跨鏈橋的詛咒：Nomad黑客攻擊事件解析-ODAILY_EDO:Qredo

太長不讀版：

Nomadhack是由用于在兩個不同區塊鏈架構之間創建鏈接的復雜智能合約引起的漏洞的結果。

Qredo對區塊鏈互操作性采取了完全不同的方法——不是直接將區塊鏈與智能合約橋接，而是通過Qredochain作為可互操作的第2層網絡進行鏈接。資產始終由分散的MPC保護。

回到狂野西部，最大的搶劫案是火車搶劫案。

在加密貨幣的金融前沿，運輸中的資產也被證明是一個有利可圖的目標。

根據Chainalysis的數據，截至2022年，跨鏈橋黑客攻擊占黑客攻擊的69%，被盜的金額超過20億美元，跨鏈安全的想法正受到審查。

IPFS創始人發布Filecoin整體規劃：擬打造跨鏈橋、構建和以太坊虛擬機的兼容性等:9月21日消息，在由萬向區塊鏈實驗室主辦的第八屆區塊鏈全球峰會上，IPFS創始人Juan Benet發布題為《Filecoin整體規劃》的主旨演講，Filecoin整體規劃分為3個階段：1.搭建世界上最大的去中心化存儲網絡；2.上傳人類各種數據，并且開發大規模的數據的載入管道；3.將數據和計算相結合。

Filecoin已實現第一階段并正在關注第二階段，Filecoin正通過幾個大的項目，來實現這個階段的目標。今年年初全網大概有20pb的數據使用，而現在已升至185pb。此外，在第三階段，Filecoin計劃將在明年第一季度為Filecoin虛擬機引入可編程性從現在到明年的第一季度，Filecoin將會推出一系列的測試網，讓很多團隊可以基于測試網進行構建。Filecoin也在構建和以太坊虛擬機的兼容性，也就是說開發者可以直接調用以太坊FVM的合約，不需要做任何的變更，最多是改變一下部署路徑，就可以去部署。Filecoin還有一個非常重要的維度，就是打造與其他區塊鏈連接的跨鏈橋。[2022/9/21 7:11:14]

在這篇文章中，我們解開最新的跨鏈黑客——2022年8月的Nomad黑客——并解釋為什么Qredo為區塊鏈互操作性提供了更好的模型。

跨鏈橋 Hop Protocol 已開放治理代幣 HOP 申領:金色財經消息，跨鏈橋 Hop Protocol 在 Twitter 上宣布已開放治理代幣 HOP 申領，代幣合約地址為 0xc5102fe9359fd9a28f877a67e36b0f050d81a3cc，初始流通量為 5480 萬枚 HOP。用戶在領取空投前需要選擇一位委托進行治理的代表。[2022/6/10 4:15:04]

橋的類型

要在區塊鏈之間移動資產，您可以在兩種類型的橋接器之間進行選擇：受信任的和無需信任的。

受信任的橋使用一個集中的實體進行操作，要求您依賴受信任方的安全性并放棄對您資產的控制權。這種模式與加密的點對點精神背道而馳。

無需信任的橋依賴于智能合約和算法。您可以保持對資產的控制，但必須依賴智能合約和底層區塊鏈的安全性。

Cosmos跨鏈橋Gravity Bridge已啟動，明年初將遷移至Cosmos Hub:12月16日消息，負責管理Cosmos（ATOM）生態系統的瑞士非營利組織Interchain Foundation周三宣布啟動由去中心化互聯網服務提供商Althea構建的跨鏈橋Gravity Bridge。

Gravity Bridge允許在以太坊和Cosmos區塊鏈之間轉移ERC-20代幣。在最初階段，Gravity Bridge將作為一個獨立的鏈運行，然后在明年初遷移至Cosmos Hub。其關鍵技術特征包括跨兩個鏈的可互換代幣發行，以及對以太坊到Cosmos預言機的支持。（Cointelegraph）[2021/12/16 7:43:34]

