图片来源@视觉中国

Ronin上发生的攻击已经过去几天,随着后续处理方案的出现,事件的余波却毫无平静下去的意思。3月30日,Ronin代币RON价格受到攻击的影响大幅度跳水,并在震荡之后日渐走低,4月11日还创下了代币上市以来的新低。Axie Infinity代币AXS同样受到影响,走低势头明显,于4月11日逼近历史价格低点。

图:CMC显示,RON的价格在攻击后持续走低

Axie Infinity及Ronin链开发公司Sky Mavis 9日表示,Ronin桥被攻击并不是因为智能合约存在漏洞,而与社会工程和人为错误有关。攻击者在九个验证节点中,获得了其中五个验证节点签名者账户的签名,从而进行了51%攻击,成功卷走了价值6.25亿美元的代币,并开始将它们逐步转移到混币器中洗白。

为什么跨链桥不需要中心化?

可以说,Ronin跨链桥受到攻击的根本原因是过于中心化的结构。攻击者通过某些手段同时获得半数以上的验证节点秘钥,从而发动51%攻击的案例在区块链行业几乎可以说得上是及其罕见——尤其是在一个资金流通量这么巨大的项目上。2018年,EOS公布了其21个超级节点的计划,遭到了整个区块链行业“不够去中心化”的批评,9个验证节点的Ronin跨链桥在受到攻击前却从未受到过非议,不得不说是行业对跨链桥的一种歧视了:跨链桥不需要去中心化,需要的是更高的效率。

在多链生态逐渐丰富的今天,跨链桥成为了整个虚拟货币行业中必不可少的基础设施。在跨链桥出现之前,主流的跨链资产互通方式是利用中心化交易所进行兑换,虽然效率不低但受限于交易所提供的交易对,部分资产甚至要兑换多次,耗损甚巨。

为什么跨链桥不需要安全?

与交易所兑换相比,基于Layer 2的各种资产跨链服务的兴起无疑在效率和成本方面有着更大的优势,越来越丰富的跨链桥项目也省去了多次兑换的麻烦。随着跨链桥上流动的资金量日益庞大,越来越多的攻击者盯上了这块肥肉。与之相对的却是跨链桥的安全水平和去中心化程度的双双低下,给攻击者提供了大量机会。甚至可以说,跨链桥的安全性和去中心化水平始终处于被忽视的境地。

去年8月,运行在以太坊、BSC和Ploygen上的跨链桥Poly Network受到白帽黑客攻击,涉及资金约6亿美元。Poly Network被攻击的原因是跨链过程中的部分步骤缺乏有效的校验,不同链之间的交易确认过程存在缺陷从而被黑客利用。

今年2月,运行在以太坊和Solana 上的跨链桥Wormhole受到攻击,损失约3.26亿美元。该项目被攻击的原因是攻击者伪造了一个关键账户,从而绕开了验证,在ETH上铸造了12000枚ETH。

这两次攻击事件和Ronin跨链桥上发生的攻击共同成为了DeFi史上金额最大的三次攻击。作为多链生态的重要基础设施,跨链桥一方面承担着巨量的资金流动,同时却在安全性和去中心化水平上受到了忽视。这与跨链桥本身的位置息息相关:作为承担价值流通的“桥梁”,最重要的是其可用性和效率,在老生常谈的不可能三角中,效率的位置被大大提高了,同时带来另两个角的问题并不奇怪。可以说,Poly Network和Wormhole出现的合约漏洞、Ronin跨链桥出现的去中心化风险都是过分追求效率导致的。

本文原发布于链得得,授权钛媒体App发布,作者:大文

推荐内容