更新于:2025 年 6 月 30 日
阅读需 5 分钟
作者:Oleh Malanii
跨链桥——允许在并行区块链之间交换价值的应用程序——对区块链提出了挑战,因为它们需要能够信任和验证外部信息。 Chainalysis 数据显示,在过去两年中,桥黑客攻击占 DeFi 领域被盗资金总额的惊人 69%,这更加凸显了对强大跨链安全的需求。
为了解决这个问题,Coinchange 联合 LI.FI 和 Hacken 共同发布了一份关于“跨链互操作性和安全性”的报告。这项综合研究强调了互操作性在区块链生态系统中的重要性,指出了挑战,并提供了专家解决方案。 在这里,我们展示主要发现的快照。
查看完整的跨链互操作性和安全报告。
互操作性对区块链生态系统的重要性
随着越来越多具有不同设计、编码语言和共识机制的区块链被开发出来,区块链互操作性已成为生态系统中的必需品。 如果没有它,不同区块链之间的价值交换是复杂的,并且资产的流动性是分散的。 互操作性对于实现区块链技术的全部潜力至关重要,因为它允许数据和资产在区块链之间无缝移动,从而提高互连性并增强资产的流动性。
定义跨链互操作性
跨链互操作性是指不同区块链相互通信和交换价值的能力。它涉及在其他区块链之间构建桥梁,以实现资产和数据在它们之间的无缝移动。 这些桥梁充当基于规则的协议,是扩展解决方案的基础,并使用消息传递基础设施来确保不同区块链之间的安全通信。
有几种方法可以使区块链实现互操作:
- 互操作性协议。 这些协议旨在促进不同区块链之间的通信和价值转移。 例子包括 Polkadot、Cosmos 和 Aion。
- 侧链。 这些是连接到主区块链的单独区块链,允许交易发生在具有相同资产的单独链上。 例子包括比特币的侧链 RSK 和以太坊的侧链 Plasma。
- 原子互换。 这些允许在没有中间人的情况下交换一种加密货币,从而实现跨链交易。 例子包括闪电网络,用于比特币上的原子互换。
- 跨链桥。 这些旨在连接不同的区块链,并实现资产和数据在它们之间的转移。 例子包括 Wormhole,它被 Uniswap 选择用于以太坊和币安智能链之间的跨链治理消息传递。
跨链桥概念概述
在区块链技术的背景下,桥是建立在消息传递协议之上的应用程序,可促进不同区块链之间的互操作性。它是一个连接两个或多个区块链网络的接口,允许在它们之间传输资产和数据。
桥梁有很多种类型。 这是桥梁分类的一种建议结构:
桥中的消息传递基础设施。 每个桥梁的核心都是一个消息传递基础设施,用于跨链发送数据,从而促进各种传输(例如,LayerZero、Axelar、Wormhole、CCIP)。
桥的类型。 桥可以根据其应用或效用分为各种类型,例如代币桥、NFT桥、治理桥、借贷桥和ENS桥。它们也可以根据跨链消息的验证方式进行分类,验证方式可以是去中心化的、中心化的或混合的。
桥聚合器。 桥聚合器是将多个桥组合在一起的平台,为用户提供跨链资产转移和交换的最有效选择,同时考虑成本、速度、滑点和安全性等因素。桥聚合器的工作方式与去中心化交易所 (DEX) 聚合器类似。
桥黑客攻击的主要原因
去中心化金融 (DeFi) 的日益普及以及以太坊 Layer-2 生态系统的日益普及使得桥黑客攻击更加频繁。 这些桥连接了不同的区块链和 Layer-2 解决方案,每个都有不同的技术,并同时连接许多区块链,使它们暴露于更多的攻击媒介。 此外,随着 DeFi 的日益普及,桥梁正在转移更大数量的价值,使其对黑客更具吸引力。 桥梁安全有三大支柱:经济安全、实施安全和环境安全。
桥梁安全的 3 大支柱(以及它们如何被破坏)