去信任的橋梁：黑客的熱門目標

去信任的橋梁通常通過在每條鏈上都有智能合約來工作。代幣被鎖定在一條鏈上的智能合約中，然后在另一條鏈上重新發行，通常以“包裝”的形式。

Zilliqa鏈上DEX Zilswap Q3路線圖包括Zilswap 2.0、ZILO、ZIL-ETH跨鏈橋:基于Zilliqa的去中心化交易所Zilswap在推特上透露第三季度路線圖，包括Zilswap 2.0、ZILO（Zilswap首次啟動發行）以及與跨鏈互操作協議Poly Network合作創建ZIL與ETH間跨鏈橋。[2021/6/6 23:16:09]

例如，要將100個代幣從Solana轉移到以太坊，代幣持有者會將代幣鎖定到Solana上的橋接智能合約中。然后，橋接合約將在以太坊上鑄造100個等價或包裝版本的代幣。

為了將代幣歸還給原鏈，代幣持有者會將代幣發送回智能合約進行銷毀，從而觸發另一條鏈上的橋接合約釋放代幣。

這些網橋不斷成為攻擊者目標的主要原因有兩個：

價值

跨鏈橋通常在其智能合約中持有大量資產。

2.漏洞

架構、共識算法和編程語言的技術差異可能使連接單獨的區塊鏈變得非常困難。很容易犯錯誤——導致攻擊者可以利用的漏洞。

Nomadhack是如何發生的

Nomad橋支持在包括Avalanche和以太坊在內的多個區塊鏈之間傳輸代幣。在最新的跨鏈攻擊中，它耗盡了價值超過1.5億美元的加密資產。

那么這是怎么發生的呢？

Nomad橋有兩個組成部分：每條鏈上的智能合約，以及跨鏈保護和中繼狀態的鏈下代理。

該漏洞利用了最近的升級，該升級使接收鏈上的智能合約容易受到破壞。

要準確了解這是如何發生的，我們需要熟悉一種稱為Merkle樹的特定數據結構。

什么是哈希樹？

哈希樹是密碼學和數據科學中用于為數據集生成唯一標識符的數據結構。在區塊鏈中，哈希樹用于加密、匯總和驗證塊中的所有數據。通過這種方式，它們就像一個數字指紋，可以快速驗證一個塊中的所有數據在網絡對等點之間傳遞時是否完整、未損壞且未更改。哈希樹的一個關鍵元素是MerkleRoot。這是所有散列交易的散列，表示該塊中包含的所有數據的完整性。

那么Nomad橋發生了什么？

通常，初始化的交易哈希與包含交易的區塊的默克爾根哈希相關聯。這使驗證者能夠檢查交易是否已被證明，并更新區塊鏈的狀態。

未經證明的消息的MerkleRoot將是0x00，因為該消息將未初始化。

事實證明，在例行升級期間，Nomad團隊意外地將可信根初始化為0x00。這意味著默克爾樹沒有證明交易是有效的。

因此，任何人都可以簡單地找到現有的交易從橋中提取資產，并用他們自己的地址替換目標地址，然后將其重新廣播到區塊鏈以獲取資產。

一旦最初的攻擊者證明這是可能的，其他人很快就加入了——創造了所謂的第一次去中心化搶劫事件。

Qredo的跨鏈互操作性方法

與最近幾乎所有其他橋梁黑客一樣，Nomad黑客是用于在兩個不同區塊鏈架構之間創建鏈接的復雜智能合約中的漏洞的結果。

Qredo采用了不同的方法——不是直接將區塊鏈與智能合約橋接，而是通過Qredochain作為可互操作的第2層網絡進行鏈接。

通過這種方式，Qredo上持有的資產始終在底層鏈上保持安全，并得到去中心化MPC的銀行級安全性和自定義治理的支持。

然后，第2層Qredochain充當資產注冊表，使資產能夠在Qredo網絡上的錢包之間即時交易，并通過與MetaMaskInstitutional和WalletConnect的集成部署到不同的區塊鏈。

在任何時候，您Qredo錢包中持有的資產都在您的控制之下，并且只能通過您的治理策略進行管理。

通過BlockExplorer確保償付能力，它顯示了每個第2層Qredo錢包如何映射到底層網絡地址的透明且不可變的記錄。

注冊QREDO錢包

原地址：https://www.qredo.com/blog/nomad-hack

Qredo中文頁面：qredo.com/zh-cn

Tags：區塊鏈EDOQredoRED區塊鏈dapp開發合法嗎Seedonqredo幣最新消息JARED

FIL