區塊鏈跨鏈橋安全問題凸顯
近日,加密貨幣網絡Ronin披露了一起黑客攻擊事件,肇事者攜價值5.4億美元的以太坊和USDC穩定幣逃之夭夭。此次事件可謂幣圈史上最大搶劫案之一,專從名為Ronin Bridge的跨鏈橋服務中竊取資金。最近幾年,成功拿下“區塊鏈橋”的攻擊變得越來越普遍,Ronin跨鏈橋攻擊事件正好凸顯出這一問題的緊迫性。
區塊鏈橋亦稱跨鏈橋,是供用戶在不同區塊鏈之間轉移數字資產的應用程序。加密貨幣通常各自為政,缺乏互操作性——你無法在比特幣區塊鏈上用狗狗幣(Dogecoin)進行交易。因此,跨鏈橋就成為了加密貨幣經濟當中非常關鍵的機制,算是缺失的一環吧。
跨鏈橋服務可以“封裝”加密貨幣,從而將一種加密貨幣轉換為另一種。所以,如果你通過某個跨鏈橋服務使用另一種加密貨幣,例如比特幣(BTC),該跨鏈橋就會生成封裝比特幣(WBTC)。這種區塊鏈橋就好像禮品卡或支票,能夠以另一種形式靈活表示儲值。跨鏈橋需要加密貨幣儲備來為所有這些封裝幣提供擔保,這一加密貨幣儲備就是黑客的主要目標。
James Prestwich的工作是研發跨鏈通信協議,他表示:“任何鏈上資本都處在全天候攻擊之下,跨鏈橋始終都會是熱門攻擊目標。由于人們總在尋求加入新生態系統的機會,跨鏈橋也將繼續發展壯大。隨著時間的推移,我們會逐漸職業化,開發出各種最佳實踐,會有更多人能夠構建和分析跨鏈橋代碼。跨鏈橋太新了,以至于這方面的專家都沒有幾個。”
除了Ronin劫案,攻擊者還在1月份從Qubit Bridge盜走價值約8000萬美元的加密貨幣。2月初則是Wormhole Bridge失竊價值約3.2億美元的加密貨幣。此后沒幾天,Meter.io Bridge被盜價值420萬美元的加密貨幣。值得一提的是,Poly Network跨鏈橋去年8月被偷走價值約6.11億美元的加密貨幣,但攻擊者幾天后又還回來了。上述所有攻擊中,黑客都利用了軟件漏洞來盜取資金,但Ronin Bridge劫案的漏洞與眾不同。
Ronin的締造者是越南公司Sky Mavis,這家公司開發了基于非同質化通證(NFT)的流行視頻游戲Axie Infinity。這起跨鏈橋攻擊事件中,攻擊者似乎采用社會工程方法騙得在此網絡上驗證交易所需的私有加密密鑰。而這些密鑰的設置方式不夠嚴格,導致攻擊者能夠以此驗證交易,自行批準他們的惡意提款。
3月29日,Sky Mavis在關于該事件的聲明中寫道:“正如我們所見證的,Ronin也未幸免于難,這次攻擊凸顯了優先考慮安全、保持警惕和緩解所有威脅的重要性。”
Ronin在3月29日發現了漏洞,但平臺的“驗證節點”早在3月23日就遭到了入侵。攻擊者盜走了17.36萬枚以太幣和價值2550萬美元的USDC。Ronin Bridge此后一直處于宕機狀態,用戶無法在平臺上進行交易。
“這起黑客事件很是令人憂慮,因為Ronin團隊似乎未能遵從眾所周知的基本安全實踐。”從事跨鏈通信協議研發的Prestwich說道,“被黑幾天都毫無所覺,說明團隊對其系統缺乏基本的監測——標準安全實踐會為異常事件或大筆資金流動設置自動電子郵件和短信警報。”
Ronin被黑事件或許代表著跨鏈橋黑客攻擊的迭代,因為這起事件背后的黑客團伙并未像其他大多數跨鏈橋攻擊那樣利用特定軟件漏洞,而是專注傳統社會工程攻擊和利用安全設計缺陷。特別是,其他攻擊針對的是跨鏈橋在“智能合約”實現方式上的漏洞(智能合約是在特定條件下于特定時間點運行的一小段區塊鏈程序——本質上是一種自執行的合約)。但通過社會工程方法接管特權目標賬戶也是一直以來廣為使用的經典攻擊策略,這種策略同樣適用于去中心化金融領域。
“不僅僅是跨鏈橋,各種去中心化金融(DeFi)平臺從來就沒逃過社會工程和相關私鑰泄露的攻擊。”區塊鏈分析與合規公司Elliptic加密貨幣威脅分析師Arda Akartuna如此說道,但是,相比代碼漏洞利用,這類方法被監測到的次數還是相對較少。雖然Ronin事件的成功可能會啟發其他黑客,但并沒有任何跡象表明基于社會工程的漏洞利用正變得更加普遍。”
底層技術逐漸發展成熟的同時,加密貨幣平臺和整個去中心化金融運動一直受到安全問題的困擾。隨著加密貨幣淘金熱的不斷升溫,共同支撐這一新興金融生態的各種服務將會經歷激烈的考驗。跨鏈橋攻擊或許是新型加密貨幣交易所黑客攻擊,但這類攻擊利用的是同樣的問題,也就是為滿足新的需求而倉促拼湊存有大量價值的高風險平臺。
Akartuna指出,若想更好地保護跨鏈橋,就需要對平臺的復雜代碼進行更多監管和審計。各平臺本就晦澀難懂,通聯其間的服務自然不能未經全面而持續的審查就匆忙對接。
不過,Akartuna也補充道,有些跨鏈橋安全問題其實源于外部。
“有些情況下,與跨鏈橋交互的區塊鏈相對鮮為人知,安全審計沒那么普及。也就是說,相較于僅運行在知名區塊鏈上的DeFi平臺,這類小眾平臺的協議留有未修復安全漏洞的概率更高。”
研究人員警告稱,就目前而言,區塊鏈跨鏈橋黑客攻擊事件還將繼續出現。
