当AxieInfinity、DeFiKingdoms等游戏Dapps像Ronin、Harmony维护着整个生态的时候,Fantom或Avalance等网络协议已经在DeFi浪潮中大赚一笔满的。这些区块链已成为以太坊汽油费和相对较慢的交易时间的重要替代方案。想要一种简单的方法在不同区块链上的协议之间移动资产比以往任何时候都更加紧迫。区块链链桥由此诞生。由于多链场景的应用,所有DeFiDapps的总锁定价值(TVL:TotalValueLocked)飙升。截至2022年5月,该行业的TVL估计为1112.8亿美元。这些DeFiDapps中锁定和桥接的大量资产引起了恶意黑客的注意,最新趋势表明攻击者可能已经发现了区块链桥接中的薄弱环节.根据Rekt数据库,2022年第一季度有12亿美元的加密资产被盗,占历史被盗资金的35.8%。有趣的是,2022年至少80%的损失资产将从链桥被盗。最严重的攻击之一发生在3月,当时浪人桥遭到黑客攻击,造成5.4亿美元的损失。此前,SolanaWormhole和BNBChain的QubitFinance桥在2022年被盗,价值超过4亿美元。加密历史上最大的一次黑客攻击发生在2021年8月,当时PolyNetwork桥上的6.1亿美元被盗,但被盗资金从未被追回。链桥是区块链行业中最有价值的工具之一,但它们的互操作性对构建它们的项目提出了重大挑战。1.理解区块链桥与曼哈顿桥类似,区块链桥是一个连接两个不同网络协议网络的平台,实现资产和信息从一个区块链到另一个区块链的跨链转移。这样一来,加密货币和NFT就不会孤立在自己的链上,而是可以跨不同的区块链进行“桥接”,从而提高这些资产的利用率。由于链桥的存在,比特币可以在基于智能合约的网络中用于DeFi目的,或者允许NFL、NFT从Flow桥接到以太坊以进行细分或作为抵押品。当然,还有其他不同的资产转移方式。例如,顾名思义,Lock-and-Mint的工作原理是将原始资产锁定在发送方的智能合约中,而接收方网络则在另一端铸造原始代币的副本。如果以太币从以太坊桥接到Solana,那么Solana中的以太币只是一个副本,而不是代币本身。Lock-and-mint机制虽然Lock-and-Mint方法是迄今为止最流行的桥接方法,但还有其他方法可以完成资产转移,例如“销毁和铸造”或智能合约本身执行交换两个网络之间的资产原子交换。Connext(以前称为xPollinate)和cBridge是依赖原子交换的链桥。从安全的角度来看,链桥可以分为两类:可信的和不可信的。可信桥是依赖第三方验证交易的平台,但更重要的是,充当桥接资产的保管人。可信桥的例子几乎可以在任何特定于区块链的桥中找到,例如BinanceBridge、PolygonPOSBridge、WBTCBridge、AvalancheBridge、HarmonyBridge、TerraShuttleBridge和Multichain(以前称为Anyswap)或Tron的Dapps,例如Just密码。相比之下,纯粹依靠智能合约和算法来托管资产的平台是去信任链桥。去信任链桥的安全因素与桥接资产的底层网络有关,也就是锁定资产的网络。在NEAR的彩虹桥、Solana的虫洞、Polkadot的雪桥、CosmosIBC以及Hop、Connext和Celer等平台中都可以找到去信任链桥。乍一看,无需信任的链桥似乎为区块链之间的资产转移提供了更安全的选择。然而,可信链桥和非可信链桥都面临着不同的挑战。2.可信链桥和非可信链桥的局限性浪人链桥是一个中心化的可信运行平台,采用多重签名钱包托管桥资产。简而言之,多重签名钱包是一个地址,需要两个或多个加密签名才能批准交易。在Ronin的案例中,侧链有九个验证器,需要五个不同的签名来批准存款和取款。其他平台使用相同的方法,但风险分散得更好一些。例如,Polygon依赖8个验证器并需要5个签名。这五个签名由不同的方控制。在Ronin的案例中,SkyMavis团队拥有四个签名,造成单点故障。黑客一次控制4个SkyMavis签名后,只需要一个签名就可以批准提取资产。3月23日,攻击者控制了AxieDAO签名,这是完成攻击所需的最后一块。在有史以来第二大加密攻击中,Ronin的托管合约在两笔不同的交易中损失了173,600ETH和2550万美元。还值得注意的是,SkyMavis团队花了将近一周的时间才发现黑客攻击,这表明Ronin的监控机制至少存在一些不完善之处,这也揭示了这个可信平台的缺陷。虽然中心化存在根本缺陷,但由于软件和编码中的错误和漏洞,去信任链桥也容易受到攻击。SolanaWormhole是一个支持Solana和以太坊之间跨桥交易的平台,在2022年2月遭到攻击,由于Solana的托管合约中存在漏洞,3.25亿美元被盗。Wormhole合约中的一个漏洞允许黑客设计一个跨链验证器。攻击者从以太坊向Solana发送0.1ETH以触发一组“转账消息”,诱使程序批准假设的120,000ETH存款转账。虫洞黑客攻击发生在2021年8月由于合同分类和结构的缺陷从PolyNetwork盗取了6.1亿美元之后。该Dapp中的跨链交易由一组称为“监护人”的集中节点批准,并通过网关合约在接收网络上进行验证。