DeFi区块链桥虫洞受到骇客攻击 骇走3.2亿美元加密货币
新闻来源连结:
https://bit.ly/3sAOTkk
新闻本文:
全球第二大去中心化金融平台DeFi“虫洞”(Wormhole)被骇走价值3.2亿美元加密货币
,创史上第4大加密货币劫案,也突显加密货币平台屡招攻击趋势和安全性问题,更令快
速成长的DeFi再受打击。
“虫洞”是一个可使不同加密货币网络交流资讯的网络平台。2月2日,DeFi 虫洞(
Wormhole)是连接以太坊和 Solana 区块链,最受欢迎的桥梁之一,遭到骇客攻击,导致
Solana受到影响并降低了大约 10% 的价格。其实,这并非第一次发生骇客抢劫事件。之
前,骇客从 DeFi 协定Qubit Finance 中窃取了 8000 万美元。而最大的骇客攻击发生在
去年(2021) 8 月,从 Poly Network 平台被盗价值 6 亿美元的代币。但奇怪的是,攻击
者随后退回了所有的钱,因为他们的目的是暴露系统漏洞及展现骇客攻击能力。
进行跨区块链桥接
桥接bridge是一种协定(portocol),允许用户在不同的区块链之间“桥接”或移动加密货
币、代币和 NFT 等虚拟资产。加密货币持有者通常不会只在一个区块链生态系统中运作
,因此开发人员创建了桥梁来进行虚拟交易的转换。而Defi推出虫洞Wormhole 锁定的总
价值超过 10 亿美元,支持六种区块链:Terra、Solana、Ethereum、Binance Smart
Chain、Avalanche 和 Polygon。
发生骇客攻击
美国加密货币交易所和银行 Kraken 的首席安全官 Nicholas Percoco 表示,桥接骇客
(bridge hack)是指在连接两个不同区块链的桥接合约中,发现并利用漏洞。也就是说,
桥接骇客发现Solana 和以太坊之间交易的 Wormhole 桥出现漏洞而成为下手目标,攻击
者能够在Solana的桥端新产生代币,并从桥合约的以太坊端盗取余额代币,相当于超过
3.2亿美元。
根据美国新泽西州罗格斯商学院的区块链专家和金融科技教授 Merav Ozair 博士的说法
,骇客攻击发生在“Bridge”上,这是第 2 层而不是第 1 层,因此不是加密货币而是自
己被骇了。如果,区块链生态系统希望扩大规模并成为主流,就必须了解如何在去中心化
应用程序或平台中实施审计机制(audit mechanism)。
第 1 层是用于描述底层主要区块链架构(即区块链,例如 Ethereum 或 Solana、
Avalanche 或 Algorand)的术语。第 1 层几乎不可能被破解。
但第 2 层,即位于底层区块链(例如虫洞桥)之上的覆蓋网络,安全性较低,因此更容
易受到代码漏洞利用的影响。
就像,两个城市之间有一座桥,攻击发生在城市之间的桥上,但两座城市都没有受到攻击
或损坏。因此,解决方案应该是创建更安全的区块链桥梁,以屏蔽任何潜在的攻击。区块
链是在网络运作的一种软件,容易受到错误代码的影响及被利用。
由于,区块链生态系统存在风险,资安专家一直主张应该有一种安全机制(security
protocols),在任何应用程序完全启动之前对其进行审核。这种机制已经存在于集中式系
统中,例如 Apple 的应用程序中。专家认为,区块链生态系统如果希望扩大规模并成为
主流,就必须了解如何在去中心化应用程序或平台中实施审计机制。
DeFi平台运作概念
DeFi 是一种新兴的金融技术,具有称为智能合约的可编程代码片段,可以在交易中取代
银行和律师等中间人。 DeFi让客户不必直接向银行等传统金融把关单位来借款、放款和
存款,而是使用加密货币,因此吸引大笔现金流入这类平台。还有,DeFi存款报酬率高而
吸引投资人。随着DeFi平台飙速成长,也吸引骇客高度攻击风险,甚至进行犯罪洗钱。近
期,DeFi Technologies 看准零碳排商机,而加入加密气候协议(CCA),希望提供去中心
化金融进行碳交易服务。
评论:
网络骇客偷走 12 万 wETH(包装过的以太币),Wormhole回应该问题已经解决,但此事件再度凸显区块链的资安问题。