欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

當前位置:主頁 > 區(qū)塊鏈 > 區(qū)塊鏈技術(shù) > 常見的跨鏈橋接安全漏洞

為什么區(qū)塊鏈橋的安全如此重要?常見的跨鏈橋接安全漏洞有哪些?

2023-08-15 14:41:18 | 來源: | 作者:佚名
區(qū)塊鏈橋(Blockchain Bridge)是連接兩個或多個不同的區(qū)塊鏈網(wǎng)絡(luò)的協(xié)議或技術(shù)解決方案,它允許資產(chǎn)或數(shù)據(jù)在這些不同的區(qū)塊鏈網(wǎng)絡(luò)之間進行跨鏈轉(zhuǎn)移和交互,那么為什么區(qū)塊鏈橋的安全至關(guān)重要,常見的跨鏈橋接安全漏洞有哪些,接下來跟小編一起來看看吧

區(qū)塊鏈橋是區(qū)塊鏈領(lǐng)域?qū)崿F(xiàn)互操作性的根本所在。因此,跨鏈橋接技術(shù)的安全至關(guān)重要。一些常見的區(qū)塊鏈橋安全漏洞包括鏈上和鏈下驗證不足、原生代幣處理不當以及配置錯誤。為了確保驗證邏輯合理,建議針對所有可能的攻擊向量對跨鏈橋進行測試。

導(dǎo)語 

區(qū)塊鏈橋是連接兩個區(qū)塊鏈,讓二者實現(xiàn)交互的協(xié)議。通過區(qū)塊鏈橋,用戶如要參與以太坊網(wǎng)絡(luò)的DeFi活動,只需持有比特幣,無需出售即可達成目的。 

區(qū)塊鏈橋是區(qū)塊鏈領(lǐng)域?qū)崿F(xiàn)互操作性的根基。它們使用各種鏈上和鏈下驗證來發(fā)揮作用,因此也可能存在不同的安全漏洞。

為什么區(qū)塊鏈橋的安全至關(guān)重要?

區(qū)塊鏈橋通常會持有用戶想從一條鏈轉(zhuǎn)移到另一條鏈的代幣。區(qū)塊鏈橋通常以智能合約的形式部署,隨著跨鏈轉(zhuǎn)移的持續(xù)積累,橋上會持有大量的代幣,這筆巨額的財富就會使它們成為黑客覬覦的目標。

此外,由于涉及許多組件,區(qū)塊鏈橋的攻擊面往往很大。因此,不法分子有著強烈的動機把跨鏈應(yīng)用作為目標,以期攫取大量資金。

根據(jù)CertiK的估計,在2022年,區(qū)塊鏈橋攻擊造成了超過13億美元的損失,占當年總損失的36%。

常見的跨鏈橋接安全漏洞

為了增強區(qū)塊鏈橋的安全性,了解常見的跨鏈橋接安全漏洞并在啟動前測試區(qū)塊鏈橋十分重要。這些漏洞主要來自以下四個方面:

鏈上驗證不足

對于簡單的區(qū)塊鏈橋,尤其是專為特定dApp設(shè)計的區(qū)塊鏈橋,通常只有最低程度的鏈上驗證。這些橋依靠集中式后端來執(zhí)行基本操作,例如鑄幣、銷毀和代幣轉(zhuǎn)移,所有驗證都是在鏈下進行的。

而其他類型的橋則使用智能合約來驗證消息并在鏈上進行驗證。在這種情況下,當用戶將資金存入鏈中時,智能合約會生成簽名的消息并在交易中返回簽名。這個簽名就會用作充值的證明,用于驗證用戶在另一條鏈上的提現(xiàn)請求。這一流程應(yīng)該能夠防止各種安全攻擊,包括重放攻擊和偽造充值記錄。

但是,如果鏈上驗證過程存在漏洞,攻擊可能會造成嚴重損失。例如,如果區(qū)塊鏈用默克爾樹來驗證交易記錄,那攻擊者就可以生成偽造證明。這意味著,如果驗證過程存在漏洞,攻擊者就可以繞過證明驗證,并在其賬戶中鑄造新的代幣。

