欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

當(dāng)前位置:主頁 > 區(qū)塊鏈 > 區(qū)塊鏈技術(shù) > 常見的跨鏈橋接安全漏洞

為什么區(qū)塊鏈橋的安全如此重要?常見的跨鏈橋接安全漏洞有哪些?

2023-08-15 14:41:18 | 來源: | 作者:佚名
區(qū)塊鏈橋(Blockchain Bridge)是連接兩個或多個不同的區(qū)塊鏈網(wǎng)絡(luò)的協(xié)議或技術(shù)解決方案,它允許資產(chǎn)或數(shù)據(jù)在這些不同的區(qū)塊鏈網(wǎng)絡(luò)之間進(jìn)行跨鏈轉(zhuǎn)移和交互,那么為什么區(qū)塊鏈橋的安全至關(guān)重要,常見的跨鏈橋接安全漏洞有哪些,接下來跟小編一起來看看吧

區(qū)塊鏈橋是區(qū)塊鏈領(lǐng)域?qū)崿F(xiàn)互操作性的根本所在。因此,跨鏈橋接技術(shù)的安全至關(guān)重要。一些常見的區(qū)塊鏈橋安全漏洞包括鏈上和鏈下驗(yàn)證不足、原生代幣處理不當(dāng)以及配置錯誤。為了確保驗(yàn)證邏輯合理,建議針對所有可能的攻擊向量對跨鏈橋進(jìn)行測試。

導(dǎo)語 

區(qū)塊鏈橋是連接兩個區(qū)塊鏈,讓二者實(shí)現(xiàn)交互的協(xié)議。通過區(qū)塊鏈橋,用戶如要參與以太坊網(wǎng)絡(luò)的DeFi活動,只需持有比特幣,無需出售即可達(dá)成目的。 

區(qū)塊鏈橋是區(qū)塊鏈領(lǐng)域?qū)崿F(xiàn)互操作性的根基。它們使用各種鏈上和鏈下驗(yàn)證來發(fā)揮作用,因此也可能存在不同的安全漏洞。

為什么區(qū)塊鏈橋的安全至關(guān)重要?

區(qū)塊鏈橋通常會持有用戶想從一條鏈轉(zhuǎn)移到另一條鏈的代幣。區(qū)塊鏈橋通常以智能合約的形式部署,隨著跨鏈轉(zhuǎn)移的持續(xù)積累,橋上會持有大量的代幣,這筆巨額的財富就會使它們成為黑客覬覦的目標(biāo)。

此外,由于涉及許多組件,區(qū)塊鏈橋的攻擊面往往很大。因此,不法分子有著強(qiáng)烈的動機(jī)把跨鏈應(yīng)用作為目標(biāo),以期攫取大量資金。

根據(jù)CertiK的估計,在2022年,區(qū)塊鏈橋攻擊造成了超過13億美元的損失,占當(dāng)年總損失的36%。

常見的跨鏈橋接安全漏洞

為了增強(qiáng)區(qū)塊鏈橋的安全性,了解常見的跨鏈橋接安全漏洞并在啟動前測試區(qū)塊鏈橋十分重要。這些漏洞主要來自以下四個方面:

鏈上驗(yàn)證不足

對于簡單的區(qū)塊鏈橋,尤其是專為特定dApp設(shè)計的區(qū)塊鏈橋,通常只有最低程度的鏈上驗(yàn)證。這些橋依靠集中式后端來執(zhí)行基本操作,例如鑄幣、銷毀和代幣轉(zhuǎn)移,所有驗(yàn)證都是在鏈下進(jìn)行的。

而其他類型的橋則使用智能合約來驗(yàn)證消息并在鏈上進(jìn)行驗(yàn)證。在這種情況下,當(dāng)用戶將資金存入鏈中時,智能合約會生成簽名的消息并在交易中返回簽名。這個簽名就會用作充值的證明,用于驗(yàn)證用戶在另一條鏈上的提現(xiàn)請求。這一流程應(yīng)該能夠防止各種安全攻擊,包括重放攻擊和偽造充值記錄。

