【解读合约审计】Harmony的跨链桥是如何被盗一亿美金的?

最新推荐文章于 2024-07-31 17:01:39 发布
最新推荐文章于 2024-07-31 17:01:39 发布
阅读量1.5k 收藏 1
点赞数
分类专栏: 区块链行业解读 文章标签: 区块链 安全 以太坊
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a83533774/article/details/125738158
版权

内容概要

2022年6月24日,由Layer1公链Harmony开发的,以太坊与Harmony间的资产跨链桥Horizon遭到攻击,损失金额约为1亿美元。

这到底是怎么回事?

虽然黑客攻击发生的当天就能断定属于“公证人私钥被盗”,既然贵客点开,不妨来展开聊聊,放心,有少数硬核源码但全篇讲白话,通俗易懂!

1、跨链桥技术原理

跨链,顾名思义是不同区块链之间资产信息如何转移的问题,也称之为互操作性,而目前有超50种跨链解决方案,其方案定义是多种多样的。

《来自iosg-跨链桥方案一览,谁能汇聚多链流动性

1.1、跨链方案有哪些?

概括来讲,要实现资产价值在另一条链上恒定,有两种大路径按”价格”锚定和按”物理”锚定

乍一听复杂,其实按价格锚定就是在各公链上的USDT这种稳定币,他与美元1:1锚定,因此也属于跨链资产的一种。

抛开各类稳定币更直观一种跨链方案则是物理锚定,即流动性总量是恒定的,其方案也很多(公证人、侧链、中继链、哈希锁定等),咱们重点讲公证人模式。

公证人模式依据”公证人是谁“有三种区分:

  • 交易所做担保型:比如币安提币,各种买卖均在中心化交易所进行,提币才兑现

  • 流动性池桥接型:比如bridge.connext,o3swap

  • 合约锁定铸造型:各类官方桥通用方案polygon/arbitrum/avax/celer,以及今天的主角harmony

锁定铸造型由于产生的是包装代币,因此往往是各公链具有一定公信力的官方桥才采用。

以上均各有优缺,或是怕交易所跑路,或是流动性枯竭,或是公证人私钥被盗,目前并没有完美实现不可能三角的跨链方案出现。

如下图是o3swap的流动性总量和交易量趋势,近半年已然跌去90%,或许是因为去年8月的质押资产被盗案导致不断式微吧。

《流动性总量与交易量,来自o3swap官网》


1.2、Horizon桥的跨链原理

Harmony开发的Horizon桥是非常标准的公证人锁定铸造型。

为何锁定铸造可以被信任呢?

是由于区块链上的合约具有不可更改特性,如果不留后门的话,甚至一旦部署将无任何方式可以影响他的运作,正如无聊猿官方自己将所有权限转入0地址,放弃所有权后,无任何方式可以进一步铸造出新的猴子,其流动性总量将被锁死。

同理的,不同公链之间虽然合约不同,但如果在以太坊上用合约锁住10个ETH,在另一条公链上也以同样有公信力的合约,来释放10个wETH,这样一来其实全局上流动性是固定的,只要wETH可以随时转回以太坊并兑换得到ETH,那wETH就可以被认为是具有了ETH的等同价值。

因此其核心的操作就是

  • Lock-and-Mint:A链锁定代币流动性 + B链发行等量的可流通包装代币

  • Burn-and-Release:B链销毁包装代币 + A链解锁等量基础代币的流动性

  • 公证人:负责发现A链Lock锁定事件后,去B链Mint铸造出锚定代币,转入目标地址。

【Horizon桥的流程示意图,来自官方github】

有锁定自然衡量各个跨链桥规模的最佳方式就是TVL(总价值锁定),可以显著看到6.24之后,Horizon的TVL瞬间跌入谷底,当安全事故来临再多的TVL也就如流水一般,蜂拥而至也一哄而散。

