LANA:跨链桥接连出事 用户如何自救?

作者:夫如何

7月7日,价值超1亿美元的代币已从Fantom网络上的Multichain桥上撤出,转移的代币包括价值5800万美元的稳定币USDC、1020枚WBTC(约合3090万美元)、7200枚WETH(约合1370万美元)和400万美元稳定币DAI(上述四种代币价值已超1亿美元),这还包括Chainlink、CurveDAO、YFI、WootradeNetwork等其他代币以及UniDex总供应量的近四分之一。资产似乎也在Multichain的Moonriverbridge上移动,其中包括480万枚USDC和100万枚USDT。Dogechain也出现了异常资金流动,至少66万枚USDC被发送到与Moonriver资金流动相同的钱包。

数据:Harmony跨链桥黑客转移4.1万枚ETH,并存入三个交易所:1月16日消息,链上数据分析师Zach XBT发推称,疑似朝鲜黑客组织Lazarus Group通过DeFi隐私协议Railgun从Harmony跨链桥黑客那里转移了约4.1万枚ETH(6350万美元),然后整合资金并存入三个不同的交易所。

据悉,去年6月24日Harmony跨链桥Horizon遭到攻击,损失金额约1亿美元;随后区块链研究公司Elliptic分析称Lazarus Group被认为是在Harmony跨链桥Horizon盗取1亿美元的幕后黑手。[2023/1/16 11:13:52]

对此,Multichain发推称:其MPC地址上的锁定资产已异常移动到未知地址。团队不确定发生了什么,目前正在进行调查。建议所有用户暂停使用Multichain服务,并撤销所有与Multichain相关的合约授权。

Wanchain跨链桥WanBridge已集成Fantom:11月18日消息,Wanchain跨链桥WanBridge已集成Fantom,可以实现与FTM等Fantom链上资产的多链互跨,此前Wanchain通过跨链桥WanBridge已跨链集成Ethereum、EOS、XRP、BSC、Polkadot、Litecoin、Moonriver、Avalanche在内的区块链网络。

注:WanBridge跨链桥由25个跨链节点(Storeman)组成,每个节点通过每月的公开竞选产生,整个跨链节点组的密钥控制方式是分布式的,每个节点只掌握一个私钥碎片,通过安全多方计算和门限最优签名完成资产的跨链转账。[2021/11/18 22:01:30]

Odaily星球日报通过多个渠道了解,有以下几个方面说法:

QuarkChain提出可即时存入提取的Optimistic跨链桥方案:10月8日消息,QuarkChain今日在推特介绍其设计的一种新的Optimistic桥方案,可以用于任意两个基于EVM的Layer1协议之间进行跨链存入提取,操作可立即完成且不要求两个协议间使用相同的共识。

QuarkChain提出的方案是基于两条EVM链间(即桥)ERC20 Token的Optimistic跨链传输,能够实现即时存入提取,而非大多数桥需用户较长时间等待的两步(请求/挑战)机制。其基本设计思想在于,满足一定前提条件(有质押且可信)时,允许所有人无限铸造标的Token。[2021/10/8 20:13:53]

安全公司派盾质疑:这可能与跨链平台LayerZero增加对四种代币(USDC、USDT、WETH和WBTC)的支持有关,这些代币与被移动的代币有重合但不完全一致。

支持Aave的ETH-Matic跨链桥已开放:首个支持Aave的ETH-Matic跨链桥已经开放,用户可在DeFi协议和L2网络之间转移Aave和其他代币。跨链桥的智能合约将用户的Aave 的aTokens(例如aUSDC)转换为maTokens,然后在Matic网络上提供给用户。(Cointelegraph)[2021/1/22 16:46:19]

LayerZeroCEOBryanPellegrino对此回应称:这个问题与该平台无关,并认为这是一次针对Multichain的黑客。Multichain桥用户可能会提取资产,将其带到LayerZero。

Wintermute研究主管IgorIgamberdiev表示,这很可能是控制Multichain的人所为,因为交易发生时,Fantom一侧的资金并没有被销毁。奇怪的是,收到大量USDC的钱包还在几个小时前从旧的BinanceSmartChain(即BNB Chain)桥上进行了交易。

新火科技研究员0xLoki在推特上表示:“Multichain攻击者大概率不是黑客,Multichain或已失去MPC多签控制权。"并列下以下3点阐述:

1. 转移者有充足的时间,考虑到MPC的技术特点,转移者很可能通过某种方式完全取得了超过阈值的私钥分片的控制权。

2. 攻击方式非常简单,就是单纯的转账操作,没有合约,还有测试,攻击者大概率不是黑客。

3. 转移者并未进行进一步的处置和变现,操作人可能没有绝对的决定权。

目前,事件的真相还需官方做出解答,Odaily星球日报查看 DefiLlama上关于Multichain的TVL变化,发现24小时内已经有99.76%的资金撤出,说明用户针对此事件反应相对猛烈。

3444444444444

距离上次PolyNetwork黑客事件还不到一周时间,跨链桥中头部项目Multichain再次发生资金风险问题。当下,跨链桥已经成为黑客攻击等安全事故的重灾区,根据0xScope团队在《跨链桥为什么这么多事故?》中表述,跨链桥资金风险主要体现在三个方面:

1. 充值代币方面:充币合约权限漏洞、假币充值问题、币种适配性问题。

2. 跨链消息转移:充币消息监听和处理发起、充币正确性验证、跨链处理确认。

3. 多重签名验证问题:多重签名的去中心化程度。

在万链互联的大环境下,跨链桥作为互联的关键点,其沉淀巨额资金,并且自身技术复杂、技术环节较多,加上其频繁更新,极易作为黑客攻击的首选,目前出事的项目一定是有漏洞被利用,还没出事的项目也无法保证未来就不会有问题。我们应该如何自救?

1. 当事故出现时,尽快撤销对该跨链桥的合约授权,防止进一步风险蔓延,可以通过所在区块链的浏览器中approvalchecker进行撤销,同时建议大家定期审核清理一些对自身无用的合约授权,黑客常常会通过智能合约中的漏洞来多次提取资产。

2. 有频繁跨链需求的用户需要密切关注跨链桥的相关信息,比如安全公司预警的风险提示,官方预告的升级等,第一时间了解做好应对准备。

作为跨链桥 LP 的参与者,面对此类事件,要积极与项目方沟通,锁定的资产要做好记录,等待事后的解决。

金色财经

企业专栏

阅读更多

金色早8点

Block unicorn

DAOrayaki

曼昆区块链法律

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

链链资讯

币赢交易所NBS:NFT数字藏品新玩法 师徒邀请奖励当心成

01 数藏行业新玩法 近期,数字藏品行业出现了一种新的获客玩法:师父排行榜。具体玩法是数藏平台为鼓励拉新,创设了“师徒制”:每个新加入的用户是“徒弟”,而邀请TA加入的则为“师父”。每有徒弟加入,师父都会获得相应的现金奖励,徒弟越多,师父奖励就越多,奖励高的师父会在排行榜排名靠前,前三名还会有金银铜牌标志。

[0:15ms0-2:381ms