某些區(qū)塊鏈橋會實施“包裝代幣(wrapped tokens)”的概念。例如,當用戶將DAI從以太坊轉(zhuǎn)移到BNB Chain時,他們的DAI將從以太坊合約中取出,并在BNB Chain上發(fā)行等量的包裝DAI。

但是,如果此交易沒有正確驗證,攻擊者就可以部署惡意合約,通過操縱該功能,將包裝的代幣從橋接路由到錯誤的地址。 

攻擊者還需要受害者先批準跨鏈橋合約,才能使用“TransferFrom”功能轉(zhuǎn)移代幣,從而從跨鏈橋合約中卷走資產(chǎn)。

但棘手的是,許多跨鏈橋都會要求dApp用戶無限地批準代幣,這種做法很常見,它可以降低燃料費,但允許智能合約從用戶的錢包中訪問不限量的代幣,會帶來額外的風險。攻擊者會利用這些驗證不足和批準過度,將代幣從其他用戶轉(zhuǎn)移給自己。

鏈下驗證不足

在某些跨鏈橋系統(tǒng)中,鏈下后端服務(wù)器在驗證從區(qū)塊鏈發(fā)送的消息的合法性時起著至關(guān)重要的作用。在這種情況下,我們要重點關(guān)注充值交易的驗證。

有鏈下驗證的區(qū)塊鏈橋的工作原理如下:

  • 用戶與dApp交互,將代幣存入源鏈上的智能合約。

  • 然后,dApp通過API將充值交易哈希發(fā)送到后端服務(wù)器。

  • 交易哈希需要經(jīng)過服務(wù)器的多次驗證。如果被認為合法,則簽名者會簽署一條消息,并將簽名通過API發(fā)回到用戶界面。

  • 收到簽名后,dApp會對其進行驗證,并允許用戶從目標鏈中提取代幣。

后端服務(wù)器必須確保其處理的充值交易是真實發(fā)生而并非偽造的。該后端服務(wù)器會決定用戶是否可以在目標鏈上提取代幣,因此成為首當其沖的攻擊目標。

后端服務(wù)器需要驗證交易發(fā)起事件的結(jié)構(gòu),以及發(fā)起該事件的合約地址。如果忽視后者,攻擊者就可能會部署惡意合約,來偽造與合法充值事件結(jié)構(gòu)相同的充值事件。

如果后端服務(wù)器不驗證哪個地址發(fā)起了該事件,它就會認為這是有效交易,并且簽署消息。攻擊者就可以向后端服務(wù)器發(fā)送交易哈希,繞過驗證,使其從目標鏈中提取代幣。

不當?shù)脑鷰盘幚?/h3>

跨鏈橋采用不同的方法來處理原生代幣和效用代幣。比如,在以太坊網(wǎng)絡(luò)上,原生代幣是ETH,大多數(shù)效用代幣都符合ERC-20標準。

如果用戶打算把自己的ETH轉(zhuǎn)移到另一條鏈,必須先將其存入跨鏈橋合約。為此,用戶只需將ETH附到交易中,即可通過讀取“msg.value”交易字段來檢索ETH的數(shù)量。

存入ERC-20代幣與存入ETH有很大區(qū)別。要存入ERC-20代幣,用戶必須先允許跨鏈橋合約使用他們的代幣。在他們批準并將代幣存入跨鏈橋合約后,合約將用 “burnFrom()”函數(shù)銷毀用戶的代幣,或用“transferFrom()”函數(shù)將用戶的代幣轉(zhuǎn)移到合約中。

要區(qū)別是哪種操作,可以在同一個函數(shù)中使用if-else語句?;蚴莿?chuàng)建兩個單獨的函數(shù)來處理每種場景。由于處理方式不同,如果用戶嘗試使用ERC-20充值函數(shù)來存入ETH,那么這些ETH可能會丟失。

在處理ERC-20充值請求時,用戶通常提供代幣地址作為輸入?yún)?shù)傳遞給充值函數(shù)。這會構(gòu)成重大風險,因為在交易過程中可能會發(fā)生不可信的外部調(diào)用。使用白名單來只包含跨鏈橋支持的代幣,是把風險降到最低的常見做法。只有列入白名單的地址會作為參數(shù)傳遞。這樣可以防止外部調(diào)用,因為項目團隊已經(jīng)過濾了代幣地址。

