十字准线中的交叉链：黑客需要更好的防御机制

2022 年是黑客在新生的 Web3 和去中心化金融 (DeFi) 领域大赚一笔的一年，超过价值 20 亿美元的加密货币被盗 迄今为止，在几次备受瞩目的黑客攻击中。跨链协议受到的打击尤其严重，Axie Infinity 的 6.5 亿美元 Ronin Bridge 黑客攻击占今年被盗资金的很大一部分。

掠夺一直持续到 2022 年下半年，因为跨链平台 Nomad 从钱包中流失了 1.9 亿美元。 Solana 生态系统是下一个目标，黑客获得了大约 8000 个钱包的私钥，从而获得了价值 500 万美元的 Solana（太阳 ） 和Solana 程序库 (SPL) 代币被盗 .

deBridge Finance 设法在 8 月 8 日星期一回避未遂的网络钓鱼攻击 ，解压缩该公司怀疑是朝鲜拉撒路集团黑客使用的广泛攻击媒介所使用的方法。仅仅几天后，Curve Finance 被利用 看到黑客将用户重新路由到一个假冒网页导致价值60万美元的盗窃 美元硬币（美国中央银行 ).

多点故障

deBridge Finance 的团队在与 Cointelegraph 的通信中对这些攻击的普遍性提供了一些中肯的见解，因为他们的许多团队成员之前曾在一家著名的反病毒公司工作。

联合创始人 Alex Smirnov 强调了跨链协议的目标背后的驱动因素，因为它们作为满足跨链价值转移请求的流动性聚合器的角色。这些协议中的大多数都希望通过流动性挖掘和其他激励措施尽可能多地聚集流动性，这不可避免地成为了不法分子的蜜罐：

“通过锁定大量流动性并在无意中提供多种可用的攻击方法，桥梁正在使自己成为黑客的目标。”

Smirnov 补充说，桥接协议是一种中间件，它依赖于它们聚合的所有受支持区块链的安全模型，这大大增加了潜在的攻击面。这也使得在一个链中执行攻击以从其他链中获取流动性成为可能。

有关的：跨链桥有安全的未来吗？

Smirnov 补充说，Web3 和跨链空间正处于萌芽阶段，随着团队从他人的错误中吸取教训的迭代发展过程。 deBridge 的联合创始人与 DeFi 领域前两年的漏洞利用行为相提并论，他承认这是一个自然的磨合过程：

“即使在 Web3 的背景下，跨链空间也非常年轻，所以我们看到了同样的过程。跨链具有巨大的潜力，不可避免地会有更多的资金流入，黑客会分配更多的时间和资源来寻找攻击向量。”

Curve Finance DNS 劫持事件也说明了不法分子可用的各种攻击方法。 Bitfinex 首席技术官 Paolo Ardoino 告诉 Cointelegraph，该行业需要防范所有安全威胁：

“这次攻击再次表明，黑客的聪明才智对我们的行业构成了近乎且永远存在的危险。黑客能够更改协议的 DNS 条目、将用户转发到虚假克隆并批准恶意合同这一事实充分说明了必须提高警惕的程度。”

遏制潮流

随着漏洞利用变得普遍，项目无疑会考虑减轻这些风险的方法。考虑到攻击者可以使用的一系列途径，答案远非明确。斯米尔诺夫喜欢用“瑞士奶酪模型”来衡量。在概念化桥接协议的安全性时，执行攻击的唯一方法是瞬间排列多个“漏洞”。

“为了使风险水平可以忽略不计，每层上的孔的大小应尽可能小，层数应最大化。”

考虑到跨链平台中涉及的活动部分，这又是一项复杂的任务。构建可靠的多级安全模型需要了解与跨链协议相关的风险多样性以及受支持链的风险。

主要威胁包括支持链的共识算法和代码库的漏洞、51% 攻击和区块链重组。验证层的风险可能包括验证者的勾结和受损的基础设施。

软件开发风险也是另一个考虑因素，智能合约和桥接验证节点中的漏洞或错误是关键关注领域。最后，deBridge 将协议管理风险（例如协议授权密钥泄露）作为另一个安全考虑因素。

“所有这些风险都会迅速加剧。项目应该采取多方面的方法，除了安全审计和漏洞赏金活动之外，还要将各种安全措施和验证纳入协议设计本身。”

社会工程，通常称为网络钓鱼攻击，是另一个需要考虑的问题。尽管 deBridge 团队设法阻止了这种类型的攻击，但它仍然是最常见的攻击之一对更广泛生态系统的普遍威胁 .教育和严格的内部安全政策对于避免成为这些窃取凭据和劫持系统的狡猾企图的牺牲品至关重要。