Ronin 跨链桥接被攻击,损失 6.25 亿美元;路印宣布与 GameStop 合作
跨链桥接安全性再亮红灯,Ronin Network 价值 6.25 亿美元资产不翼而飞
Ronin Network 是由 Sky Mavis 公司开发的一条以太坊侧链,主要为 NFT 游戏 Axie Infinity 提供支持。3 月 23 日,Ronin 链被黑客通过其跨链桥盗取 173,600 枚 ETH 和 2500 万 USDC,价值约合 6.25 亿美元。
下面总结了 Ronin Network 对此次攻击事件的公告:
Ronin Network 出现一起安全事件,3 月 23 日 Sky Mavis 的 Ronin 验证者节点以及 Axie DAO 验证者节点被入侵,导致 173,600 枚 ETH 和 2500 万 USDC 被黑客通过 Ronin 桥接分两笔交易盗走。(交易哈希:1 2 ) 黑客利用被黑的私钥伪造了提款。Ronin 称他们于 29 日早上发现这起攻击,因为有一名用户表示其无法从 Ronin 桥接提出 5,000 ETH 的资产。
该起攻击事件的细节:Sky Mavis 的 Ronin 链目前有 9 个 验证者节点。进行一笔存款交易/提款交易需要 5 名验证者的签名。黑客成功控制了 Sky Mavis 的四个 Ronin 验证者节点和一个由 Axie DAO 运行的第三方验证者。
目前,Ronin 已采取的措施有:
针对这次事故,Optimism 团队的开发者 @kelvinfichter 发了一条回顾推特,以下是重点:
这次的 Ronin 桥接攻击与以往的桥接攻击非常不一样,它不是由于智能合约出现漏洞引起的,更多是对于“多签”安全设置这个机制的私钥进行的典型攻击。只要 9 名验证者节点中的 5 名验证者被控制,桥接的资产就能轻易被转走。这也是为什么信任最小化如此重要。
@kelvinfichter 认为这其中最根本的错误就是将资产的安全性依赖于一条基于验证者签名的桥接。Ronin 桥接基于一个十分根本的假设:大部分私钥不会被入侵。很明显这个假设已经不成立了。
那么如何抵御这类攻击呢?首先,很明显不应该由单个实体运行好几个验证者节点 (很不幸,Sky Mavis 运行着 4 个节点)。如果你资源充足,你很应该实现多客户端。看起来这次攻击是由于客户端的一个 bug 造成的,该 bug 被利用来恢复私钥或强制私钥对任意消息进行签名。这就是多客户端如此重要的原因,也解释了为什么以太坊社区一再强调多客户端的重要性以为合并做充分的准备。如果 Ronin 至少有三个客户端实现,那么黑客也不会得逞了。当然,运行三个客户端实现成本很高,但是 6.25 亿美元损失更惨重吧!