但是,當跨鏈橋處理原生代幣跨鏈傳輸時,也有個麻煩,因為原生代幣沒有地址。原生代幣可以使用一個特殊的地址來代表,即“零地址”(0x000... 0)。但這樣做存在一個問題,如果未正確實現(xiàn)白名單驗證邏輯,使用零地址傳遞給函數(shù)可能會繞過白名單驗證。

當跨鏈橋合約調(diào)用“TransferFrom”將用戶資產(chǎn)轉(zhuǎn)移到合約時,對零地址的外部調(diào)用會返回false,因為零地址中沒有實現(xiàn)“transferFrom”函數(shù)。但是,如果合約沒有正確處理返回值,交易仍可能繼續(xù)發(fā)生。這就會為攻擊者創(chuàng)造機會,使其不用向合約轉(zhuǎn)移任何代幣就能執(zhí)行交易。

配置錯誤

在大多數(shù)區(qū)塊鏈橋中,有一個特權(quán)角色負責將代幣和地址列入白名單或黑名單,分配或改變簽名者,以及其他關(guān)鍵配置。確保所有配置準確無誤非常關(guān)鍵,因為看似微不足道的疏忽也可能導(dǎo)致重大損失。

實際上,曾經(jīng)真的發(fā)生過攻擊者由于配置錯誤而成功繞過傳輸記錄驗證的事件。該項目團隊在黑客攻擊發(fā)生前幾天實施了協(xié)議升級,其中更改了某個變量。該變量是用來表示可信消息的默認值。這個更改導(dǎo)致所有消息都被自動認為是經(jīng)過驗證的,因此使攻擊者隨便提交一個消息就能通過驗證。

如何提高跨鏈橋的安全性

上面所述的四個常見跨鏈橋漏洞表明,在互聯(lián)區(qū)塊鏈生態(tài)系統(tǒng)中安全所面臨的挑戰(zhàn)不可小覷。要應(yīng)對這些漏洞,需要“因地制宜”地考慮,沒有哪個方法可以全能地對付所有漏洞。

例如,由于每個跨鏈橋都有獨特的驗證要求,因此僅僅提供通用準則就想確保驗證過程沒有錯誤,這很難做到。防止繞過驗證的最有效方法,是針對所有可能的攻擊向量對跨鏈橋進行全面測試,并確保驗證邏輯是合理的。

總而言之,必須針對潛在攻擊進行嚴格的測試,并特別注意跨鏈橋中最常見的安全漏洞。

結(jié)語

由于資金量巨大,跨鏈橋長期以來一直是攻擊者的目標。構(gòu)建者可以通過進行全面的部署前測試和納入第三方審計來加強跨鏈橋的安全,從而降低過去幾年來籠罩在跨鏈橋上的災(zāi)難性黑客攻擊的風險??珂湗蛟诙噫湹氖澜缰兄陵P(guān)重要,但在設(shè)計和構(gòu)建有效的Web3基礎(chǔ)架構(gòu)時,安全性必須是首要考慮因素。

到此這篇關(guān)于為什么區(qū)塊鏈橋的安全如此重要?常見的跨鏈橋接安全漏洞有哪些?的文章就介紹到這了,更多相關(guān)常見的跨鏈橋接安全漏洞內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章,希望大家以后多多支持腳本之家!

免責聲明:本文只為提供市場訊息,所有內(nèi)容及觀點僅供參考,不構(gòu)成投資建議,不代表本站觀點和立場。投資者應(yīng)自行決策與交易,對投資者交易形成的直接或間接損失,作者及本站將不承擔任何責任。!