经济安全取决于控制大多数验证者的成本,而破坏经济安全最常见的方法是窃取验证者的私钥。 原生验证的桥梁提供最佳的经济安全,而外部验证的桥梁提供的经济安全最低。
实施安全 涉及系统的复杂性和可能损害桥梁安全的风险向量。 智能合约漏洞和 RPC 端点的compromise是compromise实施安全的最常见方式。 桥梁需要经过多个第三方的审计,以最大限度地降低安全漏洞的风险。
环境安全 涉及桥梁运行环境的完整性,例如桥梁运行所在的节点的安全性。 桥梁需要漏洞赏金计划,以最大限度地降低安全漏洞的风险。 桥梁节点的安全性对于环境安全至关重要。 多个第三方审计对于环境安全也是必要的。
近年来桥黑客攻击的主要原因
《跨链互操作性报告》分析了 5 起最昂贵的桥利用事件,并回答了每个利用事件的两个关键问题:为什么会发生以及在哪个安全支柱上。
- Axie Infinity Ronin 桥黑客攻击。 攻击者由于私钥被盗窃取了大约 6.24 亿美元。 被破坏的风险支柱是“经济安全”。
- Wormhole 代币桥黑客攻击。 攻击者利用已弃用的不安全函数绕过签名验证。 被破坏的风险支柱是“实施安全”。
- Nomad 桥黑客攻击。 多个个人使用更新中的错误耗尽了超过 1.9 亿美元的价值。 被破坏的风险支柱是“实施安全”。
- Horizon 桥漏洞利用。 攻击者compromise了桥验证器使用的四个私钥中的至少两个,以获得对桥验证过程的控制权。 被破坏的风险支柱是“经济安全”。
- BSC Token-Hub 桥黑客攻击。 攻击者通过伪造特定块的 Merkle 证明来利用底层代码中的漏洞。 被破坏的风险支柱是“实施安全”。
减轻桥梁风险
虽然最好是积极主动而不是被动应对,但专家们认为应该采取复杂的方法来降低桥梁风险,包括采取措施来缓解威胁、响应威胁和评估风险。
威胁缓解措施。 该报告建议采取以下措施:
- 智能合约最佳实践
- 代码测试和审计
- 定期安全更新
- 监控以实时检测威胁
- 信任技术,而不是第三方
- 通过使用中心辐射型模型来防止污染(横向扩展)
- 通过对照不变量检查消息来实现预犯罪(Layer Zero)
- 使消息传递层升级成为可选
- 开源代码库并提供漏洞赏金
威胁响应计划。 良好的威胁响应计划应包括在攻击开始后更快的响应时间。 它应包括足够的挑战窗口,供团队采取必要的行动。 使用像 Extractor 这样的持续监控系统进行风险识别也有助于提高对黑客攻击的意识。
桥梁安全风险评估框架。 专家认为黑客攻击仍然可能发生,因此制定威胁响应计划至关重要。 该报告还建议制定一个标准化的风险评估框架,以帮助用户根据其交易规模和安全需求选择合适的桥梁。 该报告回顾了三种变体,并确定了 Coinchange 桥梁风险评估框架,这是 Coinchange 创建的第四个 DeFi 风险评估框架,用于评估 DEX、货币市场协议、区块链和桥梁风险。 该框架包括两个部分:数据收集(包含 25 个问题)和仅用于运营风险、治理风险、智能合约风险和流动性风险的风险评分的 10 个问题。
结论
跨链互操作性对于区块链生态系统至关重要。 它允许资产和数据在不同区块链之间无缝移动,从而增强互连性并提高资产的流动性。 互操作性协议、侧链、原子互换和跨链桥等多种方法可以实现区块链之间的互操作性。
过去两年,DeFi 中损失的价值有 70% 是在桥梁中被盗的。 该行业需要更好的解决方案来理解和降低风险。
桥梁安全和跨链互操作性的未来还有待确定。 然而,为实现更安全的互操作性所做的努力正在进行中,而且是协作的。 Coinchange 聚集了杰出的互操作性、企业和安全参与者,以构建最安全的互操作性空间版本。
查看完整的跨链互操作性和安全报告。