在这次攻击中,黑客能够获得管理员权限,通过设置自己的参数来欺骗网关。攻击者在以太坊、BinancDe、Neo和其他区块链中重复该过程以提取更多资产。3、条条大桥通向以太坊以太坊仍然是行业内最具统治力的DeFi生态系统,占据了行业近60%的TVL。同时,这些作为以太坊DeFiDapp替代品的不同网络协议的兴起也引发了区块链桥上的跨链活动。业内最大的桥是WBTC桥,由BitGo、Kyber和RenVM背后的团队RepublicProtocol托管。由于比特币代币在技术上与基于智能合约的区块链不兼容,WBTC桥“包装”了原生比特币,将其锁定在桥托管合约中并在以太坊上铸造其ERC-20版本。该桥在DeFi夏季(自2020年夏季以来被称为“DeFi夏季”,因为DeFi市场经历了惊人的增长)非常受欢迎,现在持有价值约125亿美元的比特币。WBTC允许BTC在Aave、Compound和Maker等Dapp中用作抵押品,或在各种DeFi协议中产生收益或赚取利息。Multichain,前身为Anyswap,是一款通过内置链桥向40多个区块链提供跨链交易的Dapp。基于所有连接,Multichain在网络基础上持有65亿美元。然而,以太坊的FantomBridge是迄今为止最大的矿池,锁定了35亿美元。在2021年下半年,由于具有吸引力的收益农场(包括FTM、各种稳定币或SpookySwap上的wETH),权益证明网络已成为一个受欢迎的DeFi空间。与Fantom不同,大多数L1区块链使用独立的直接桥连接到网络。Avalanche桥主要由Avalanche基金会托管,是最大的L1<>L1桥。Avalanche是DeFi领域最强大的应用程序之一,因为它拥有包括TraderJoe、Aave、Curve和PlatypusFinance在内的Dapp。BinanceBridge也以45亿美元的锁定资产脱颖而出,紧随其后的是SolanaWormhole,其TVL为38亿美元。同样,Polygon、Arbitrum和Optimism等缩放解决方案是TVL方面最重要的桥梁之一。PolygonPOS桥是以太坊与其侧链之间的主要入口点,是第三大桥,托管了近60亿美元。与此同时,Arbitrum和Optimism等流行的L2平台链桥上的流动性也在上升。另一个值得一提的桥梁是NearRainbowBridge,它旨在解决著名的互操作性三难困境(去中心化、扩展、安全)。这个将Near和Aurora与以太坊连接起来的平台可能会为实施去信任链桥安全提供宝贵的机会。4.如何提高跨链安全性作为托管桥接资产的两种方式,可信桥接和无信任桥接容易出现基础和技术上的缺陷。尽管如此,还是有办法防止和减少黑客恶意破坏区块链的影响。在可信链桥的情况下,显然需要增加所需签名者的比例,同时还要让多重签名分布在不同的钱包中。尽管去信任链桥消除了与中心化相关的风险,但仍然存在漏洞和其他技术限制的风险场景,正如SolanaWormhole或QubitFinance漏洞利用案例所证明的那样。因此,有必要实施链下行动以尽可能保护跨链平台。协议之间的合作是必要的。Web3空间的特点是它的联合社区,所以最好让业内最聪明的人一起工作,让这个空间变得更安全。AnimocaBrands、Binance和其他Web3品牌筹集了1.5亿美元,以帮助SkyMavis减少RoninBridge黑客攻击的财务影响。通过共同努力进行协作可以将互操作性提升到一个新的水平,以实现多链的未来。同样,与链分析平台和CEX的协调合作有助于跟踪和标记被盗代币。这种情况可能会在中期阻止犯罪分子,因为将加密货币兑现为法定货币的网关应由已建立的CEX中的KYC程序控制。上个月,两名20岁的年轻人在NFT领域实施诈骗后被绳之以法。对已识别的黑客也应要求同样的惩罚,这是公平的。审计和漏洞赏金也是改善任何Web3平台(包括链桥)安全状况的另一种方式。Certik、Chainsafe、Blocksec等认证组织有助于使Web3交互更加安全。所有链桥活动都应由至少一家认证机构审核。同时,漏洞赏金计划在项目与其社区之间创造了协同效应。在其他黑客进行恶意攻击之前,白黑客在识别漏洞方面发挥着至关重要的作用。例如,SkyMavis最近启动了一项价值100万美元的漏洞赏金计划,以加强其生态系统的安全性。5.结论L1和L2解决方案作为整个区块链系统的激增挑战了以太坊Dapp生态系统,它们的激增产生了通过跨链在网络之间移动资产的需求。这是互操作性的本质,也是Web3的支柱之一。尽管如此,当前的互操作性场景依赖于跨链协议,而不是Vitalik在今年早些时候发布的多链方法。虽然太空互操作性的需求很明显,但此类平台仍需要更强大的安全措施。不幸的是,挑战不会轻易克服。受信任和不受信任的平台都存在设计缺陷。这些固有的跨链缺陷已经变得显而易见。迄今为止,在黑客攻击中损失的12亿美元中,超过80%是通过易受攻击的链桥被盗的。而且,随着产业价值的不断提升,黑客技术也越来越强大。传统的网络攻击,如社会工程和网络钓鱼攻击,对于Web3来说已成为过去。所有令牌版本都本地对应于每个区块链的多链方法仍然很遥远。因此,跨链平台必须吸取以往的经验和教训,加强流程监管,尽量减少黑客攻击的得逞。