【Horizon链桥TVL图,来自dune】

最低0.47元/天 解锁文章
「已注销」
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于HarmonyOS 4开发的一款刷题的鸿蒙APP源代码
05-04
在本项目中,我们主要关注的是基于HarmonyOS 4构建的一款刷题应用程序的源代码。HarmonyOS是由华为公司研发的操作系统,旨在为不同设备提供统一的平台,实现平台、全场景的智能生活体验。这个应用是针对开发者设计...
antares harmony engine安装_一文搞懂分片公链 Harmony、Near、Elrond
weixin_39738774的博客
11-05 644
大家好我是巴韭特一颗想成为巴菲特的韭菜新的巴韭特晚餐终于又来了,这段时间在研究分片,看了不少资料,终于完成了这篇文章。区块链的可拓展性或者说扩容问题一直是行业关注的焦点,以太坊之后的大多数公链都致力于解决这个问题,于是也迎来了后来的公链大爆发。诸如 EOS 通过改变共识机制,使用偏中心化的 DPoS 实现更快的共识确认,IOTA 通过改变网络结构,使用 DAG 实现更强的拓展性,当...
近一亿美元失窃,Horizon链桥被攻击事件分析
Tokenview的博客
07-01 732
Horizon链桥被盗1亿美元6月24日,Harmony团队发布推特称,Horizon链桥遭到攻击,损失金额约1亿美元。
HarmonyOS应用开发者高级的详细解读
07-07
HarmonyOS应用开发者高级的详细解读
HarmonyOS分布式应用框架深入解读1
08-03
在万物互联的时代,HarmonyOS致力于解决设备之间的无缝协作问题,提出了镜像、组合、分裂、合并、延展、遥控、同步、迁移和自适应布局等核心交互特性。 HarmonyOS分布式应用框架是基于这些交互特性的实现基础,它...
HarmonyOS第一课 应用程序框架-闯关习题及答案.docx
11-19
HarmonyOS 是华为开发的一款面向全场景的分布式操作系统,旨在提供设备、无缝协同的用户体验。在 HarmonyOS 的应用程序框架中,UIAbility 是构建用户界面的关键组件,它负责处理与用户交互相关的逻辑。本篇将围绕 ...
基于HarmonyOS 4开发的一款新闻类的鸿蒙APP源代码
05-04
在 HarmonyOS 4 开发平台下,构建一款新闻类应用是一项综合性的任务,涉及到操作系统、UI 设计、网络通信、数据处理等多个领域的技术知识。这款名为 "hongmeng-headlines" 的源代码项目,正是为开发者提供了一个实践...
2024第八届全国职工职业技能大赛“网络与信息安全管理员”赛项技术文件及任务书
Aluxian_的博客
07-27 1059
全国职工职业技能大赛网络与信息安全管理员赛项参赛对象为从事网络安全工作的职工。鉴于参赛选手日常工作的主要职责是保障信息系统安全稳定运行,大赛将从政策法规标准和网络安全风险评估、安全应急响应技术、数据安全、人工智能、国产信创等全方位考核从业职工的网络安全综合能力。
区块链+绿色低碳】雄韬智慧锂电储能管理系统 | FISCO BCOS应用案例
FISCO_BCOS的博客
07-26 235
系统采用了 FISCO BCOS 联盟链,融合了物联网、智能锂电、云计算、AI 等技术,一方面可以作为储能系统独立运营, 通过自动匹配与执行相关地区、区域的峰谷电价,智能执行分时策略,通过峰谷差价直接为用户创造经济效益; 另一方面,系统也可以作为新能源聚合商接入虚拟电厂,向上提供对聚合区域设备的调度和管理,参与电网需求响应市场。
Covalent(CXT)在主要交易平台上线CXT代,不断扩大生态影响力
区块链蓝海
07-29 374
Covalent Network(CXT)是领先的模块化数据基础设施层,致力于解决区块链和 AI 领域的主要挑战,包括可验证性、去中心化 AI 推理和长期数据可用性。CXT 在上述领先平台上的上线,凸显了 Covalent Network(CXT)扩大影响力并为全球用户提供无缝访问其代的承诺,并使全球的交易者和投资者能够参与到 CXT 的交易中,从而将促进更多代在 Covalent Network(CXT)网络中进行抵押和委托参与,目前已质押的代数量约占流通代总量的 35%。拓展影响力与可访问性。
区块链软硬件协同,做产业数字化转型的“安全官” |《超话区块链》直播预告
FISCO_BCOS的博客
07-30 216
8月1日晚8点,我们不见不散。
有此五者,投资想不赚钱都难。
刘教链
07-30 162
原创 | 刘教链昨天[“7.29教链内参:BTC兵临7万刀城下”],一度冲破7万刀防线之后,即迅速跌落,至今早已大幅回撤至66k附近。多空交兵,龙战于野,其血玄黄。今明两天美联储就要开会了。2024年7月份的FOMC议息会议。这是早就安排好了的日程。没有安排好的,是风云诡谲的全球局势,暗流涌动的经济形势,错综复杂的宏观数据,以及,意外频出的美国政治。市场上传来消息,美联储或将要修改声明,承认近期通...
