AMM跨鏈橋屢受駭客攻擊是否有解?

2022-07-20

近幾年,去中心化金融(Decentralized Finance, DeFi)領域不斷地受到駭客攻擊,例如今年就有至少三起超過1億美元的駭客攻擊。其中這些包含了,Axie Infinity 的 Ronin 側鏈、Solana 的 Wormhole ,以及最近才發生的 Harmony 協議中的 Horizon 跨鏈橋。而這些攻擊個別造成了6億美元、3.25億美元以及1億美元的損失。

這使得區塊鏈研究開發人員不得不開始注意到區塊鏈的安全性,但也同時促使他們討論是否有更好的跨鏈橋可以更有效地防止駭客攻擊。

示意圖/123RF

  • AMM 與點對點(peer-to-peer, P2P)

根據 Dune Analytics 的數據,目前所有鎖定於去中心化金融的總價值與以太坊的總價值相差118億美元,其中 Polygon、Arbitrum 和 Avalanche 跨鏈橋位居前三位。

由於圍繞以太坊的問題,特別是其高昂的汽油費、網路塞車、擴展問題和電力使用等等問題不斷出現,加速了關於相互操作性的討論。藉此,我們得以看到如何讓使用者能夠在不使用中心化實體的情況下將加密資產從一個區塊鏈傳輸到另一個區塊鏈的重要性。

大多數主要受到駭客攻擊的跨鏈橋都是以 AMM 為基礎的的,包括上述所說的三起駭客事件。

  1. Ronin 的跨鏈橋

它需要五個簽名來驗證存款與提款的九個驗證者上運行。為了識別存款或提款,需要九個驗證者簽名中的五個,並將跨鏈橋的控制權交到五個驗證者手中。

駭客使用以 AMM 為基礎的跨鏈橋獲得了用於驗證網路交易的私鑰(private key)的權限,因此允許大規模駭客攻擊。然而,Ronin 跨鏈橋只有9個驗證者,並且有4個屬於同一個人。

從定義來看,集中化即把超過5億美金的資金匯集到同一個錢包地址。這也說明了為什麼用戶和 Web 3.0 項目必須了解 AMM 橋的危險性。

2. Wormhole

Wormhole 漏洞的駭客攻擊在當時損失了12萬個打包的以太幣,依照當時以太幣的價格計算,其價值超過 3 億美元。Wormhole 連接了 Avalanche、BNB Smart Chain、以太坊、Polygon 和 Solana 等區塊鏈網路,因此此次駭客攻擊仍然是 DeFi 歷史上最大的黑客攻擊之一。

當駭客發現 Wormhole 智慧型契約中的漏洞後,並在 Solana 區塊鏈上鑄造12萬個以太幣。接著,以太幣被轉移到單一的一池中,也就隨即轉換成點對點,然後變得堅固。從 AMM 到點對點的簡單改變可以防止這樣的災難。

此次案例中,我們看到 Solana 上的以太幣短暫地不受其抵押品的支持,並將以太幣轉換成另一個同等價值的加密貨幣。這對於 Solona 的負面影響是大大增加的,包括可能伴隨著進一步的剝削、重大財物損失以及投資者的不信任。

正如在 Wormhole 和 Ronin hack 中看到的那樣,AMM 損害了加密生態系統中的信任。目前,諸多開發者正深入研究由原子交換驅動的點對點技術。該技術將是以一種基於保護個人用戶資金的解決方案。

  • P2P 跨鏈橋是比AMM更安全的替代方案

AMM 和由原子交換驅動的點對點跨鏈橋之間存在著關鍵的差異。後者是直接在不同區塊鏈之間交換加密貨幣。 

AMM 跨鏈橋留給駭客太多的攻擊空間。因為使用者將數百萬美元投入到單一且具流動性的礦池中,並且由於每個智慧型契約都與一小群驗證者相關聯,該池可能會被拉扯或被駭客入侵。至少可以說,將資金投入 AMM 流動性礦池是有風險的。

基於點對點的跨鏈橋將提供更安全的跨鏈交易。利用原子交換和訂單本,去除了對複雜智慧型契約或是集中化的流動性礦池的依賴。進一步地使跨鏈交換在沒有中間人的情況下完全無需信任和去中心化。 

每筆交易只有一筆交易同時進出,使其成為跨鏈世界中更安全的交易方式。這樣的交易被描述為「原子」是因為在交易之間,要麼是交易完成使兩方用戶資金交換,不然就是交易失敗然後原本的資金會被轉回原用戶身上。

這樣的交易方式是透過哈希時間鎖定契約(hash-time locked contracts, HTLC)加以完成。這種設計可以防止數百萬人容易受到駭客攻擊。

雖然大多數 AMM 跨鏈橋專注於連接以太坊和另一個第1層區塊或第2層區塊鏈的單向或雙向傳輸,但點對點所驅動的跨鏈橋提供多向傳輸,具有無限種類的交易可能性。例如,使用者可以從 Fantom 到 Avalanche 的資產以及任意數量的組合進行交易,包括比特幣、狗狗幣和萊特幣等。

  • 前方的路

區塊鏈的未來是建立在無需信任的相互操作性。這就是為什麼我們需要提供從一條鏈到另一條鏈的安全橋樑的 去中心化金融協議。

為了防止駭客攻擊,我們需要轉向點對點的跨鏈橋,每個使用者都使用自己錢包中的資金並控制自己的私鑰。最終使用者永遠不必將其財務信任置於中心化流動資金的礦池中。同樣地,開發人員還應該考慮構建點對點技術的跨鏈橋。(記者/戴偉丞)

參考資料:

https://forkast.news/are-we-helpless-against-attacks-blockchain-bridges/

瀏覽 755 次

覺得不錯的話就分享出去吧!
標籤
2022-07-20

發佈留言

Back to top button