关于跨链桥接安全性的一些延申:
此前,Vitalik 在以太坊基金会研究团队第七次 AMA 上就表达了其观点:“我之所以对多链的区块链生态系统保持积极态度,而对跨链应用保持消极态度,一个关键原因就是桥接具有根本性的安全限制。” 并在后续发布了文章《什么是“共享安全性”,为何它如此重要?》,通过“共享安全性”这一概念解释了为什么跨链桥接具有如此根本的安全限制。
针对开源贡献者分发的 POAP:GitPOAP 即将上线
GitPOAP 将于 4 月 7 日上线主网。GitPOAP 旨在对软件贡献者提供 POAP 作为纪念,这个平台让开发者基于 GitHub 的活跃度铸造 POAP。这个项目的初衷是想要让开源开发者和维护者获得认可度和信誉。这种对于开发者成就的链上记录将实现一种由声誉和身份驱动的 Web3 应用生态系统。
GitPOAP 会追溯 Github 用户的历史记录,并向任何为以太坊的开源项目做出贡献的人分发年度贡献者 POAP。由于其目前针对的是软件方面的贡献,所以如果你对任何一个项目合并提交了 PR,你就能申领 POAP。
如何铸造:连接钱包并使用你的 GitHub 账户登录 gitpoap.io (等上线之后),便能显示铸造资格。
赞比亚争取成为非洲的科技中心,获得 Vitalik 的支持
3 月 27 日,彭博社发表文章《以太坊创始人支持赞比亚成为非洲的科技中心》,文章报导了在非洲南部有一群初创公司创始人正在与政府讨论如何创造能够吸引更多科技公司和资本的监管和营商环境。这个团体正在组织一场会议,于 5 月在赞比亚首都卢萨卡起草详细的政策建议,他们认为赞比亚有以前的非洲科技中心所不具备的优势。
今年早些时候,Vitallik 在一次线上会议上向赞比亚总统 Hakainde Hichilema 表达了支持,该会谈进一步表明,非洲最近作为初创公司的温床正在蓬勃发展,特别在金融技术和电子商务领域。为非洲大陆数以百万计没有银行账户但能连上互联网的人提供金融服务的企业吸引了海外投资者的注意,非洲公司在 2021 年筹集了创纪录的 50 亿美元。
此外,吸引科技公司也有助于兑现他的竞选承诺——改善就业,而且赞比亚政府也正在寻求更开放方式来推动经济发展。
此篇报导发出后,赞比亚总统 Hakainde Hichilema 在推特转发评论到:“技术能给数百万的赞比亚人带来机会。很高兴看到国际科技领袖分享我们对现代和创新的赞比亚的愿景。” Vitalik 也在推特回复到:“期待在赞比亚和非洲看到更多的区块链和加密项目!在扩容、易于使用的钱包和其他重要领域还有很多工作需要完成,但也有很多独特的机遇。”
合并须知更新
以太坊基金会的 trent@trent_vanepps 继续对一些关于合并的常见或容易搞错的问题进行汇总,继 61 期七日谈提到的四点外,有以下补充:
此外,最近《财富》杂志撰文《“合并”的三大错误认识,以太坊下一个重大升级将影响其供应量和其对环境的影响》,值得大家关注。文中提到的三大错误认识为:
合并后验证者的收益预测
专注于质押服务的 Attestant 近日发布了研究文章,探索以太坊合并一年后验证者的收益情况预测。Attestant 收集了区块高度从 12,965,000 (伦敦升级在这里激活) 到 14,207,123 之间的区块数据 (区块中所有交易的交易奖励总额和区块里所有交易直接支付给费用接收者的所有金额),因为伦敦升级开始使用 1559 费用市场。
研究结果如下:
如果简单用奖励总额除以区块数,得出平均每个区块的奖励是 0.298 ETH。
而从分布来说,如图表显示,大多数的奖励是少于 1 ETH 的。
而通过累计概率图来看的话,要回答的问题就变成“我要获得 x 个 ETH 的区块奖励的可能性如何?”
从上图可看出,有 80% 的概率是可以获得 0.4 或更少的 ETH 的。也就是说,上述问题的回答可以是“有五分之一你提议的区块将获得至少 0.4 个 ETH”。
那区块奖励是否有随时间变化的趋势呢?要回答这个问题,请看下面每天平均的区块奖励图:
除去那三个需要被剔除的值,每天平均的区块奖励会略高于 0.25 个 ETH,且长期来说是相对稳定的。但在不久的将来,大多数的小额交易都会搬到二层,一层会更专注于大型交易,大型交易可能会带来高额奖励,但其数量也更少,因此区块奖励是会变更多还是更少,都是有可能的。
这对验证者来说意味着什么呢?