ETH现货ETF流入量估算:会重演BTC现货ETF走势吗?
Lovely_xwys的博客
07-27 401
ETH流入ETH ETF → ETH价格上涨 → 对ETH的兴趣上升 → DeFi/链使用率上升 → DeFi基本指标改善 → EIP-1559销毁增加 → ETH供应量下降 → ETH价格上涨 → 更多ETH流入ETH ETF → 对ETH的兴趣上升。这种循环在BTC ETF中缺乏,ETH作为“去中心化的应用商店”,拥有完整的生态系统,将受益于基础资产的持续流入。ETH DeFi协议中有2000万ETH(630亿美元)的TVL,随着ETH交易的走高,ETH DeFi的投资吸引力也越来越大。
Solana 自建节点搭建教程:手把手教你成为区块链网络的重要一员
最新发布
m0_73054711的博客
07-31 335
区块链技术正在迅速改变世界,而Solana作为新一代高性能公链,以其出色的性能和低廉的交易费用吸引了众多开发者和用户。如果你想成为Solana生态系统的一部分,搭建自己的Solana节点是一个绝佳的选择。本教程将详细介绍如何一步步搭建Solana自建节点,让你轻松上手,成为区块链网络的重要一员。
【参会邀请】第四届区块链技术与信息安全国际会议(ICBCTIS 2024)诚邀相聚江城!
07-29 355
我们诚挚地邀请您参与第四届区块链技术与信息安全国际会议(ICBCTIS 2024)。本届会议将于2024年8月17日~19日在中国武汉召开。会议将围绕区块链技术与信息安全等相关研究领域,特邀国内外数位在此领域学术卓越的学者专家做相关致辞与报告,共同探讨当今计算机范畴内学科领域的最新发展方向及行业前沿动态。
区块链——代码格式检查(prettier、solhint)
weixin_42789698的博客
07-27 393
含义:对象或数组最后一个元素后是否加逗号,可选值为 “none”(不加逗号)、“es5”(在ES5中有效的地方加逗号)、“all”(所有地方都加逗号)。含义:是否格式化内嵌的代码语言,可选值为 “auto”(自动)、“off”(不格式化内嵌的代码语言)、“on”(始终格式化内嵌的代码语言)。含义:换行符的样式,可选值为 “lf”(\n)、“crlf”(\r\n)、“cr”(\r)或 “auto”(根据文件中的第一行决定)。含义:是否使用制表符(Tab)进行缩进,而不是空格。默认值:“auto”
全国区块链职业技能大赛样题第9套后端源码
本郡主是喵
07-28 183
全国区块链职业技能大赛样题第9套后端源码
数字货MACD指标自动化交易策略实现(含源代码)
码上助君的专栏
07-28 1041
实现一个指标策略自动化交易的功能(以MACD指标为例),增加仓位管理以及风险控制的功能,实现一个完成的交易策略。
Web3时代:科技与物联网的完美结合
weixin_44672358的博客
07-30 347
Web3技术是基于区块链和加密货技术的新型互联网应用模式,与传统的Web2相比,具有去中心化、安全性和数据主权等重要特点。Web3不仅仅是一个技术框架,更是一种新的价值互联网体系,通过智能合约和分布式应用(DApps)实现了用户与应用程序之间的直接交互,重塑了用户参与和数据管理的方式。
写个USDT购买CBB代价格每天上涨的合约
09-05
### 回答1: USDT 购买 CBB 代价格每天上涨的合约是一种杠杆交易合约,也叫做"多头期权"。它允许您用 USDT 来购买 CBB 代,并在价格上涨时获得收益。如果价格下跌,您将承担亏损。这种合约需要您支付保证金,并且风险较大,只适合有经验和承受风险能力的投资者使用。 ### 回答2: USDT购买CBB代价格每天上涨的合约是一种金融合约,它规定了在未来特定时间内,以USDT购买CBB代的价格将每天上涨。这种合约的目的是让投资者能够获取CBB代价格上涨所带来的利润。 合约的实施方式是通过智能合约来自动执行。当投资者购买了这个合约后,智能合约会每天自动将USDT转换为CBB代,同时将价格设置为每天上涨的趋势。这样,投资者持有的CBB代数量增加,而USDT余额减少。 合约的价格上涨是基于市场需求和供应的变化。如果市场对CBB代的需求增加,合约价格可能随之上涨。这可以通过监控市场情况和调整合约的设置来实现。投资者可以根据自己的需求和预期来选择购买合约的期限,以获取更多的利润。 购买这种合约存在一定的风险。价格上涨并不是永远发生的,市场也可能出现波动或下跌,导致投资者可能出现亏损。因此,在购买这种合约之前,投资者应该对市场有足够的了解,并采取适当的风险管理措施。 总的来说,USDT购买CBB代价格每天上涨的合约可以为投资者提供一种获取利润的机会。但是,投资者需要在购买合约之前充分考虑市场风险,并进行谨慎的决策。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值