Loading...
跨链桥/协议攻击往往类似,本质上都是跨链机制的结构性弱点被利用。跨链协议锁住/持有大量原生资产(或流动性),形成“蜜罐”。 这次THORChain影响BTC、ETH、BSC、Base多链,也是因为资金分散但验证/路由逻辑统一。 从历史上看,目前跨链桥/协议的攻击向量有: 1. Wormhole 2022年3.2亿美元被黑事件,出现签名验证bug,属于签名/验证绕过。 2. Nomad 2022年1.9亿美元被黑事件:配置错误导致任意消息通过,属于合约逻辑错误。 3.Ronin 2022年6.25亿美元被黑事件:5/9密钥被盗,属于多签/密钥被攻破。 THORChain这次通过Router合约和Vaults抽资,和许多流动性桥的“burn-mint”或swap逻辑漏洞类似,属于 Router/Vault/桥接器漏洞。 2022-2026年间,桥/跨链相关损失大约超过28亿美元,占DeFi总黑客损失的很大比例,而上个月Kelp事件(LayerZero桥,2.9亿美元)刚刚发生不久。 为什么跨链桥/协议总是出问题? 跨链本质是连接不同安全模型的链,由此引入了额外复杂性和信任假设,有比单链DeFi有更大攻击面: 涉及多链智能合约 + 链下组件(验证者、Relayer、Oracle)。 一个链的安全不等于整体安全。桥上代码、消息传递、验证逻辑任何一环出问题都可能全盘崩溃。 有些桥/协议的信任模型也不够完善,比如许多依赖多签/少量验证者(低门槛易被攻破);消息验证复杂(导致假存款事件、签名伪造、重放攻击);升级/配置风险(可升级合约或参数错误常被利用)。(蓝狐)