天眼深度丨DeFi 中约 50% 的攻击发生在跨链桥上！

　　根据加密数据聚合器 Token Terminal 的一份新报告，去中心化金融（DeFi ）中大约 50% 的攻击发生在跨链桥上。

　　在两年的时间里，黑客利用跨链桥上的漏洞窃取了超过 25 亿美元。与当时的 DeFi 借贷黑客（7.18 亿美元）和去中心化交易所漏洞（3.62 亿美元）等其他安全漏洞相比，这一数额是巨大的。

　　Token Terminal发布推特称：“Bridge 漏洞利用占所有 DeFi 漏洞利用的约 50%，资产损失总计约 2.5B 美元。这些黑客攻击通常可归因于智能合约漏洞（例如 Wormhole 和 Nomad）或泄露的私钥（例如 Ronin 和 Harmony）。”

　　允许用户将数字资产从一条链转移到另一条链的跨链桥以其解决多链扩展问题的能力而闻名。然而，构建和随后审计它们的复杂性，加上锁定在其智能合约中的大量资金，引起了黑客的极大关注。

　　Immunefi 首席执行官兼安全专家 Mitchell Amador 解释说，DeFi 领域的一些开发人员根本缺乏必要的知识来保护这种复杂的机制：

　　“许多开发人员通过简单地复制和粘贴其他项目的代码来启动项目。当其中一个项目存在漏洞时，其他项目通常也存在漏洞。开源智能合约对所有人可见和可访问，可以很容易地吸引黑帽来研究它们，发现它们的脆弱之处并加以利用。”

　　到目前为止，绝大多数交叉更改漏洞似乎都发生在以太坊虚拟机 (EVM) 区块链上。这包括今年最严重的事件，例如Axie Infinity Ronin 桥黑客攻击、Wormhole 令牌桥黑客攻击 和Nomad 桥黑客攻击。

　　同时，基于 Cosmos 跨链通信（IBC）协议的跨链桥，已锁定总价值超过 10 亿美元，在很大程度上避开了攻击的先头。尽管上周，Cosmos 联合创始人 Ethan Buchman 表示，经过安全审计后，在 IBC 上发现了一个重大安全漏洞。该漏洞已被修补，并且没有因事件而损失任何资金。

　　根据 FBI 的一项公共服务公告显示，2020 年 DeFi 平台占加密货币盗窃案的 30%。2021年，这一数字上升到 72%，现在已达到近 100%。FBI 将大幅上涨归因于对加密货币的兴趣增加以及“跨链功能的复杂性和 DeFi 平台的开源性质”。此外，FBI 列出了在此期间观察到的三个成功攻击的例子。当参与者利用 DeFi 平台的代币桥中的签名验证漏洞时，让投资者付出最大代价的事件发生了，该漏洞允许在两条不同的链之间进行交易。