由于Chainalysis称跨链桥黑客的盗窃行为现在占所有黑客的69%,因此出现了对互操作性的质疑。
区块链数据平台Chainalysis进行的研究估计,到目前为止,2022年跨链桥黑客的损失达20亿美元。
Chainalysis在报告中表示,这个问题现在 “对建立区块链技术的信任构成了重大威胁”。
此外,研究人员表示,桥接黑客受到朝鲜黑客的青睐,据估计他们占到了迄今为止被盗的20亿美元的一半。
这份报告是在Nomad桥接黑客事件之后发布的,在这次事件中,1.91亿美元被盗。Nomad连接了以太坊、雪崩、Evmos、Moonbeam和Milkomeda区块链。
Cross-chain bridges have multiple points of vulnerability
跨链桥连接不同的区块链,使数据或代币在其他不兼容的链之间传输。该技术是使整个加密货币生态系统具有互操作性的动力的一部分。
桥接使使用不同区块链上的资产成为可能,而不需要到链外的交易所去交易所需的代币。通常情况下,它们通过一个使用锁-铸-烧机制的资产转换过程来运作。
然而,桥梁容易受到几个漏洞的影响,包括单点故障/中心化,低流动性,因为中心化的实体必须保持一个资产池,技术上的漏洞,因为锁-铸币-烧毁机制是由智能合约控制的,以及审查制度。
链分析建议
Chainalysis的报告说,今年到目前为止,已经发生了13起独立的桥梁黑客事件,占所有被盗资金的69%。
研究人员绘制了其他黑客与桥梁黑客的分类图,显示没有明显的模式。在2021年第三季度之前,过桥黑客是不存在的。但在2022年第一季度,从桥梁被盗的资金达到了一个高峰;这与被盗资金总额的高峰相吻合。
来源:blog.chainalysis.com
Chainalysis在报告中说,以前,交易所是黑客的主要目标。但交易所安全性的提高,迫使黑客寻找更新、更脆弱的攻击目标。
为了应对这个问题,研究人员呼吁对智能合约代码进行严格的审计,并将经过验证的合约作为模板,供开发人员使用。Chainalysis还在报告中对 “人性的粗心大意 “提出建议,称团队需要接受培训以发现 “复杂的社会工程战术”。
虽然报告中没有提到名字,但上述评论是指罗宁桥黑客事件,在该事件中,Axie Infinity用户损失了6.15亿美元–该平台后来退还了这笔钱。
最近出现的情况是,罗宁桥黑客是由朝鲜黑客策划的,目标是一名高级工程师的假工作。这个过程涉及虚假的面试,最后通过一个受感染的文件发送工作机会。打开该文件,黑客就可以控制几个网络节点。
