图片来源@视觉中国
罗宁遇袭事件已经过去了几天,但随着后续处理方案的出现,事件的余波丝毫没有平息的意思。3月30日,浪人令牌RON价格因受袭大幅跳水,震荡后逐渐回落。4月11日创下代币上市以来的新低。Axie Infinity token AXS也受到影响,下跌趋势明显,逼近4月11日的历史低点。
图
: CMC显示攻击后罗恩价格持续下跌。
浪人的连锁开发公司Axiinfinity和Skymavis 9日表示,浪人桥被攻击不是因为智能合约的漏洞,而是因为社会工程和人为错误。在9个验证节点中,攻击者获得了5个验证节点的签名者账户的签名,从而进行了51%的攻击,成功取走了价值6.25亿美元的代币,并开始逐步转移到混钱器中进行洗白。
可以说,浪人跨链桥攻击的根本原因是过于集权的结构。攻击者通过某种手段同时获得超过一半的认证节点密钥,从而发动51%攻击的案例在区块链业界可以说是极其罕见的——尤其是在一个资金流转如此巨大的项目中。2018年,EOS公布了21个超级节点的计划,被整个区块链业界批评为“去中心化不够”。具有9个验证节点的Ronin跨链桥在被攻击前从未被批评过。不得不说是业界对跨链桥的一种歧视:跨链桥不需要去中心化,而是需要更高的效率。
在多链生态逐渐丰富的今天,跨链桥已经成为整个虚拟货币行业中必不可少的基础设施。在跨链桥出现之前,主流的跨链资产交换方式是以集中交换的方式进行资产交换。虽然效率不低,但受限于交易所提供的交易对,有些资产甚至要多次交换,损失很大。
相比交易所交易所,基于二层的各种资产跨链服务的兴起无疑在效率和成本上有更大的优势,越来越丰富的跨链桥项目也省去了多次交易所的麻烦。随着越来越多的资金流过链桥,越来越多的攻击者盯上了这块肥肉。相反,跨链桥的安全级别和分散程度都较低,这为攻击者提供了大量的机会。甚至可以说,跨链桥的安全性和分散性水平一直被忽视。
去年8月,运行在以太坊、BSC和Ploygen上的跨链桥Poly Network遭到白帽黑客攻击,涉案金额约6亿美元。保利被攻击的原因是跨链流程中的一些步骤缺乏有效验证,不同链之间的交易确认流程存在缺陷,因此被黑客利用。
今年2月,运行在以太坊和索拉纳上的跨链桥Wormhole遭到攻击,损失约为3.26亿美元。该项目之所以受到攻击,是因为攻击者伪造了一个关键账户,从而绕过验证,在ETH上铸造了12000个ETH。
这两次攻击,加上对罗宁跨链桥的攻击,成为德菲历史上最大的三次攻击。跨链桥作为多链生态的重要基础设施,一方面承载着巨量的资金流,另一方面却在安全性和去中心化方面被忽视。这与跨链桥本身的地位密切相关:作为承担价值流通的“桥”,最重要的是它的可用性和效率。在老生常谈的不可能三位一体中,效率的地位得到了极大的提升,带来另外两个角也就不足为奇了。可以说,聚网和虫洞中的契约漏洞,浪人跨链桥中的去中心化风险,都是过度追求效率造成的。
本文原载于Chain,由钛媒体App授权,作者大文。