但是,如果鏈上驗(yàn)證過程存在漏洞,攻擊可能會造成嚴(yán)重?fù)p失。例如,如果區(qū)塊鏈用默克爾樹來驗(yàn)證交易記錄,那攻擊者就可以生成偽造證明。這意味著,如果驗(yàn)證過程存在漏洞,攻擊者就可以繞過證明驗(yàn)證,并在其賬戶中鑄造新的代幣。

某些區(qū)塊鏈橋會實(shí)施“包裝代幣(wrapped tokens)”的概念。例如,當(dāng)用戶將DAI從以太坊轉(zhuǎn)移到BNB Chain時,他們的DAI將從以太坊合約中取出,并在BNB Chain上發(fā)行等量的包裝DAI。

但是,如果此交易沒有正確驗(yàn)證,攻擊者就可以部署惡意合約,通過操縱該功能,將包裝的代幣從橋接路由到錯誤的地址。 

攻擊者還需要受害者先批準(zhǔn)跨鏈橋合約,才能使用“TransferFrom”功能轉(zhuǎn)移代幣,從而從跨鏈橋合約中卷走資產(chǎn)。

但棘手的是,許多跨鏈橋都會要求dApp用戶無限地批準(zhǔn)代幣,這種做法很常見,它可以降低燃料費(fèi),但允許智能合約從用戶的錢包中訪問不限量的代幣,會帶來額外的風(fēng)險。攻擊者會利用這些驗(yàn)證不足和批準(zhǔn)過度,將代幣從其他用戶轉(zhuǎn)移給自己。

鏈下驗(yàn)證不足

在某些跨鏈橋系統(tǒng)中,鏈下后端服務(wù)器在驗(yàn)證從區(qū)塊鏈發(fā)送的消息的合法性時起著至關(guān)重要的作用。在這種情況下,我們要重點(diǎn)關(guān)注充值交易的驗(yàn)證。

有鏈下驗(yàn)證的區(qū)塊鏈橋的工作原理如下:

  • 用戶與dApp交互,將代幣存入源鏈上的智能合約。

  • 然后,dApp通過API將充值交易哈希發(fā)送到后端服務(wù)器。

  • 交易哈希需要經(jīng)過服務(wù)器的多次驗(yàn)證。如果被認(rèn)為合法,則簽名者會簽署一條消息,并將簽名通過API發(fā)回到用戶界面。

  • 收到簽名后,dApp會對其進(jìn)行驗(yàn)證,并允許用戶從目標(biāo)鏈中提取代幣。

后端服務(wù)器必須確保其處理的充值交易是真實(shí)發(fā)生而并非偽造的。該后端服務(wù)器會決定用戶是否可以在目標(biāo)鏈上提取代幣,因此成為首當(dāng)其沖的攻擊目標(biāo)。

后端服務(wù)器需要驗(yàn)證交易發(fā)起事件的結(jié)構(gòu),以及發(fā)起該事件的合約地址。如果忽視后者,攻擊者就可能會部署惡意合約,來偽造與合法充值事件結(jié)構(gòu)相同的充值事件。

如果后端服務(wù)器不驗(yàn)證哪個地址發(fā)起了該事件,它就會認(rèn)為這是有效交易,并且簽署消息。攻擊者就可以向后端服務(wù)器發(fā)送交易哈希,繞過驗(yàn)證,使其從目標(biāo)鏈中提取代幣。

不當(dāng)?shù)脑鷰盘幚?/h3>

跨鏈橋采用不同的方法來處理原生代幣和效用代幣。比如,在以太坊網(wǎng)絡(luò)上,原生代幣是ETH,大多數(shù)效用代幣都符合ERC-20標(biāo)準(zhǔn)。

如果用戶打算把自己的ETH轉(zhuǎn)移到另一條鏈,必須先將其存入跨鏈橋合約。為此,用戶只需將ETH附到交易中,即可通過讀取“msg.value”交易字段來檢索ETH的數(shù)量。

