与 KelpDAO 相关的 2.92 亿美元漏洞是近期一系列加密桥攻击事件中的最新一起,凸显了用于连接区块链的系统已成为最容易被破解的方式之一。
该事件涉及 KelpDAO 使用 LayerZero 的跨链消息传递系统,这是一种广泛用于在区块链之间转移数据和资产的基础设施。
桥接器的目的是让用户能够将资产从一个区块链转移到另一个区块链,例如从以太坊转移到其他网络。但它们非但没有起到无缝连接的作用,反而屡屡成为薄弱环节,在过去几年中造成了数十亿美元的损失。
为什么这种事情会反复发生?
加密生态系统领导者表示,问题不仅仅在于糟糕的代码或粗心大意的错误。问题的根源更为根本,在于最初搭建桥梁的方式。
核心问题:信任中间人
要理解这个问题,了解桥梁的实际作用很有帮助。
如果你将代币从一条区块链转移到另一条区块链,第二条区块链需要证明你的代币存在于第一条区块链上并被锁定。理想情况下,第二条区块链会自行验证这一点。但实际上,这样做成本太高,也太复杂。
Espresso Systems首席执行官Ben Fisch表示:“大多数桥接器并不能完全验证另一条链上发生的事情。相反,它们依赖于一个较小的系统来报告。而这个(第二个)系统就成了你所信任的。”
因此,桥接器不再独立验证数据的真实性,而是将其外包,通常是外包给小型验证者团队或像 LayerZero 或Axelar这样的外部网络。这种捷径会带来风险。在 Kelp DAO 相关的漏洞利用中,攻击者就瞄准了桥接器接收的数据。
“攻击者入侵了节点,并向系统输入了虚假的信息,”菲施说。“网桥本身运行正常,只是它相信了错误的信息。”
桥接攻击表面上看起来往往各不相同。有些涉及密钥被盗,有些则涉及智能合约故障。但专家表示,这些都只是更深层次问题的表象。真正的问题在于系统的设计方式。
“凡事皆有可能出错,桥接攻击就是一个完美的例子,” 1INCH联合创始人Sergej Kunz说道。“你会看到代码漏洞、中心化问题、社会工程攻击,甚至是经济攻击。通常是多种因素混合在一起。”
桥梁的工作原理
对用户而言,区块链桥接看起来很简单。只需点击一个按钮,即可将资产从一个区块链转移到另一个区块链。但实际上,幕后过程要复杂得多。
首先,您的代币会被锁定在原始区块链上。然后,一个独立的系统会确认代币已被锁定。这个系统通常由一小群操作员或验证者组成。这些操作员会向第二个区块链发送一条消息,表明代币已被锁定,以便发行新的代币。如果该消息被接受,第二个区块链就会创建您代币的新版本。这些是包装代币,例如 rsETH 或 WBTC。
问题在于,这个过程依赖于对消息发送者的信任。如果攻击者攻破了该系统,他们就可以发送虚假消息,并创建从未在原始区块链上支持的代币。
菲施说:“最糟糕的情况是系统根本没有进行任何核查,只是轻信了别人对事件的描述。”
当一次失败蔓延开来
鉴于桥梁故障频发,为什么桥梁行业没有进行修复?
部分原因在于激励机制。“安全往往不是首要考虑因素,”昆兹说。“团队更关注的是快速上线、用户增长和提高锁定总价值。”
构建安全系统需要时间和资金。许多 DeFi 项目资源有限,难以在审计、监控和基础设施方面投入巨资。
与此同时,各个项目都在竞相支持更多区块链。每一次新的集成都会增加复杂性。“每一次新的连接都会带来更多的假设,”菲施说道。
桥接资产被盗用后很少能被控制在一定范围内。桥接资产被用于各种借贷协议、流动性池和收益策略中。如果这些资产遭到入侵,损失就会迅速蔓延。
昆兹说:“其他平台可能会将盗取的资产视为合法资产。这就是传染的发生方式。”用户很少被告知桥接器的实际工作原理或可能出现的问题。
有很多方法可以提高桥梁的安全性。菲施表示,关键的一步是消除单点故障,即依靠独立的数据源而不是共享的基础设施。
实际上,这些“数据源”是监控区块链并报告事件的计算机。它们可能由桥接器本身运行,也可能由 LayerZero 等外部网络或基础设施提供商运行。但许多数据源依赖于相同的底层服务,这意味着一个被攻破的数据源就可以向多个系统传播错误数据。
他说:“如果大家都依赖同一个信息来源,风险并没有降低,只是照搬了而已。”
其他方法包括硬件保护和更完善的监控,以便及早发现配置错误。一些开发人员也在研究直接使用密码学而非中间媒介来验证数据的设计方案。
昆兹认为,我们需要进行更根本的转变。“只要我们继续依赖基于验证器的桥接方式,这些问题就会持续存在,”他说。
阅读更多:朝鲜的加密货币盗窃策略正在扩展,DeFi 持续遭受打击
