美東時間周三下午,加密貨幣圈出現(xiàn)一起令人震驚的盜竊案。連接以太坊和Solana兩大區(qū)塊鏈的主要橋梁——蟲洞(Wormhole)被黑客攻擊,據(jù)估計(jì),其損失至少達(dá)3.2億美元。
這是DeFi世界披露出來的第二大黑客攻擊損失,目前最高紀(jì)錄是Poly Network加密貨幣被盜事件中的6億美元,這也是針對Solana的黑客攻擊中造成的最大損失規(guī)模。
DeFi的全稱是Decentralized Finance,即“去中心化金融”,當(dāng)前DeFi項(xiàng)目主要在以太坊的區(qū)塊鏈上進(jìn)行。不過,Solana近階段成長很快,其憑借收費(fèi)更低和速度更快的優(yōu)點(diǎn),已成為以太坊的競爭對手,在DeFi和NFT(非同質(zhì)化代幣)生態(tài)系統(tǒng)中日益受到關(guān)注。
那么,問題就來了,加密貨幣持有者通常不會只在一個區(qū)塊鏈內(nèi)運(yùn)營,他需要將其帳面財(cái)富在不同的區(qū)塊鏈間移動。那樣,類似蟲洞(Wormhole)這樣的橋梁就出現(xiàn)了。蟲洞項(xiàng)目本質(zhì)是一個協(xié)議,允許用戶在Solana和以太坊之間移動他們的令牌和NFT。
蟲洞的推特帳號已證實(shí)了該起黑客攻擊,稱該網(wǎng)絡(luò)將停機(jī)維護(hù),同時正調(diào)查潛在的漏洞。而其推特最新發(fā)布的消息是,這個漏洞已經(jīng)被修補(bǔ),正在努力使網(wǎng)絡(luò)盡快恢復(fù)。
損失慘重
區(qū)塊鏈網(wǎng)絡(luò)安全公司CertiK的一項(xiàng)分析顯示,迄今為止,黑客攻擊者至少盜走價值2.51億美元的以太幣,近4700萬美元的Solana幣,超過400萬美元的穩(wěn)定幣USDC,一種與美元價格掛鉤的穩(wěn)定幣。
QuikNode的聯(lián)合創(chuàng)始人Auston Bunsen指出,像蟲洞這樣的橋梁通過兩個智能合約來工作——每條鏈上有一個智能合約,Solana上有一個智能合約,以太坊上也有一個智能合約。
這樣,蟲洞就可以接收以太坊代幣,將其鎖定在一個區(qū)塊鏈上的一個契約中,然后在橋的另一邊鏈上,它會發(fā)出一個并行的代幣。通常,并行以太幣與原始幣的價值掛鉤,但可以與其他區(qū)塊鏈互操作
CertiK的初步分析顯示,黑客攻擊者利用了蟲洞橋Solana側(cè)的一個漏洞,為自己創(chuàng)建了12萬個所謂的“包裝”以太坊代幣(即膺品)。隨后黑客們似乎使用這些被包裝過的并行代幣來要求換取橋上以太坊一側(cè)持有的真正以太幣。
在此次攻擊前,Solana區(qū)塊鏈上的以太幣和包裝以太幣的比例為1:1,“本質(zhì)上是一種托管服務(wù)”。但這次攻擊后,這種兌換關(guān)系被打破了,因?yàn)闃蛄悍饺绷酥辽?3750個以太幣作為抵押品。
對區(qū)塊鏈安全敲響警鐘
CertiK在該事件發(fā)生后的一份報(bào)告中指出,當(dāng)一個“橋梁”擁有數(shù)億美元的托管資產(chǎn),并在兩個或多個區(qū)塊鏈上操作,這就增加了它們可能被攻擊的管道,從而可能成為黑客們的主要攻擊目標(biāo)。
CertiK聯(lián)合創(chuàng)始人Gu Ronghui表示,“蟲洞的3.2億美元黑客攻擊,凸顯了針對區(qū)塊鏈協(xié)議的攻擊日益增長的趨勢...這次襲擊敲響了人們對區(qū)塊鏈安全問題日益擔(dān)憂的警鐘?!?/p>
區(qū)塊鏈分析公司Elliptic的聯(lián)合創(chuàng)始人湯姆?羅賓遜(Tom Robinson)表示,這再次表明,DeFi服務(wù)的安全性還沒有達(dá)到可以容納大量資金的水平。
他說,“區(qū)塊鏈的透明度,本身就允許攻擊者識別和利用主要漏洞?!?/p>
本文來源“財(cái)聯(lián)社”,作者齊林,智通財(cái)經(jīng)編輯:陳秋達(dá)。