下图为验证者在共识层上随活跃验证者数变化的收益率。
Attestant 用算得的平均区块奖励 0.298 ETH 和每个活跃验证者预计一年内将产生的区块数,得出执行层上会产生的总 ETH 奖励,而基于这个收益得出执行层的收益率预测图:
将合并后共识层和执行层的收益率预测放在一起,会得出:
需要注意的是,这只是预测,有很多变量可能会导致这些值随时间发生变化。
Verkle tree 更新汇总
"Urge"路线图的“The Verge"部分 Verkle tree 解决的是阻碍以太坊变成无状态客户端友好的关键问题:见证数据大小。在今天的十六叉帕特里夏树里,访问一个账户的见证数据平均接近 3 kB,而在最坏的情况下,他可能比这大三倍。假设最坏情况是每个区块有 6000 次访问 (15m gas/ 2500 gas 每次访问),对应的见证数据大小为大约 18 MB,对于在 12 秒的 slot 里通过 p2p 网络来安全广播,这太大了。Verkle tree 可以把见证数据大小缩小到平均每个账户大约 200 字节,这使得提供给无状态客户端的见证数据的大小是可接受的。
Verkle tree 是一个承诺方案,与默克尔树工作原理相似,但见证数据更小。它的工作原理是用矢量承诺取代默克尔树中的哈希,矢量承诺使得更宽的分支因子更有效率。
最近,主要负责 Verkle tree 开发的 Guillaume Ballet 更新了测试网的进度,以及开始发推进行 Verkle tree 的知识普及。以下是对他近期发布内容的整理:
3 月 12 日,Guillaume 发布了一个 Verkle tree 测试网 Condrieu 的 demo 视频。这是一个单个客户端测试网,使用 prestate 的证明来产生区块。这意味着客户端不需要同步整个状态来加入以太坊网络。demo 前对这个测试网有一个简单介绍:
与其他测试网相比,Condrieu 特别的地方在于 1) 它使用的是 verkle tree,2) 账户数和存储树合并在同一个树,3) 它产生的区块是无状态的。
总的来说,Verkle tree 更宽和更浅,且证明大小更小。它对存储模型进行了全面改革。一个账户的所有属性不会压缩在一个叶子上,这些属性可以在不同的叶子上找到。每个叶子是 32 字节。
区块格式也有变化,区块头有两个新增的字段,其中一个字段是一个列表,包含在区块执行里会被改变的键和对应的值,另一个字段是验证那些键和值是正确的证明。
此外,Guillaume 发推文对 Verkle tree 对区块格式和树结构变化进行了讲解。
更多主网的更新消息,请参阅最新一期的《以太坊核心开发者会议更新》和《Eth2 进展更新》。
L2 扩容解决方案路印为 GameStop NFT 市场提供支持,其 beta 版上线
3 月 23 日,L2 扩容解决方案路印宣布与游戏销售商 GameStop 达成合作,为其即将推出的 GameStop NFT 市场提供支持。用户现在可以提前访问其 beta 版 (beta.nft.gamestop.com) 设置自己的用户名和个人档案,进行质押存款以等待 GameStop NFT 市场的正式上线。
Optimism 部署了 calldata 压缩,交易费降低 40%
3 月 25 日,L2 扩容解决方案 Optimism 表示其网络已经完成 calldata 压缩的部署,网络交易费将平均减少 40%。
这里是进行 calldata 压缩后的首笔主网交易哈希。
此前,Optimism 发布了文章《Optimism 开销优化:通往美分级手续费之路》 以介绍 Optimism 开销的组成部分并分析对这些组成部分的调整如何影响用户的交易手续费,具体细节请点击文章阅读 (中文版)。
ECN的翻译工作旨在为中国以太坊社区传递优质资讯和学习资源,文章版权归原作者所有,转载须注明原文出处以及ethereum.cn,若需长期转载,请联系eth@ecn.co进行授权。
本文首发于:https://news.ethereum.cn/Ecosystem/eth-weekly-2022-3-30/
如果觉得我的文章对您有用,请随意打赏。你的支持将鼓励我继续创作!