DeFi区块链桥虫洞受到骇客攻击 骇走3.2亿美元加密货币 新闻来源连结： https://bit.ly/3sAOTkk 新闻本文： 全球第二大去中心化金融平台DeFi「虫洞」（Wormhole）被骇走价值3.2亿美元加密货币 ，创史上第4大加密货币劫案，也突显加密货币平台屡招攻击趋势和安全性问题，更令快 速成长的DeFi再受打击。 「虫洞」是一个可使不同加密货币网络交流资讯的网路平台。2月2日，DeFi 虫洞（ Wormhole）是连接以太坊和 Solana 区块链，最受欢迎的桥梁之一，遭到骇客攻击，导致 Solana受到影响并降低了大约 10% 的价格。其实，这并非第一次发生骇客抢劫事件。之 前，骇客从 DeFi 协定Qubit Finance 中窃取了 8000 万美元。而最大的骇客攻击发生在 去年(2021) 8 月，从 Poly Network 平台被盗价值 6 亿美元的代币。但奇怪的是，攻击 者随後退回了所有的钱，因为他们的目的是暴露系统漏洞及展现骇客攻击能力。 进行跨区块链桥接 桥接bridge是一种协定(portocol)，允许用户在不同的区块链之间“桥接”或移动加密货 币、代币和 NFT 等虚拟资产。加密货币持有者通常不会只在一个区块链生态系统中运作 ，因此开发人员创建了桥梁来进行虚拟交易的转换。而Defi推出虫洞Wormhole 锁定的总 价值超过 10 亿美元，支持六种区块链：Terra、Solana、Ethereum、Binance Smart Chain、Avalanche 和 Polygon。 发生骇客攻击 美国加密货币交易所和银行 Kraken 的首席安全官 Nicholas Percoco 表示，桥接骇客 (bridge hack)是指在连接两个不同区块链的桥接合约中，发现并利用漏洞。也就是说， 桥接骇客发现Solana 和以太坊之间交易的 Wormhole 桥出现漏洞而成为下手目标，攻击 者能够在Solana的桥端新产生代币，并从桥合约的以太坊端盗取余额代币，相当於超过 3.2亿美元。 根据美国新泽西州罗格斯商学院的区块链专家和金融科技教授 Merav Ozair 博士的说法 ，骇客攻击发生在“Bridge”上，这是第 2 层而不是第 1 层，因此不是加密货币而是自 己被骇了。如果，区块链生态系统希望扩大规模并成为主流，就必须了解如何在去中心化 应用程序或平台中实施审计机制(audit mechanism)。 第 1 层是用於描述底层主要区块链架构（即区块链，例如 Ethereum 或 Solana、 Avalanche 或 Algorand）的术语。第 1 层几乎不可能被破解。 但第 2 层，即位於底层区块链（例如虫洞桥）之上的覆盖网络，安全性较低，因此更容 易受到代码漏洞利用的影响。 就像，两个城市之间有一座桥，攻击发生在城市之间的桥上，但两座城市都没有受到攻击 或损坏。因此，解决方案应该是创建更安全的区块链桥梁，以屏蔽任何潜在的攻击。区块 链是在网路运作的一种软体，容易受到错误代码的影响及被利用。 由於，区块链生态系统存在风险，资安专家一直主张应该有一种安全机制(security protocols)，在任何应用程序完全启动之前对其进行审核。这种机制已经存在於集中式系 统中，例如 Apple 的应用程序中。专家认为，区块链生态系统如果希望扩大规模并成为 主流，就必须了解如何在去中心化应用程序或平台中实施审计机制。 DeFi平台运作概念 DeFi 是一种新兴的金融技术，具有称为智能合约的可编程代码片段，可以在交易中取代 银行和律师等中间人。 DeFi让客户不必直接向银行等传统金融把关单位来借款、放款和 存款，而是使用加密货币，因此吸引大笔现金流入这类平台。还有，DeFi存款报酬率高而 吸引投资人。随着DeFi平台飙速成长，也吸引骇客高度攻击风险，甚至进行犯罪洗钱。近 期，DeFi Technologies 看准零碳排商机，而加入加密气候协议(CCA)，希望提供去中心 化金融进行碳交易服务。 评论： 网路骇客偷走 12 万 wETH（包装过的以太币)，Wormhole回应该问题已经解决，但此事件再度凸显区块链的资安问题。 --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 203.145.192.245 (台湾) ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/DigiCurrency/M.1644550373.A.A5B.html