加密貨幣陷熊市，還被駭客「跨鏈橋」上偷走 14 億美元！

加密貨幣投資者今年不止受到崩盤市值蒸發的重擊，還有駭客和詐騙一連串沉重打擊。今年以來，駭客已從加密橋接器上竊走 14 億美元，主要的原因在於，網路犯罪分子找到了一個特別有用的途徑——橋樑（或稱「跨鏈橋」），用來竊取加密貨幣。

加密幣貨幣被駭客入侵竊取時有所聞，先前美國加密幣公司 Harmony 跨鏈橋樑也遇駭，遭竊走 1 億美元（約新台幣 30 億元）的數位貨幣，但區塊鏈「跨鏈橋」究竟是什麼？重要性在何處？

區塊鏈「橋樑」是什麼？

區塊鏈「橋樑」的原理與現實世界中真實橋樑類似。然而，加密領域中的「橋樑」不是連接物理位置，而是連接兩個不同的區塊鏈網路，若沒有「橋樑」，區塊鏈就會處於孤立的環境中，無法相互通信。

這是因為每個區塊鏈網路都有自己的一套規則、治理機制、原生資產和數據，與其他區塊鏈不兼容，一旦有了「跨鏈橋」，就可以在區塊鏈網路之間轉移加密資產和任意數據。因此，「跨鏈橋」是加密生態系統中互操作性的關鍵，對於讓不同區塊鏈網路相互兼容有非常重要的作用。

然而，理想上來說，橋樑實現了不同區塊鏈之間的互通，但就像複雜的數學問題一樣，當攤開來看加密生態系統中的不同橋接解決方案時，會發現沒有一種方法是可以通用的。跟現實世界一樣，橋樑有很多不同的設計，各自都走獨特優勢和權衡，因此，在兩個區塊鏈網絡之間可以使用哪種橋樑進行通信時，有很多選擇。

更深入來說，橋樑運作方式為在兩個區塊鏈之間建立通信通道。在理想的世界中，區塊鏈只會相互交談，但實際上，這是不可能的，因為一個區塊鏈無法儲存另一個區塊鏈的狀態。

根據區塊鏈分析公司 Chainalysis 的數據，自今年年初以來，跨鏈橋樑與側鏈的駭客行為總共讓加密公司損失了約 14 億美元，最大的單一事件是駭客從「Ronin」這個橋樑偷走創紀錄的 6.15 億美元，這是一個支持 NFT 遊戲 Axie Infinity 的側鏈，讓用戶在玩遊戲時賺錢；另外，華爾街量化交易公司 Jump Trading 所支持的加密橋 Wormhole 也發生竊盜事件，損失金額達有3.2億美元。

在今年6月，Harmony 的橋樑也遭受了 1 億美元的攻擊損失；而在上週，駭客在針對 Nomad 的違規行為中竊取了將近 2 億美元。

區塊鏈分析公司 Elliptic 的聯合創辦人兼首席科學家湯姆．羅賓遜（Tom Robinson）就分析：「區塊鏈橋樑已成為網路犯罪分子唾手可得的果實，價值數十億美元的加密資產被鎖定在其中」、「這些橋樑被駭客以各種方式破壞，這顯示企業的安全水平沒有跟上他們所持有的資產價值。」

加密安全公司 Immunefi 的技術負責人 Adrian Hetman 說：「這麼多錢，以及通過橋樑的交通量，是一個非常誘人的攻擊點。」

兩大案例，看「橋樑攻擊」為何頻頻發生

然而目前橋樑攻擊正在以驚人的速度發生，根據 Chainalysis 的數據，截至 2022 年在與加密相關的駭客攻擊中，有69%是在橋樑中搶劫與被偷盜的金額。

然而橋樑為什麼如此的脆弱？可以部分追溯到草率的工程所導致而成，例如，由於批准交易所需的驗證者數量有限，Harmony 網路上的橋樑駭客攻擊是可行且容易的，駭客只需要破解總共五個帳戶中的兩個，就可以獲得提取資金所需的密碼。

在其它區塊鏈網路上，駭客也只需要說服網路上九個驗證者中的五個交出他們的私鑰，就可以存取鎖定在系統內部的加密貨幣。

在 Nomad 的案例中，對於駭客來說更容易操縱，攻擊者能夠將任何價值輸入系統，然後提取資金——即使沒有足夠的資產存放在橋樑中。另外，根據 Elliptic 的說法，駭客不需要任何程式編寫能力，攻擊後也導致模仿者蜂擁而至，造成這樁史上第 8 大加密貨幣盜竊案。

目前，Nomad 向駭客提供高達 10% 的賞金以取回用戶資金，並表示將避免對任何歸還其 90% 資產的駭客採取法律行動。

DeFi 重要推手，橋樑的重要性在哪邊？

橋樑是去中心化金融（DeFi）產業的重要工具，它是加密貨幣對銀行系統的替代品。使用 DeFi 時，貨幣交換是由「智慧合約」管理，而不是由中心化的參與者發號施令，而該合約寫在公共區塊鏈上，例如以太坊或 Solana，當滿足某些條件時執行，就無需中央中介。

隨著 DeFi 空間的不斷發展，開發人員需要使區塊鏈具有互操作性，以確保資產和數據能夠在網路之間順暢流動。

「沒有它們，資產就會被鎖定在本地鏈上，但橋樑也確實有風險。」為開發人員和公司提供區塊鏈基礎設施的 QuikNode 的聯合創辦人 Auston Bunsen 說。

Elliptic 監管事務負責人大衛卡萊爾說：「他們實際上沒有受到監管，非常容易受到駭客攻擊，或被用於洗錢等犯罪活動。一個主要問題是橋樑是否會受到監管，因為它們的行為很像已經受到監管的加密貨幣交易所。」

根據 Elliptic 向 CNBC 提供的新研究，自 2020 年以來，犯罪分子通過一座名為 RenBridge 的橋樑轉移了至少價值 5.4 億美元的贓款。

本週，美國財政部外國資產控制辦公室（OFAC）宣布對流行的加密貨幣混合器 Tornado Cash 實施制裁，禁止美國人使用該服務。混合器是將用戶的代幣與其他資金池混合，以隱藏所涉及的個人和實體的身份的工具。

本文經授權轉載自：《數位時代》