跨链桥漏洞总结

最新推荐文章于 2024-10-02 21:45:19 发布
最新推荐文章于 2024-10-02 21:45:19 发布
阅读量874 收藏
点赞数
文章标签: 区块链
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chinadefi/article/details/124321241
版权
这篇博客总结了近年来跨链桥遭遇的攻击事件,包括Poly Network、Multichain (AnySwap)、Qubit Bridge、Meter Bridge、Wormhole、Li.Finance和Ronin Network等。攻击主要集中在合约漏洞和签名验证环节,损失金额巨大。文章强调了跨链桥安全的重要性,并提出了合约审计、接口检查和签名审查等防范建议。
摘要由CSDN通过智能技术生成

跨链桥漏洞总结

未标题-3

随着区块链和链上项目的增长,对多链项目的需求正在变多,跨链桥业务也相应的在增加。哪里有生意,哪里就会有安全问题。跨链桥在为用户提供便利的同时,也为黑客提供了便利,Poly Network被攻击后,跨链桥的安全问题也随之出现。

什么是跨链桥?

区块链桥,也称为跨链桥,其连接两个区块链,允许用户从一个链向另一个链发送加密货币。

跨链桥通过两个独立平台之间的代币转账、智能合约和数据交换等其他反馈和指令,实现了资金的跨链操作。

一种常见的跨链桥的操作如下:

  • 用户将资产A发送到原链上的一个存储地址,并支付过桥费;
  • 资产A被智能合约中随机选择的验证者或受信任的托管人锁定;
  • 在目标链上发布相同数量的资产A1,并将资产A1发送到目标链上的用户地址。

跨链桥存在漏洞

img

跨链桥常见漏洞分析

ChainSwap攻击事件:

2021年7月,跨链资产桥项目ChainSwap遭到攻击。跨链桥上的二十多个项目受到攻击,损失了近800万美元的资产,导致十多个项目暴跌99%。

这种攻击主要是由于该协议没有严格检查签名的有效性,攻击者可以使用自己生成的签名对交易进行签名。

Factory 合约

img

上图中接收方法的主要功能是将用户跨链后的资金转移到目标链的用户地址,需要验证发送链的签名。当前待验证签名个数为1。

由于接收方法的逻辑和名为ecrecover 和_decreaseAuthQuota方法并不严格检查签名,攻击者使用了自己产生的签名,但后续合约逻辑没有严格判断映射值签名和其他计算。使攻击者成功地执行接收方法,为自己签名转账资金。

