Yahoo奇摩財經 
加密貨幣陷熊市,還被駭客「橋接器」上偷走14億美元!發生什麼事?
加密貨幣投資者今年不止受到崩盤市值蒸發的重擊,還有駭客和詐騙一連串沉重打擊。今年以來,駭客已從加密橋接器上竊走14億美元,主要的原因在於,網路犯罪分子找到了一個特別有用的途徑——橋樑,用來竊取虛擬貨幣。
加密幣貨幣被駭客入侵竊取時有所聞,先前美國加密幣公司Harmony跨鏈橋樑也遇駭,遭竊走1億美元(約新台幣30億元)的數位貨幣,但區塊鏈「橋樑」究竟是什麼?重要性在何處?
區塊鏈「橋樑」是什麼?
區塊鏈「橋樑」的原理與現實世界中真實橋樑類似。然而,加密領域中的「橋樑」不是連接物理位置,而是連接兩個不同的區塊鏈網路,若沒有「橋樑」,區塊鏈就會處於孤立的環境中,無法相互通信。
這是因為每個區塊鏈網路都有自己的一套規則、治理機制、原生資產和數據,與其他區塊鏈不兼容,一旦有了「橋樑」,就可以在區塊鏈網路之間轉移加密資產和任意數據。因此,「橋樑」是加密生態系統中互操作性的關鍵,對於讓不同區塊鏈網路相互兼容有非常重要的作用。
然而,理想上來說,橋樑實現了不同區塊鏈之間的互通,但就像複雜的數學問題一樣,當攤開來看加密生態系統中的不同橋接解決方案時,會發現沒有一種方法是可以通用的。跟現實世界一樣,橋樑有很多不同的設計,各自都走獨特優勢和權衡,因此,在兩個區塊鏈網絡之間可以使用哪種橋樑進行通信時,有很多選擇。
更深入來說,橋樑運作方式為在兩個區塊鏈之間建立通信通道。在理想的世界中,區塊鏈只會相互交談,但實際上,這是不可能的,因為一個區塊鏈無法存儲另一個區塊鏈的狀態。
根據區塊鏈分析公司Chainalysis的數據,自今年年初以來,這些跨鏈橋樑的駭客行為總共讓加密公司損失了約14億美元,最大的單一事件是駭客從「Ronin」這個橋樑偷走創紀錄的6.15億美元,這是一個支持NFT遊戲Axie Infinity的橋樑,讓用戶在玩遊戲時賺錢;另外,華爾街量化交易公司Jump Trading所支持的加密橋Wormhole也發生竊盜事件,損失金額達有3.2億美元。
在今年6月,Harmony的橋樑也遭受了1億美元的攻擊損失;而在上週,駭客在針對Nomad的違規行為中竊取了將近2億美元。
區塊鏈分析公司Elliptic的聯合創辦人兼首席科學家湯姆.羅賓遜(Tom Robinson)就分析:「區塊鏈橋樑已成為網路犯罪分子唾手可得的果實,價值數十億美元的加密資產被鎖定在其中」、「這些橋樑被駭客以各種方式破壞,這顯示企業的安全水平沒有跟上他們所持有的資產價值。」
加密安全公司Immunefi的技術負責人Adrian Hetman說:「這麼多錢,以及通過橋樑的交通量,是一個非常誘人的攻擊點。」
兩大案例,看「橋樑攻擊」為何頻頻發生
然而目前橋樑攻擊正在以驚人的速度發生,根據Chainalysis的數據,截至2022年在與加密相關的駭客攻擊中,有69%是在橋樑中搶劫與被偷盜的金額。
然而橋樑為什麼如此的脆弱?可以部分追溯到草率的工程所導致而成,例如,由於批准交易所需的驗證者數量有限,Harmony網路上的橋樑駭客攻擊是可行且容易的,駭客只需要破解總共五個帳戶中的兩個,就可以獲得提取資金所需的密碼。
在其它區塊鏈網路上,駭客也只需要說服網絡上九個驗證者中的五個交出他們的私鑰,就可以存取鎖定在系統內部的加密貨幣。
在Nomad的案例中,對於駭客來說更容易操縱,攻擊者能夠將任何價值輸入系統,然後提取資金——即使沒有足夠的資產存放在橋樑中。另外,根據Elliptic的說法,駭客不需要任何程式編寫能力,攻擊後也導致模仿者蜂擁而至,造成這樁史上第8大加密貨幣盜竊案。
目前,Nomad向駭客提供高達10%的賞金以取回用戶資金,並表示將避免對任何歸還其90%資產的駭客採取法律行動。
DeFi重要推手,橋樑的重要性在哪邊?
橋樑是去中心化金融(DeFi)產業的重要工具,它是加密貨幣對銀行系統的替代品。使用DeFi時,貨幣交換是由「智慧合約」管理,而不是由中心化的參與者發號施令,而該合約寫在公共區塊鏈上,例如以太坊或solana,當滿足某些條件時執行,就無需中央中介。
隨著DeFi空間的不斷發展,開發人員需要使區塊鏈具有互操作性,以確保資產和數據能夠在網絡之間順暢流動。
「沒有它們,資產就會被鎖定在本地鏈上,但橋樑也確實有風險。」為開發人員和公司提供區塊鏈基礎設施的QuikNode的聯合創辦人Auston Bunsen說。
Elliptic監管事務負責人大衛卡萊爾說:「他們實際上沒有受到監管,非常容易受到駭客攻擊,或被用於洗錢等犯罪活動。一個主要問題是橋樑是否會受到監管,因為它們的行為很像已經受到監管的加密貨幣交易所。」
根據Elliptic向CNBC提供的新研究,自2020年以來,犯罪分子通過一座名為 RenBridge的橋樑轉移了至少價值5.4億美元的贓款。
本週,美國財政部外國資產控制辦公室(OFAC)宣布對流行的加密貨幣混合器 Tornado Cash實施制裁,禁止美國人使用該服務。混合器是將用戶的代幣與其他資金池混合,以隱藏所涉及的個人和實體的身份的工具。
責任編輯:錢玉紘
