以太坊成功從工作量證明(PoW)轉向權益證明(PoS)。共識演算法發生變化幾天后,駭客攻擊發生在以太坊工作量證明,以太坊區塊鏈的一個分支。這是共識演算法沒有改變的網路版本。它仍然在 PoW 的基礎上運行,礦工仍然可以發揮重要作用。
要將加密貨幣從主區塊鏈交換到分叉區塊鏈,反之亦然,用戶必須穿過橋樑。這些協議允許資產從一個區塊鏈轉移到另一個區塊鏈。在此過程中,存入的加密貨幣被鎖定在智能合約中。同時,在目標區塊鏈上發行等值的封鎖貨幣。這樣,用戶就可以在另一個區塊鏈上使用他們的資產。在這種情況下,他們可以在主鏈上使用 ETHW 代幣,反之亦然。
是的,但情況是這樣的:2022 年 9 月 18 日星期日,即合併三天后,一名駭客發動了攻擊全橋,連接多個網路(包括以太坊區塊鏈)的橋樑之一。區塊鏈安全專家 BlockSec 的研究人員很快就發現了這種攻擊。
1/ 警報 | BlockSec 偵測到攻擊者正在重播 PoS 鏈的訊息(calldata)@EthereumPow。漏洞利用的根本原因是橋接器沒有正確驗證跨鏈訊息的實際chainid(由橋接器自行維護)。
— BlockSec (@BlockSecTeam)2022 年 9 月 18 日
透過利用 Omnibridge 操作中的缺陷,駭客成功地存入的加密貨幣數量增加一倍。駭客在橋上存入了 200 ETH。他很快就撤回了這些資金,但由於此次洩露,他在以太坊 PoW 區塊鏈上收到了 200 ETHW。顯然,他能夠帶著數位貨幣離開,而無需在智能合約中凍結他的資產。因此,資金被重複。攻擊者在此過程中獲利 8 至 10,000 美元。
另請閱讀:為什麼用顯示卡開採加密貨幣不再有利可圖
分岔之間的橋樑,以太坊的薄弱環節?
在一篇博文,以太坊 PoW 開發者強調,缺陷並不在區塊鏈層級。此次違規行為使得複製加密貨幣成為可能,該違規行為來自 Omnibridge 橋上的智能合約。
“沒有出現 ETHPoS 到 ETHPoS 之間的重播攻擊,這是 ETHW Core 安全工程師所預料的”,解釋一下ETH PoW的開發者。
因此,這座橋應對這次襲擊負責。正如 Chainaanalysis 專家報告的那樣,«“橋樑是駭客的主要目標,因為它們通常託管一個中央存儲空間,其中存儲用於支援接收區塊鏈上發行的貨幣的加密貨幣。”
記錄最多的駭客攻擊今年的目標還包括橋樑。今年夏天,生態系的特徵尤其明顯游牧駭客,導致 1.9 億美元的加密貨幣消失。就 Nomad 而言,違規行為是由橋智能合約的更新引起的。最近,連接以太坊的 Arbitrum 橋也發現了一個嚴重缺陷。海盜可能竊取了在橋上運輸的資金。幸運的是,該漏洞在駭客利用之前已關閉。
其他攻擊媒介
合併之後,不再由礦工來保護以太坊區塊鏈上的交易。現在,這些是驗證者誰負責保護網路。要成為驗證者,必須至少擁有 32 個以太幣。然後將這些代幣作為抵押品存入。然後驗證者會收到 ETH 獎勵,就像合併之前的礦工一樣。
« 賭注(編按:個人)只涉及以太坊維護者社區,他們擁有強大的技術技能。它不是給每個人的。訪問並不容易 »專門從事網路安全的新創公司 Woleet 的創辦人 Gilles Cadignan 在接受 01Net 採訪時感到遺憾。
這就是為什麼大多數驗證器都會經過集中質押平台。許多加密貨幣交易所都提供質押服務。 Coinbase、Binance、BlockFi 甚至 Kraken 都是如此。合併後,以太坊區塊鏈的安全管理變得相當集中。 Woleet 的創始人指出,這種現像已經得到了開發商的廣泛預期。
“合併通過後,在 1000 個區塊中,有 420 個區塊由兩個位址驗證”吉爾斯·卡迪尼昂 (Gilles Cadignan) 強調。
在集中大部分質押的實體中,我們發現麗都。這是一項允許任何人成為以太坊驗證者的服務。該協議吸引了許多熱衷於增加資產的投資者。結果,Lido 開始佔據以太坊驗證市場 30% 以上的份額。另請注意,存放在 Lido 上的絕大多數資產都是以太幣。在該協議的 78 億美元質押中,76.1 億美元是 ETH。然而,Lido並不是真正的中心化玩家。這是一家公司仲介近30家企業。
質押平台的無所不在伴隨著“與監理相關的審查的潛在風險 », 估計的離開lhamid Bakhta,以太坊開發者。具體來說,一個實體,例如政府,可以對驗證者施加壓力迫使他拒絕交易。理論上,像 Lido 這樣的驗證器可能需要«遵守法規»Woleet 執行長補充道。
合併後,美國還認為以太坊區塊鏈取決於美國立法。倒證券交易委員會 (SEC)美國金融警察稱,所有在以太坊上進行的交易都被視為發生在美國。監管機構強調,大多數驗證器都位於美國境內。正如 Etherscan 所示,該網站可讓您探索區塊鏈,超過45%的節點實際上是在該國領土上託管的。驗證者將來必須遵守美國法律嗎?
以太坊,變得太複雜的區塊鏈?
在接受我們的提問時,Gilles Cadignan 也提到沒有任何利害關係或“沒有什麼可失去的”,“所有共識演算法愛好者都知道的一個問題 »。這個缺陷是權益證明所固有的,包括驗證區塊鏈兩個分叉上的交易。為了防止驗證者驗證兩個網路上的區塊,開發人員實現了砍伐。這是關於懲罰制度這會懲罰試圖並行驗證多個分支上的區塊的驗證者。
隨著此類的增加,以太坊合併將帶來相當大的影響。使區塊鏈程式碼複雜化。這種增加的複雜性將為未來發現潛在漏洞打開大門。而且, ”持續的根本性改變 »以太坊開發人員頒布的法令以及大量的分叉可能會削弱基礎設施。
«複雜性是安全的敵人。越複雜,出現缺陷的風險就越大。而以太,有了PoS,就更複雜了,程式碼行數就更多了。我認為程式碼行數多了100倍,它向各個方向發展 »,Gilles Cadignan 解釋道,強調有“只有一個問題就能讓一切走到一起”。
