证的合约用作开发人员构建的模板。 Chainalysis 还在报告中就“人性的粗心”提出了建议,称团队需要接受培训才能发现“复杂的社会工程策略”。
虽然报告中没有点名,但上述评论指的是 Ronin 桥牌黑客事件,其中 Axie Infinity 用户损失了 615 亿美元——该平台后来 退还 本。
最近发现, 浪人桥破解 是由朝鲜黑客精心策划的,目标是一名从事假工作的高级工程师。 该过程涉及虚假面试,最终通过受感染的文件发送工作机会。 打开文件允许黑客控制几个网络节点。