存入ERC-20代幣與存入ETH有很大區(qū)別。要存入ERC-20代幣,用戶必須先允許跨鏈橋合約使用他們的代幣。在他們批準(zhǔn)并將代幣存入跨鏈橋合約后,合約將用 “burnFrom()”函數(shù)銷毀用戶的代幣,或用“transferFrom()”函數(shù)將用戶的代幣轉(zhuǎn)移到合約中。

要區(qū)別是哪種操作,可以在同一個函數(shù)中使用if-else語句。或是創(chuàng)建兩個單獨(dú)的函數(shù)來處理每種場景。由于處理方式不同,如果用戶嘗試使用ERC-20充值函數(shù)來存入ETH,那么這些ETH可能會丟失。

在處理ERC-20充值請求時,用戶通常提供代幣地址作為輸入?yún)?shù)傳遞給充值函數(shù)。這會構(gòu)成重大風(fēng)險,因?yàn)樵诮灰走^程中可能會發(fā)生不可信的外部調(diào)用。使用白名單來只包含跨鏈橋支持的代幣,是把風(fēng)險降到最低的常見做法。只有列入白名單的地址會作為參數(shù)傳遞。這樣可以防止外部調(diào)用,因?yàn)轫?xiàng)目團(tuán)隊(duì)已經(jīng)過濾了代幣地址。

但是,當(dāng)跨鏈橋處理原生代幣跨鏈傳輸時,也有個麻煩,因?yàn)樵鷰艣]有地址。原生代幣可以使用一個特殊的地址來代表,即“零地址”(0x000... 0)。但這樣做存在一個問題,如果未正確實(shí)現(xiàn)白名單驗(yàn)證邏輯,使用零地址傳遞給函數(shù)可能會繞過白名單驗(yàn)證。

當(dāng)跨鏈橋合約調(diào)用“TransferFrom”將用戶資產(chǎn)轉(zhuǎn)移到合約時,對零地址的外部調(diào)用會返回false,因?yàn)榱愕刂分袥]有實(shí)現(xiàn)“transferFrom”函數(shù)。但是,如果合約沒有正確處理返回值,交易仍可能繼續(xù)發(fā)生。這就會為攻擊者創(chuàng)造機(jī)會,使其不用向合約轉(zhuǎn)移任何代幣就能執(zhí)行交易。

配置錯誤

在大多數(shù)區(qū)塊鏈橋中,有一個特權(quán)角色負(fù)責(zé)將代幣和地址列入白名單或黑名單,分配或改變簽名者,以及其他關(guān)鍵配置。確保所有配置準(zhǔn)確無誤非常關(guān)鍵,因?yàn)榭此莆⒉蛔愕赖氖韬鲆部赡軐?dǎo)致重大損失。

實(shí)際上,曾經(jīng)真的發(fā)生過攻擊者由于配置錯誤而成功繞過傳輸記錄驗(yàn)證的事件。該項(xiàng)目團(tuán)隊(duì)在黑客攻擊發(fā)生前幾天實(shí)施了協(xié)議升級,其中更改了某個變量。該變量是用來表示可信消息的默認(rèn)值。這個更改導(dǎo)致所有消息都被自動認(rèn)為是經(jīng)過驗(yàn)證的,因此使攻擊者隨便提交一個消息就能通過驗(yàn)證。

如何提高跨鏈橋的安全性

上面所述的四個常見跨鏈橋漏洞表明,在互聯(lián)區(qū)塊鏈生態(tài)系統(tǒng)中安全所面臨的挑戰(zhàn)不可小覷。要應(yīng)對這些漏洞,需要“因地制宜”地考慮,沒有哪個方法可以全能地對付所有漏洞。

例如,由于每個跨鏈橋都有獨(dú)特的驗(yàn)證要求,因此僅僅提供通用準(zhǔn)則就想確保驗(yàn)證過程沒有錯誤,這很難做到。防止繞過驗(yàn)證的最有效方法,是針對所有可能的攻擊向量對跨鏈橋進(jìn)行全面測試,并確保驗(yàn)證邏輯是合理的。

