看THINKIUM链如何破解:黑客的重点目标丨区块链桥梁

看THINKIUM链如何破解:黑客的重点目标丨区块链桥梁

Fantom、Terra或Avalanche等网络在DeFi活动中变得更加频繁，而Axie Infinity和DeFi Kingdoms等游戏则维持着Ronin和Harmony等整个生态系统。

这些区块链已成为以太坊的重要替代品。需要一种简单的方法在不同区块链上的协议之间移动资产变得比以往任何时候都更加重要。这就是区块链桥梁的用武之地。

了解区块链桥梁

”虚拟世界中的曼哈顿大桥“

由于多链场景的增加，所有DeFi dapp的总价值锁定（TVL）飙升。截至2022年3月，该行业的TVL估计为2150亿美元，比2021年3月相比高出156%。这些DeFi dapp中锁定和桥接的价值量吸引了恶意黑客的注意，最新趋势表明，攻击者可能已经发现了区块链桥梁的薄弱环节。根据Rekt数据库2022年第一季度有12亿美元的加密资产被盗，占同一来源的历史被盗资金的35.8%。有趣的是，2022年至少80%的损失资产是从桥梁上被盗的。 

最严重的攻击之一发生在两周前，当时Ronin桥被黑客入侵，损失高达5.4亿美元。在此之前，Solana Wormhole和BNB Chain的Qubit Finance桥在2022年被利用了超过4亿美元。加密历史上最大的黑客攻击发生在2021年8月，当时PolyNetwork桥被盗取了6.1亿美元。

 

从安全的角度来看，网桥可以分为两大类：可信和不可信。受信任的桥接是依赖第三方来验证交易的平台，但更重要的是，它充当桥接资产的保管人。几乎所有特定于区块链的桥梁都可以找到可信桥梁的示例，例如Binance Bridge、Polygon POS Bridge、WBTC Bridge、Avalanche Bridge、Harmony Bridge、Terra Shuttle Bridge，以及 Multichain（以前称为 Anyswap）或Tron的Just Cryptos 等特定Dapp。 

相反，纯粹依靠智能合约和算法来托管资产的平台是去信任的桥梁。去信任桥的安全因素与资产被桥接的底层网络相关，即资产被锁定的地方。在NEAR的Rainbow Bridge、Solana的 Wormhole、Polkadot的Snow Bridge、Cosmos IBC以及Hop、Connext和Celer等平台中可以找到去信任的桥。乍一看，去信任桥似乎为在区块链之间转移资产提供了更安全的选择。然而，受信任和去信任的桥梁都面临着不同的挑战。 

Ronin 桥作为一个集中的可信平台运行。该桥使用多重签名钱包来托管桥接资产。简而言之，多重签名钱包是一个需要两个或多个加密签名来批准交易的地址。在 Ronin 的案例中，侧链有九个验证者，需要五个不同的签名来批准存款和取款。  

其他平台使用相同的方法，但更好地分散了风险。例如，Polygon 依赖于 8 个验证器并需要 5 个签名。这五个签名由不同的各方控制。就 Ronin 而言，Sky Mavis 团队单独持有四个签名，造成单点故障。黑客一次性控制了四个Sky Mavis签名后，只需要一个签名就可以批准资产的提现。 

3月23日，黑客控制了Axie DAO的签名，这是完成攻击所需的最后一部分。在有史以来第二大加密攻击的两笔不同交易中，173,600ETH从Ronin的托管合约中流失。还值得注意的是，Sky Mavis团队在将近一周后发现了该黑客事件，这表明Ronin的监控机制是这个可信平台的另一个缺陷。 

 

作为托管桥接资产的两种方法，受信任桥接和去信任桥接都容易存在基础和技术缺陷。尽管如此，仍有一些方法可以防止和减少针对区块链网桥的恶意攻击者造成的影响。 

在可信任桥的情况下，很明显需要增加所需签名者的比例，同时还要将多重签名分配到不同的钱包中。尽管去信任的桥梁消除了与集中化相关的风险，但漏洞和其他技术限制仍然存在风险情况，如Solana Wormhole或Qubit Finance漏洞利用所示。因此，有必要实施链下行动以尽可能保护跨链平台。

Web3空间的特点是其社区社区，因此让业内最聪明的人共同努力使该空间成为一个更安全的地方将是完美的场景Animoca Brands、Binance和其他Web3品牌筹集了1.5亿美元，以帮助Sky Mavis减少Ronin桥的财务影响。为多链未来而共同努力可以将互操作性提升到一个新的水平。 

 

同样，与链分析平台和中心化交易所 (CEX) 的协调应该有助于追踪和标记被盗代币。这种情况可能会在中期抑制犯罪分子，因为将加密货币兑现为法定货币的网关应该由已建立的CEX中的KYC程序控制。上个月，两名20岁的年轻人在NFT领域诈骗后受到法律制裁。对已识别的黑客要求同样的待遇是公平的。

审计和漏洞赏金是改善任何 Web3 平台（包括桥梁）健康状况的另一种方式。Certik、Chainsafe、Blocksec等认证组织有助于使Web3交互更安全。所有活动桥梁都应由至少一个认证组织进行审核。 

作为挑战以太坊dapp的整体区块链生态系统，L1和L2解决方案的激增催生了跨链平台在网络之间移动资产的需求。这是互操作性的本质，也是Web3的支柱之一。 

Thinkium能确保安全的同时，解决区块链世界数字资产的高效自由流通，

Thinkium集成layer1+layer2的各项技术，支持分层及平行子链、同构及异构跨链、分片、支持EVM及资产桥，可全面连通目前区块链世界的所有数字资产，用同构同体的数字资产，使得各类资产在Thinkium上高效安全互通。

Thinkium采用独有的分层多级链结构的设计，通过分层多链、链内分片和子链互通实现性能无限扩展。解决跨链桥风险，解决承载Web级别大规模用户的需求。目前TPS达到100,000+。

基于Thinkium底层安全共识网络，任何用户都可以搭建并定制不同业务的行业公链。基于Thinkium主链低成本、高效跨链，性能无限可扩展、复杂合约高并发等特性，行业公链的应用范围也可以无限扩展，逐步弥合物质商业世界与数字世界之间存在的鸿沟，通过链上去中心化机制，解决跨链安全问题，开启Web3.0的商业新世界。