区块链桥允许去中心化金融 (DeFi) 用户跨多个区块链使用相同的代币。 例如,交易者可以使用 USD Coin (美国中央银行) 在以太坊或 Solana 区块链上与这些网络上的去中心化应用程序 (DApps) 进行交互。
虽然这些协议对 DeFi 用户来说可能很方便,但它们存在被恶意行为者利用的风险。 例如,在过去的一年里,Wormhole 桥——Solana、以太坊、Avalanche 等之间流行的跨链加密桥——遭到黑客攻击,攻击者 窃取超过 3.21 亿美元 价值包装的以太坊(wETH),这是当时 DeFi 历史上最大的黑客攻击。
仅仅一个多月后,也就是 2022 年 3 月 23 日,浪人网桥——Axie Infinity 的基于以太坊的侧链——被 被黑客入侵超过 6.2 亿美元,8 月 2 日,Nomad 桥被 被黑客入侵超过 1.9 亿美元. 总共超过 25亿美元被盗 来自 2020 年和 2022 年之间的跨链桥。
无信任桥,称为非托管或去中心化桥,可以提高用户跨链传输的安全性。
什么是区块链桥?
跨链桥是一种允许将资产或数据从一个区块链网络发送到另一个区块链网络的技术。 这些桥梁允许两个或多个独立的区块链网络相互交谈并共享信息。 跨链桥提供的互操作性使得将资产从一个网络转移到另一个网络成为可能。
最近的: SEC vs. Kraken:攻击加密货币的一次性或开场白?
大多数桥接技术都在两个区块链上使用智能合约来使跨链交易成为可能。
跨链桥可以移动许多资产,例如加密货币、数字代币和其他数据。 使用这些桥梁可以让不同的区块链网络更容易协同工作,并让用户能够利用每个网络的独特功能和优势。
受信任的桥梁与不信任的桥梁
谈到桥接协议,有两种主要类型,集中式(可信)桥接和分散式(无信任)桥接。 受信任的网桥由中心化实体管理,一旦代币转移到网桥,这些实体就会保管代币。 托管桥的一个主要风险是单点故障(集中式托管),这使得它更容易成为黑客攻击的目标。
无需使用集中式保管人跨区块链转移代币,无需信任的桥梁使用智能合约来完成该过程。
智能合约是在满足条件后执行某些操作的自动化程序。 因此,无信任桥被视为更安全的替代方案,因为每个用户在传输过程中都保管着他们的代币。
但是,如果智能合约代码存在开发团队未识别和修复的漏洞,则无信任桥仍然可能受到损害。
基于区块链的支付协议 Nimiq 的区块链研究员兼核心开发人员 Pascal Berrang 告诉 Cointelegraph,“一般来说,使用跨链桥会比使用单一区块链带来额外的风险。”
“它通过区块链、潜在的托管人和智能合约增加了攻击面。 有多种类型的跨链桥,它们在这些风险方面有不同的权衡。” 他继续:
“跨链桥自然涉及两个或多个区块链,通常使用不同的安全机制。 因此,桥接资产的安全性取决于桥接中最弱的区块链。 例如,如果其中一条区块链受到攻击,将有可能在其中一条链上恢复跨链交换,但不能在另一条链上恢复——从而导致资产失衡。”
Berrang 还强调了与被锁定在桥中的桥接资产相关的漏洞。 “资金通常存储或锁定在一个中心位置,构成一个单一的故障点。 根据桥梁的类型,这些资金面临不同的风险:在基于智能合约的桥梁中,这些合约中的错误会使桥接资产变得一文不值,”Berrang 说。
“一个例子可能是一个允许无限铸造新桥接代币的错误。 如果托管人行为不当或他们的密钥被盗,受信任的托管人运营的桥梁将面临交易对手风险,”他补充说。
自动化做市商 Balancer 的增长主管 Jeremy Musighi 认为,额外的风险在于区块链桥的复杂性,他告诉 Cointelegraph,“跨链桥会带来一些重大风险。 安全是最大的风险之一; 由于实施跨链桥的复杂性和难度,它们很容易出现错误和漏洞,恶意行为者可以利用这些错误和漏洞来窃取资产或执行其他恶意操作。”
Musighi 还指出,可扩展性问题给桥接过程带来了进一步的风险,他说:“另一个风险是可扩展性,因为跨链桥可能无法处理大量流量,从而导致延迟和用户成本增加。”
保护桥梁免受攻击
开发人员可以通过实施多种安全措施来防止跨链桥被黑客攻击,这些措施有助于确保转移资产的机密性、完整性和真实性。
最重要的措施之一是确保构成跨链桥核心的智能合约代码安全且没有漏洞。 这可以通过定期安全审计、错误赏金计划和代码审查来实现,这有助于识别和修复潜在的安全问题。
开发人员可以采取的另一项措施是使用加密算法,例如数字签名和哈希函数,以确保资产和信息在不同区块链网络之间的传输安全。 这有助于确保转移的资产受到保护,并且任何恶意行为者都无法干扰转移过程。
此外,定期网络监控对于检测可疑活动和防止攻击至关重要。 通过监控网络,开发人员可以检测到任何安全问题,并在它们造成任何危害之前采取适当的措施加以解决。
最后,开发和部署安全的跨链桥需要遵循最佳实践,例如安全编码实践、测试和调试以及安全部署方法。 这样做,开发人员可以帮助确保跨链桥的安全性和稳定性。
防止跨链桥被黑客攻击需要结合安全代码、加密算法、强大的共识机制、网络监控和遵循最佳实践。
不信任的桥梁是更好的解决方案吗?
只有在对智能合约代码进行全面审计以确保不存在漏洞的情况下,无信任桥才能为跨区块链桥接资产提供更安全的解决方案。
去信任桥的主要安全优势是用户在整个过程中保持对他们代币的保管,智能合约负责转移过程。 此外,由于没有中央机构来锁定代币,因此桥接器更难受到攻击,因为没有单点故障。
Musighi 告诉 Cointelegraph,“我通常认为无信任桥比可信桥更安全,因为它们透明运行并依赖去中心化网络来验证和促进链之间的资产转移,而可信桥依赖于中心化的第三方,这意味着是单点故障和黑客攻击的集中攻击面。”
“不信任的桥梁更容易审计,并且具有信任最小化的明显好处。 由于许多中心化桥梁还利用(更简单的)智能合约,因此可以将无信任桥梁视为风险较低但并非无风险的选择,”Berrang 说。
随着去中心化金融空间的成熟,开发人员必须采取额外措施来确保跨链桥的安全。 然而,随着加密用户对自我托管和去中心化越来越感兴趣,去信任桥可能会越来越受欢迎。