2022年自年初至今，仅5次的跨链桥攻击就导致了13.17亿美元的损失——这个数字是2022年Web3.0行业因黑客、欺诈、漏洞等事件造成总资产损失金额的57%。

之所以跨链桥攻击的损失如此巨大，是因其本身的固有安全漏洞及整个领域缺乏防御攻击专业意识和相关理论知识。

规模位于前三的跨链桥攻击事件分别为：Ronin Network，造成6.24亿美元的损失；Solana跨链桥项目虫洞（Wormhole），造成3.26亿美元的损失；Nomad，造成1.9亿美元的损失。

本文将通过分析今年发生的这5起尤其是具有代表性的Nomad Bridge攻击事件，与大家探讨跨链桥的安全问题及解决方式。

跨链桥安全

在分析这几起攻击事件前，我们需要明确一下跨链桥存在的固有安全问题。

V神Vitalik Buterin曾在Reddit上写道，因为51%攻击的影响，他对跨链应用持悲观态度。然而除此之外，还有更多需要考虑的‍其他问题。

在2022年7月22日发布的一个推特视频中（https://twitter.com/nomadxyz_/status/1550525582714097664），Nomad的创始人James Prestwich解释了为何行业普遍在跨链应用建立安全模型方面缺乏专业知识，以及为何获取这些标准的专业知识需要花费一年的时间。

对于个人用户来说，很难将资产从一个区块链转移到另一个区块链，因此必须通过跨链桥来实现这一操作。跨链桥协议的原理是：用户在A链将代币存入，随后在B链上收到债务代币。一旦B链的债务代币被销毁，则A链存储的代币就会被释放。

为了实现这一功能，跨链桥需要实现这几个功能：保管用户存入的代币，向用户释放债务代币，以及在不同链之间发送消息的预言机。这使得跨链桥在安全方面更加脆弱——黑客可以下手的地方实在太多了。

条条大路通跨链桥，对黑客来说，又怎么能轻易拒绝这种快速暴富的攻击渠道？攻击造成的后果并不只是存款损失，一旦跨链桥产生漏洞或遭到攻击，整个跨链桥的代币将很可能失去所有价值。

Ronin Network

Ronin Network漏洞是有史以来最大的DeFi漏洞。

3月底，CertiK审计团队监测到NFT游戏Axie Infinity侧链Ronin Network遭到攻击，损失价值约6.24亿美元的17.36万枚ETH以及2550万枚USDC。

Ronin Network需要验证九个验证节点中的五个签名。而攻击者黑了4个Sky Mavis的私钥，制造了5个合法的签名，即：4个Sky Mavis验证器和1个Axie DAO运行的第三方验证器产生的签名。

这导致5个验证器节点被破坏，高级鱼叉式网络钓鱼攻击是造成这一情况的罪魁祸首。