跨链桥安全事故频发如何降低风险

随着大众对加密货币的兴趣及其价值都在蓬勃发展，这些钱也成为了对精通技术的窃贼的有吸引力的目标。

3月29日，Axie Infinity 专属侧链Ronin被曝被盗价值 6.24 亿美元的加密资产（包括173,600 ETH和 2550 万 USDC），堪称有史以来最大的黑客加密货币抢劫案之一。

更尴尬的是，这次黑客事件发生在 6 天前。

受此影响，AXS价格下跌，RON闪崩，这次重大利空事件详情如何？又会对AXS币价造成何种影响呢？

被盗经过

作为一条以太坊侧链，Ronin 的跨链桥采用的是 MPC 门限签名技术，其设置的 9 个验证者密钥中，需要有 5 个或 5 个以上的验证者密钥批准才能进行存款和取款交易。

而其中有 4 个密钥是由同一个人（即 Sky Mavis）负责管理的，这意味着，只要攻击者控制了 Sky Mavis 的密钥，然后再控制另一个验证者密钥，那么整个Ronin网络的资金就被黑客掌控了。最终攻击者设法控制了五个私钥，其中包括 Sky Mavis 的四个 Ronin 验证器和一个由 Axie DAO 运行的第三方验证器。

而目前多数跨链桥项目，均采用了这样的多重签名技术，因此，理论上，这些项目也都可能会遭受类似的攻击。

Sky Mavis表示，事件发生后，他们将把交易所需的节点数量增加到8个，一旦确定没有更多资金可用，它将“在以后”重新开放 Ronin 。

事件发生后，Ronin桥和Katana Dex已暂停运行。

被盗原因分析

1. Ronin是GameFi项目Axie Infinity做的游戏以太坊侧链，Axie玩家需要将ETH、USDC等跨链到Ronin侧链上玩Axie游戏；

2. Ronin采用简易的资产跨链模式，用户在以太坊上向Ronin跨链合约转账资产，Ronin控制的私钥钱包在Ronin链上给用户铸造ETH或USDC。若用户在Ronin上销毁USDC、ETH，则Ronin控制的私钥钱包签名提币证明，用户拿提币证明调用以太坊跨链合约赎回USDC、ETH等资产；

3. 这意味着Ronin控制的私钥钱包配置在服务器上，并且第三方服务可访问，在服务器上就存在被盗私钥可能性。

项目方所采取的行动

事件曝光后，项目方便迅速采取行动，并积极采取了以下措施防范未来的攻击。

1、为了防止进一步的短期损害，将验证人门槛从 5 个增加到 8 个。

2、及时与主要交易所的安全团队保持联系，将在未来几天内与所有人建立联系。

3、正在迁移节点，与旧基础设施完全分离。

4、暂时暂停 Ronin Bridge，确保没有进一步的攻击向量保持开放。保险起见Binance 还暂时禁用了他们与 Ronin 之间的桥梁。

5、由于无法套利和向 Ronin Network 存入更多资金，暂时禁用了 Katana DEX。

6、正在与 Chainalysis 合作监控被盗资金。

下一步

项目方正与各个政府机构直接合作，以确保将罪犯绳之以法。

正在与 Axie Infinity / Sky Mavis 利益相关者讨论如何最好地推进并确保没有用户的资金损失。

Sky Mavis 长期存在，并将继续建设。

关于跨链

上个月，黑客以 3.2 亿美元的价格利用了虫洞桥。今天，黑客以 6.25 亿美元的价格利用了 Ronin Bridge。这不得不让我们再次重视一个问题：跨链桥也许比我们意识到的要脆弱得多。

V神曾经发布文章表示：关于为什么未来将是*多链*，但不会是*跨链*的论点——跨越多个“主权区域”的桥梁的安全性存在根本限制。此次Ronin Bridge被盗6.24亿美元，让我们不得不重视跨链所带来的安全性问题。

目前以太坊生态最依赖的 rollup 跨链桥，相比侧链跨链桥，当前的 rollup 跨链桥可能看上去并没有什么本质上的不同，两者都会依赖 n-of-m 联邦信任模型（也就是多重签名），但 rollup 跨链桥可以随着发展去掉这个信任模型，而最终的风险点在于智能合约本身，而侧链的跨链桥，当前只能依赖这个联邦信任模型，同时还会面临智能合约风险以及 51% 攻击风险。

一些简单的建议

跨链的水太深了，几乎每种方案都会面临多种潜在的攻击方式，系统设计的越复杂，遭遇攻击的可能性也就越大，因此，并不建议通过现有的跨链桥在各个公链之间转移太多的资产。如果实在有需求，可以采取以下几种方式，以降低遭遇攻击的风险；

通过较安全的中心化交易所，兑换对应链的原生资产，然后将其提取到相应链，以避免可能发生的智能合约风险。

采用信任最小化的跨链桥，例如 IBC、Nomad 以及成熟的 rollup 跨链桥。

暂时不看TVL指标，这个值越高，跨链桥被黑客攻击的可能性也就越大。

采用长期存在，并且从未出过安全事故的跨链桥，同时尽量避免使用不同生态之间的跨链桥。

写在最后

此次事件被盗了6亿美金金额巨大，一旦追不回，AXS赔付用户损失资金的可能性极低，现在只能等待官方后续的公告，如果没有做好赔付，AXS很有可能从此一蹶不振。以后也很难恢复元气了，一旦失去了用户的信任，Ronin作为一条侧链也基本挂了。

Ronin这次的被盗事件，短期会对链游造成不小打击。Axs或将剔除出龙头行列，最后，衷心希望跨链桥能够越来越安全。

查看更多

—-

编译者/作者：必查客

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。