總而言之,必須針對潛在攻擊進(jìn)行嚴(yán)格的測試,并特別注意跨鏈橋中最常見的安全漏洞。

結(jié)語

由于資金量巨大,跨鏈橋長期以來一直是攻擊者的目標(biāo)。構(gòu)建者可以通過進(jìn)行全面的部署前測試和納入第三方審計來加強(qiáng)跨鏈橋的安全,從而降低過去幾年來籠罩在跨鏈橋上的災(zāi)難性黑客攻擊的風(fēng)險??珂湗蛟诙噫湹氖澜缰兄陵P(guān)重要,但在設(shè)計和構(gòu)建有效的Web3基礎(chǔ)架構(gòu)時,安全性必須是首要考慮因素。

到此這篇關(guān)于為什么區(qū)塊鏈橋的安全如此重要?常見的跨鏈橋接安全漏洞有哪些?的文章就介紹到這了,更多相關(guān)常見的跨鏈橋接安全漏洞內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章,希望大家以后多多支持腳本之家!

免責(zé)聲明:本文只為提供市場訊息,所有內(nèi)容及觀點(diǎn)僅供參考,不構(gòu)成投資建議,不代表本站觀點(diǎn)和立場。投資者應(yīng)自行決策與交易,對投資者交易形成的直接或間接損失,作者及本站將不承擔(dān)任何責(zé)任。!

你可能感興趣的文章

更多

熱門幣種

  • 幣名
    最新價格
    24H漲幅
  • bitcoin BTC 比特幣

    BTC

    比特幣

    $ 118532.52¥ 843833
    +3.37%
  • ethereum ETH 以太坊

    ETH

    以太坊

    $ 4378.56¥ 31170.96
    +5.66%
  • ripple XRP 瑞波幣

    XRP

    瑞波幣

    $ 2.9677¥ 21.127
    +4.28%
  • tether USDT 泰達(dá)幣

    USDT

    泰達(dá)幣

    $ 1.0003¥ 7.1211
    +0.03%
  • binance-coin BNB 幣安幣

    BNB

    幣安幣

    $ 1032.81¥ 7352.57
    +2.29%
  • solana SOL Solana

    SOL

    Solana

    $ 223.91¥ 1594.01
    +7.01%
  • usdc USDC USD Coin

    USDC

    USD Coin

    $ 0.9993¥ 7.114
    -0.02%
  • dogecoin DOGE 狗狗幣

    DOGE

    狗狗幣

    $ 0.2535¥ 1.8046
    +8.7%
  • tron TRX 波場

    TRX

    波場

    $ 0.3419¥ 2.4339
    +2.4%
  • cardano ADA 艾達(dá)幣

    ADA

    艾達(dá)幣

    $ 0.8542¥ 6.081
    +6.12%

幣圈快訊

  • Coinbase投資研究部門負(fù)責(zé)人:加密財庫公司或?qū)㈤_啟并購浪潮

    2025-10-02 14:49
    Coinbase投資研究部門負(fù)責(zé)人DavidDuong表示,隨著市場周期走向成熟,且各公司力求吸引投資者,各公司可能會開始推進(jìn)并購交易,數(shù)字資產(chǎn)財庫公司(DATs)最終將整合到少數(shù)幾家大型機(jī)構(gòu)旗下,就像近期Strive與SemlerScientific的合作那樣。從資產(chǎn)管理公司轉(zhuǎn)型為比特幣財庫公司的Strive于9月22日宣布,將通過全股票交易收購?fù)瑸閿?shù)字資產(chǎn)財庫公司(DAT)的SemlerScientific。