你可能感興趣的文章

更多

熱門幣種

  • 幣名
    最新價格
    24H漲幅
  • bitcoin BTC 比特幣

    BTC

    比特幣

    $ 94308.33¥ 670305.88
    -1.25%
  • ethereum ETH 以太坊

    ETH

    以太坊

    $ 3129.35¥ 22242.16
    -0.81%
  • tether USDT 泰達幣

    USDT

    泰達幣

    $ 0.9991¥ 7.1012
    -0.03%
  • ripple XRP 瑞波幣

    XRP

    瑞波幣

    $ 2.2147¥ 15.7412
    -0.09%
  • binance-coin BNB 幣安幣

    BNB

    幣安幣

    $ 909.88¥ 6467.06
    -2.37%
  • solana SOL Solana

    SOL

    Solana

    $ 138.22¥ 982.41
    -1.06%
  • usdc USDC USD Coin

    USDC

    USD Coin

    $ 1.0006¥ 7.1118
    +0.02%
  • tron TRX 波場

    TRX

    波場

    $ 0.292¥ 2.0754
    -0.95%
  • dogecoin DOGE 狗狗幣

    DOGE

    狗狗幣

    $ 0.1596¥ 1.1343
    -0.75%
  • cardano ADA 艾達幣

    ADA

    艾達幣

    $ 0.4784¥ 3.4002
    -2.74%

幣圈快訊

  • 黃立成的ETH25倍多頭倉位遭遇部分強平,隨后再次增持倉位規(guī)模至1350萬美元

    2025-11-17 22:46
    據(jù)OnchainLens監(jiān)測,由于黃立成(@machibigbrother)所持ETH25倍多頭倉位的可用保證金過低,該倉位遭遇了部分強制平倉。盡管平倉時該倉位仍為盈利狀態(tài),但他隨后再次增持了倉位。目前該倉位總值1,350萬美元,浮動盈利為37萬美元。

  • 杰斐遜:就業(yè)下行風險上升,需謹慎調(diào)整政策

    2025-11-17 22:44
    美聯(lián)儲副主席杰斐遜周一表示,他認為就業(yè)的下行風險有所上升,但重申,隨著利率接近“中性”水平,決策者需要更加謹慎地推進政策調(diào)整。他指出,經(jīng)濟中的風險平衡已經(jīng)發(fā)生變化,通脹向2%目標前進的進展似乎已停滯,主要受關(guān)稅影響。杰斐遜表示,他將繼續(xù)依賴數(shù)據(jù),并采取“逐會決策”的方式。

  • VanEckSolanaETF現(xiàn)已正式上線并開始交易

    2025-11-17 22:43
    VanEck在X平臺發(fā)文宣布,其旗下VanEckSolanaETF(代碼VSOL)現(xiàn)已正式上線并開始交易。

  • 某巨鯨再次買入3139.74枚ETH,已累計建倉6082.74枚ETH

    2025-11-17 22:41
    據(jù)鏈上分析師@ai_9684xtpa監(jiān)測,此前監(jiān)測的持倉規(guī)模達1.24億美元的巨鯨過去半小時又買進了3139.74枚ETH,價值990萬美元。自11月15日至今建倉的ETH數(shù)量已增長至6082.74枚,總價值1918萬美元,平均成本3153.82美元。

  • 美司法部成立“打擊詐騙中心工作組”:FBI特工已對緬甸兩窩點出手

    2025-11-17 22:38
    據(jù)美國司法部官網(wǎng)11月12日發(fā)布的聲明,美國華盛頓哥倫比亞特區(qū)聯(lián)邦檢察官珍妮·費里斯·皮羅與聯(lián)邦執(zhí)法部門和跨部門合作伙伴共同宣布成立華盛頓哥倫比亞特區(qū)首個“打擊詐騙中心工作組”。具體來說,“打擊詐騙中心工作組”由華盛頓聯(lián)邦檢察官辦公室、司法部、聯(lián)邦調(diào)查局(FBI)及美國特勤局聯(lián)合組建。據(jù)稱,該工作組已經(jīng)投入運作,其緬甸分隊已對緬甸兩個詐騙中心采取了行動。其在緬甸泰昌詐騙窩點查獲了用于詐騙美國公民的網(wǎng)站,并正在申請對另一個緬甸詐騙中心的搜查令,以查獲用于洗錢和詐騙活動的衛(wèi)星終端。此外,該工作組還派遣了FBI特工前往泰國曼谷,與泰國當局合作共同打擊類似于緬甸KK詐騙園區(qū)一樣的犯罪窩點。(紅星新聞)
    • 查看更多