最低0.47元/天 解锁文章
chinadefi
关注
智能合约漏洞案例,跨链 Allbridge 57 万美元漏洞分析
09-26 156
此次攻击是由于攻击者可以通过大额存取资金和进行兑换,从而修改交易池中代币的比例,实现用较少的 BUSD 兑换出大额 USDT 从而获利。
Anyswap aka Multichain V4Router 攻击事件的分析和复现-文章来自问我社区
qukuailian8899的博客
03-22 184
Anyswap aka Multichain V4Router 攻击事件的分析和复现
跨链,6个核心接口就够了!
微众区块链的博客
09-04 982
作为跨链交互的基础,接口(API)是跨链平台中重要一环。目前各大区块链平台提供了丰富的接口,这些接口是否都要在跨链平台中重新实现?为了实现普适通用的跨链平台,如何确定接口设计基调?为了满...
Wormhole资产跨链项目代码解析
mutourend的博客
09-14 4801
1. 引言 Wormhole支持基于Solana与多个链进行资产转移,开源代码为: https://github.com/certusone/wormhole/tree/main 当前已上线V1,已支持: 未来V2将支持: 2. 关键代码解析 支持的chain_id命名及支持的action类型有: ActionGuardianSetUpdate Action = 0x01 ActionContractUpgrade Action = 0x02 ActionTransfer
跨链安全事件总结分析
m0_53689197的博客
01-15 1163
跨链事件总结分析
科普:跨链是如何被黑的?
chinadefi的博客
10-25 1706
跨链是一种允许两个独立区块链网络之间进行通信的技术,例如转账和交换资产,调用来自其他区块链的合约中的函数等等。换句话说,使用户能够将资产从一个网络转移到另一个网络。例如,如果你有比特币,但想要像以太坊一样进行消费,你就可以通过来实现。
杨霖演讲实录∣从模块化架构到跨链生态,NULS这一年下了一盘怎么样的棋
Jimmy0324的博客
10-23 590
9月11日,NULS韩国大型交流会在首尔CONRAD酒店隆重举行,NULS核心团队CEO Liesa Huang、NULS核心代码贡献者杨霖、NULS社区运营负责人冉小波、NULS韩国地区代表Isaac Kim,以及NULS韩国顾问Andy Chae出席了会议。此次交流会由韩国电视台KBS知名主持人Kim Ji Hyo主持,会议内容包括了主题为【“造链专家”——NULS的跨链与价值流通解决方案】...
十一月典型安全事件盘点
SierraW的博客
12-01 6886
十一月区块链上攻击事件频发,攻击类型多样,安全问题值得引起重视。
区块链中的侧链与跨链技术原理解读
# 1. 区块链基础知识回顾 ## 1.1 区块链概念解释与原理概述 ...区块链采用分布式节点共同维护和确认数据的一致性,去除了传统中心化机构的中介作用,实现了真正的去中心化。 区块链的原理概述如下:每个区块包含了一...
用零知识证明连接多链宇宙
FeelTouch Labs
12-26 2258
Bridges是一种通信协议,有助于在区块链之间传输消息、资金或其他数据等信息。虽然有用,但搭建Bridges是一项有风险的业务。区块链历史上一些最昂贵的黑客攻击仅针对Bridges。截至 2022 年,估计过去一年损失的资金中有 69% 是由于对Bridges的袭击,造成的损失高达数十亿美元。在本文中,我们重点关注使用零知识证明 (ZKP) 的梁建设的具体实施。虽然一些黑客无法仅仅因为使用 ZKP 就可以预防,但 ZKP 的稳健性将区块链共识协议的安全性扩展到了接器。
Synapse 跨链攻击事件分析
SierraW的博客
11-12 1222
前言 北京时间 11 月 7 日,知道创宇区块链安全实验室 监测到跨链协议 Synapse Protocol 推出的资产跨链被攻击,攻击者设法降低了 nUSD Metapool 虚拟价格并从中获利约 800 万美元。 知道创宇区块链安全实验室 第一时间对本次事件深入跟踪并进行分析。 分析 攻击事件如下图所示,该次攻击事件的问题点并不在 Synapse 跨链本身,而是在 Saddle 开发的 Metapool 合约上。 在具体分析攻击事件之前,我们先来介绍一下什么是 Metapool。Curve 开发
如何通过资产配置优化投资组合——金融市场中的长期策略
QQ3957533237的博客
10-01 436
总的来说,通过科学合理的资产配置,投资者能够在金融市场中更好地应对风险,实现稳健的长期回报。明确投资目标、定期调整投资组合、平衡风险与收益,并充分利用复利效应,都是提升投资绩效的重要策略。无论市场如何变化,资产配置始终是投资者在金融市场中不可或缺的一项关键策略。
去中心化自治组织(DAO)
小豆包
09-29 537
去中心化自治组织(DAO,Decentralized Autonomous Organization)是一种基于区块链技术构建的新型组织形态。DAO通过智能合约来管理组织规则和运行流程,这些规则以代码的形式被编码在区块链上,自动执行且无法被篡改,从而实现了组织的去中心化和自治。
打造未来社交:区块链社交DAO的颠覆性开发之路
Lovely_xwys的博客
09-27 639
区块链社交DAO系统的开发为社交网络带来了新的可能性,强调用户的参与和治理。通过去中心化的设计,社交DAO能够提升用户的参与感和社区的透明度,推动社交平台的创新与发展。随着区块链技术的成熟,未来的社交DAO将为用户提供更加安全、透明和公平的社交体验。结合区块链的透明性和不可篡改性,社交DAO为用户提供了一种全新的参与和治理方式,重塑了社交网络的构建与互动方式。不同于传统社交平台,社交DAO强调去中心化和用户自主权,用户不仅是内容的消费方,还可以成为内容的创造者和治理者。
[Day 77] 區塊鏈與人工智能的聯動應用:理論、技術與實踐
2401_83208854的博客
09-26 913
隨著數字化時代的來臨,創作內容的分發和使用已經從傳統媒介轉移到數字平台。然而,數字版權保護成為了一個關鍵問題,尤其在當前,盜版、內容侵權以及版權確權等問題屢見不鮮。如何有效地保護數字版權,讓創作者能夠保有其創作的完整性和權利,是當今數字內容生態中的一大挑戰。區塊鏈技術,作為一種去中心化且不可篡改的技術,正逐漸被視為解決這一問題的有效工具。數字版權保護涉及到數字作品的創作者、分發者和使用者之間的關係。當前的數字版權保護模式主要依賴於中央化的數字版權管理(Digital Rights Management, D
如何安装和设置 Go 版本的 fabric AI 工作流框架?
玉树芝兰
09-27 922
痛点今年 6 月份,我给你介绍了 fabric 这款 AI 工作流工具。它包裹了大量的优秀提示词,可以处理各种你日常工作、学习和科研中的事务性工作。包括但不限于:从视频当中提取要点撰写博客给研究评分……不少读者看过之后,大呼有用,然后亲手测试。有的测试成功,真正应用到了工作中,各种开心。但很多小伙伴都遇到了一个问题 ——fabric 的 Python 版本,安装起来实在是不方便。好在开发者有承诺,...
【网络】web1.0 2.0 3.0各自出现背景/技术原理/演化发展过程,以及Web 3.0 对传统互联网的影响
最新发布
Dylaniou的博客
10-02 631
互联网自诞生以来,经历了三个主要的发展阶段:Web 1.0、Web 2.0 和 Web 3.0,每个阶段都有其独特的特点和影响。
DePIN 代表项目 CESS 受邀出席国会山活动,向议员展示创新 DePIN 技术
CESS_Cloud的博客
09-28 653
我们非常激动地宣布,CESS 已受邀参加由美国区块链协会主办的国会山活动,将于当地时间!本次关于去中心化物理基础设施网络(DePIN)的重要会议中,CESS 将与 Helium、Filecoin 等 DePIN 行业领军企业共同讨论去中心化网络的未来,及其在数据存储、能源、电信等关键行业中潜在的革命性作用。此次在国会上的 DePIN 简报会由「美国区块链协会」牵头,旨在向美国立法者和政策制定者普及 DePIN 技术的变革潜力。随着数据主权、隐私保护和安全去中心化基础设施逐渐成为全球关注的焦点,简报会将。
跨链技术:发展历程、分类与应用解析
总结来说,跨链技术是区块链技术发展的重要分支,它解决了不同区块链系统之间的兼容性和流动性问题,为区块链应用的扩展提供了新的可能。随着区块链生态系统的日益成熟,跨链技术将继续扮演着连接和整合不同区块链的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值