  • RootDataSGSummit圓桌討論:產(chǎn)品價值、商業(yè)模式與資本敘事

    2025-10-02 14:35
    ChainCatcher現(xiàn)場報道,Solayer產(chǎn)品總監(jiān)JoshuaSum、GenerativeVentures合伙人WillWang、HashKeyCapital投資經(jīng)理StellaYang以及WEEXCSOEthan,共同出席了由ChainCatcher和RootData在新加坡TOKEN2049期間舉辦的Crypto資本市場主題論壇“RootDataSGSummit”,一同在會上分享“Product,BusinessValue,andCapitalNarrative”圓桌會議。 會上指出,傳統(tǒng)金融與加密貨幣的融合是當(dāng)前最重要的趨勢,而監(jiān)管明朗化將為產(chǎn)業(yè)帶來更大的發(fā)展空間。同時,他們也警告要避免追逐短期敘事和泡沫(如加密AI、機(jī)器人),建議專注于構(gòu)建穩(wěn)固的基礎(chǔ)設(shè)施和真正的價值。 Solayer產(chǎn)品總監(jiān)JoshuaSum強(qiáng)調(diào)硬件是區(qū)塊鏈擴(kuò)展的關(guān)鍵,該平臺已實(shí)現(xiàn)每秒30萬筆交易,他認(rèn)為機(jī)構(gòu)資金將是未來最大機(jī)遇,但警告建設(shè)者不要追逐短期敘事,應(yīng)專注于構(gòu)建穩(wěn)固基礎(chǔ)。 GenerativeVentures合伙人WillWang則從金融科技角度分析,指出過去一年ETF和上市公司為加密市場帶來超過2,000億美元流動性。他預(yù)測未來將出現(xiàn)全球原生鏈上貨幣市場基金,規(guī)模可達(dá)1,000-2,000億美元,并強(qiáng)烈警告加密AI項(xiàng)目存在泡沫,建議要麼做真正的AI,要麼做真正的加密貨幣。 HashKeyCapital投資經(jīng)理StellaYang則看好量子區(qū)塊鏈的發(fā)展,認(rèn)為5-10年內(nèi)量子攻擊將成為現(xiàn)實(shí)威脅。她建議創(chuàng)辦人要對財務(wù)保持紀(jì)律,并具備快速適應(yīng)市場變化的能力。同時指出機(jī)器人產(chǎn)業(yè)存在明顯估值泡沫。 WEEXCSOEthan則分享交易所在過去一年期貨交易量增長400%,目前日交易量達(dá)250億美元。他強(qiáng)調(diào)監(jiān)管明朗化正推動更多資金流入,建議業(yè)者專注長期價值而非短期投機(jī)。 與會專家一致認(rèn)為,穩(wěn)定幣、RWA代幣化以及傳統(tǒng)金融與加密貨幣的深度融合,將是未來1-2年最重要的發(fā)展方向。

  • Paxos發(fā)布鑒證報告,PYUSD代幣流通總額突破11億枚

    2025-10-02 14:34
    Paxos官方發(fā)布由“四大會計事務(wù)所”之一畢馬威出具的2025年8月穩(wěn)定幣PYUSD鑒證報告,其中披露:PYUSD代幣流通總額截至8月29日升至1,169,714,720枚;總凈資產(chǎn)中可贖回抵押品名義頭寸價值1,173,383,198美元,高于PYUSD代幣的流通總額。此外,Paxos數(shù)據(jù)還顯示,隨著黃金價格上漲,旗下黃金掛鉤代幣PAXG市值已突破11.5億美元,現(xiàn)報1,153,328,709美元,續(xù)創(chuàng)新高。

  • ETH突破4400美元

    2025-10-02 14:32
    行情顯示,ETH突破4400美元,現(xiàn)報4407.71美元,24小時漲幅達(dá)到6.58%,行情波動較大,請做好風(fēng)險控制。

  • Paxos發(fā)布畢馬威出具的八月鑒證報告:PYUSD代幣流通總額突破11億枚

    2025-10-02 14:32
    Paxos官方發(fā)布由“四大會計事務(wù)所”之一畢馬威出具的2025年8月穩(wěn)定幣PYUSD鑒證報告,其中披露:PYUSD代幣流通總額(TotalTokensOutstanding)截至8月29日升至1,169,714,720枚;總凈資產(chǎn)中可贖回抵押品名義頭寸價值1,173,383,198美元,高于PYUSD代幣的流通總額。此外,Paxos數(shù)據(jù)還顯示,隨著黃金價格上漲,旗下黃金掛鉤代幣PAXG市值已突破11.5億美元,現(xiàn)報1,153,328,709美元,續(xù)創(chuàng)新高。
    • 查看更多