今年因黑客攻击而丢失的绝大多数加密货币都是从桥接器中窃取的,该技术允许用户在区块链之间转移数字资产。
原因很清楚:网桥很复杂,为攻击者提供了更多的利用途径。
此外,它们提供了单点故障:智能合约将用户资金托管在托管中,而“转移”的代币——本质上是借据——用于目标链。
不寻常的举动
因此,当 L2 Beat 的研究人员深入挖掘 Multichain(一个锁定总价值 1 亿美元的桥接平台)时,他们感到惊讶,并发现了来自内部的明显威胁。
根据分析第 2 层区块链空间的研究项目 L2 Beat 的说法,Multichain 从托管转移了数百万用户资金,以在其网络的其他地方提供流动性,这是一个不寻常的举动。
L2 Beat 的研究员 Bartek Kiepuszewski 告诉 The Defiant,“这是用户的钱,所以要么是与这条链中的用户达成一致,要么他们违反了与用户的社会契约。”
那是用户的钱,所以要么这是与这条链中的用户达成一致,要么他们违反了与用户的社会契约。
巴特克·基普谢夫斯基
根据 Kiepuszewski 的说法,虽然可以在链上看到代币从托管中转移,但这些代币最终去向是一个谜。
Multichain 声称这些代币被用来在其网络的其他地方提供流动性,但该网络的规模意味着确认这些声明对于像 L2 Beat 这样的小团队来说极其困难。
加密安全公司 Open Zeppelin 的解决方案负责人 Michael Lewellen 表示,这种做法确实存在问题。
“如果没有明确的方法来确定桥梁声称支持的资产不存在于可公开验证的某个地方,我肯定会说这是桥梁的一个具体问题,”Lewellen 告诉 The Defiant。
L2 的指控对负责用户资金超过 1B 美元的组织的行为和安全实践提出了质疑。 多链桥接数十个区块链并支持数千个代币。 确认 Multichain 仍然拥有这种加密货币——它没有在 DeFi 协议中被盗或赌博——将是一项艰巨的任务。
新鲜的怀疑
此外,这些指控可能会给桥接技术带来新的疑虑,这些技术今年在黑客手中遭受了巨大的破坏。
根据 Rekt 的漏洞利用,今年发生了加密历史上最大的五次黑客攻击中的三次,每一次都是桥接黑客 排行榜. 超过 600 亿美元从 Ronin Network 获得。 近 600 亿美元从 Binance 桥上被拿走。 超过 300 亿美元从虫洞桥上拿走了。
Multichain 没有回应通过其网站上列出的联系电子邮件地址提交的多个评论请求。
安全假设
这一集突出了 L2 在审查区块链扩展空间中所扮演的角色。 当借贷协议 Maker 考虑是否扩展到 Optimism 和 Arbitrum 等第 2 层区块链时,它需要更好地了解这些区块链是如何工作的。
随后的项目最终从 Maker 中分离出来,成为 L2 Beat——一个列出无数第 2 层区块链、它们持有的资金数量以及它们做出的安全假设的网站。
[嵌入的内容]
本月,该项目随着桥接协议仪表板的推出而扩展。 在全球第二大桥接协议 Multichain 旁边,L2 Beat 团队还附加了一个带有感叹号的黄色小盾牌,警告用户怀疑存在不当行为。
“每座桥梁的工作方式或多或少都相同,”Kiepuszewski 解释道。 “你将代币发送到一个地址,[新] 代币将由目的地 [区块链] 上的验证者铸造。 如果你想回去,就会发生相反的情况,所以你在目的地烧掉代币,验证者应该从你最初发送代币的那个托管地址释放代币。”
流动性网络
不能在目标链上铸造新代币的桥接协议使用“流动性网络”方法。 流动性提供者将代币存入目标链上的流动性池中。 这些代币可供桥接到该区块链的用户使用,当桥接用户撤回其原始链时,它们将返回到池中。
据 L2 Beat 称,Multichain 与数十个区块链相连,是一种混合体。 在某些情况下,它会铸造代币。 在其他情况下,它使用流动资金池。
根据 Kiepuszewski 的研究,Multichain 验证者从托管合约中提取了近 80 万美元的稳定币和 300 个比特币,在目标链上留下的加密货币比合同中剩余的要多。
Kiepuszewski 说他联系了 Multichain,代表告诉他加密货币已被用于跨不同链提供流动性池。
“他们声称这在他们看来没有问题,因为资金仍然存在于 Multichain 生态系统中,而在他们看来,用户应该始终能够提取他们需要的金额,”Kiepuszewski 说。 但是执行审计“现在变得非常复杂,因为你必须分析整个多链生态系统,对吧?”
Open Zeppelin 的 Lewellen 同意了。 “即使是流动性网络,”他说。 “至少有一种方法可以查看不同的 [流动性提供者] 池和不同的链,并确定桥梁发行的整体资产与其他地方的一些流动性池相匹配。”
Lewellen 和 Kiepuszewski 都表示,显示他们的资金路线的仪表板将大大有助于缓解对用户加密货币流动的担忧。
软件漏洞
在评估 Multichain 是否是一个安全的存放资金的地方时,它也增加了一个新的问题。 通常,审计会确认是否存在任何软件漏洞。 现在,用户还必须怀疑 Multichain 本身是否可以用他们的钱来信任,Kiepuszewski 说。
即使资金妥善保管,及时取用也可能很困难。 Lewellen 表示,这也带来了自己的问题,他指出 Multichain 的 Fantom 桥中的 Dai 似乎比 Fantom 上的 Multichain 铸造的 Dai 少。
没有清晰度
据 L52 Beat 称,超过 1 万美元的 Dai 被桥接到第 2 层区块链 Fantom,据称已被 Multichain 验证器从托管中移除。
如果 Dai 失去了与美元的挂钩,并且在 Fantom 上持有 Dai 的人想要将 Dai 兑换成美元,那么他们可能会在定位和转移本应存在的 Dai 所需的时间内损失大量金钱根据 Lewellen 的说法,托管。
“这并不是今天会发生,但如果这些因素以一种对 Multichain 不太有利的方式排列起来,它可能会发生,”他说,“我认为这最终是担忧的来源。 只是不清楚 Multichain 如何管理这种风险。”
