自 2020 年以來,DeFi 只有在遭到駭客攻擊或資產被盜後,才能判斷協議不安全,近兩個月 DeFi 領域發生 19 起安全事件,光跨鏈協議就佔了 6 起。選擇使用哪一個跨鏈橋和判斷跨鏈橋的安全性成為了 DeFi 用戶的下一個難題。
(前情提要:心路歷程》Poly Network駭客12條問答:好玩、跨鏈攻擊痕紅、責任揭露項目漏洞!)
根據區塊鏈安全公司 CipherTrace 2021 年 7 月發佈的加密貨幣犯罪報告顯示,2020 年,DeFi 協定遭到攻擊涉及金額約 1.29 億美元;2021 年前 7 個月,DeFi 協議遭到攻擊涉及金額便上升至 3.61 億美元。
隨後的 8 月,在 34 分鐘裡,駭客又成功從跨鏈協定 Poly Network 盜走價值 6.1 億美元的加密資產。
這是 DeFi 歷史上涉案金額最大的一筆盜竊案,雖然事後駭客歸還了大部分資產,但是 DeFi 是否安全以及原始碼即法律的現實性變得更像是薛丁格問題。
只有遭到攻擊、資產被盜,才能判斷協議不安全。DeFi 協定中,跨鏈協定又屬於重災區。公開資料顯示,近兩個月,DeFi 領域發生了 19 起安全事故,跨鏈協議占 6 起,涉及了 Poly Network、Anyswap、ChainSwap 等協議。
選擇使用哪一個跨鏈橋和判斷跨鏈橋的安全性成為了 DeFi 用戶的下一個難題。
跨鏈協議的不可能三角
區塊鏈的不可能三角已經是老生常談的話題了。
在區塊鏈系統中,無法同時達到高擴展性、去中心化和安全性三者。對於公鏈而言,擴展性的重要程度或許排在首位。
延伸閱讀:你該擔心的三個「隱形炸彈」?大戶砸盤、駭客贓款、Defi 系統性風險
正如以太坊創辦人 Vitalik 所表示,擴展性也許是排在第一位的問題,擴展性問題已經成為很多系統的墳墓。
但是,對於 DeFi 協議,尤其是具有大量沉澱資金的跨鏈應用而言,安全性或許才是最值得重視的。
作為 DeFi 中重要的一環,跨鏈應用應該更加注重安全,在去中心化和高擴展性上進行一定的妥協。
就如因穩定幣兌換自動做市項目 StableMagnet Finance(SMAG)跑路而選擇報警的 L 所表示,目前去中心化世界的發展仍處於相當早期,有太多的課題有待探索完善,如果盲目推崇去中心化極端主義以及徹底的「原始碼即法律」,不會帶來真正的發展與未來。
Kava Swap 便是一個以安全為核心的跨鏈流動性中心。Kava Swap 是基於 Kava 公鏈搭建的 DeFi 基礎設施、跨鏈橋以及跨鏈自主 AMM 做市協議。
跨鏈橋由於流程複雜,涉及到眾多公鏈和多個合約之間的交付。因此容易在不同的地方出現漏洞。
如 Poly Network 與跨鏈資產橋 ChainSwap 都是因為合約漏洞被攻擊。而多鏈路由 AnySwap 則是因為跨鏈私鑰管理問題遭受攻擊。
因為流程複雜,Kava Swap 在正式啟動前經歷了內部審計、外部審計以及公開測試。並且,根據公開披露的資訊,Kava Swap 將進行 4 次反覆運算以實現所有完整的功能。
在第一個版本的 Kava Swap 中,將添加 BTC、BNB、KAVA 等較為主流的代幣池,並通過鏈上投票選擇添加新代幣;在第二個版本中,Kava Swap 將把功能打包至 Kava API 之中,方便使用者整合和交易;在第三個版本中,幣安智能鏈(BSC)與以太坊之間的智慧流動性橋將啟動;在第四個版本,智慧自主交易功能和額外的生態跨鏈橋也將啟動。
在資金的安全上,Kava Swap 通過使用傳統交易平臺「冷錢包」與「熱錢包」相互配合的方式進行。「冷錢包」用於存放大額資產,「熱錢包」用於短期小額資產的流轉。
截止發稿,Kava 與 Binance 鏈安全跨鏈超過 15 億美元資產。同時,社群發起了 Kava 61 號提案,一旦獲得通過,將提供價值 10 萬美元 SWP 用於獎勵交易大賽使用者,目前已有 80.84 萬枚 KAVA 支持提案。
跨鏈沒有最優,只有最合適的方案
Vitalik 在為 R3 所寫的《跨鏈互通性》報告中闡述了三種跨鏈方案,公證人機制、側鏈/中繼器模式、雜湊鎖定。目前,除了以上三種方案之外,較為主流的還有分散式私鑰控制以及多技術混合機制。
律動根據《跨鏈互通性》以及公開資料對目前較為主流的跨鏈機制進行了總結:
從性能對比來看,每一種跨鏈方案都有自己的優點和不足,公證人機制需要多名可信協力廠商公證人,容易導致過於中心化問題。
同時,公證人機制和側鏈/中繼模式在安全性和交易速度上都比較低,容易遭到攻擊。
雜湊鎖定則是在發展上具有較大的局限性,雖然支持跨鏈資產抵押,但是無法進行跨鏈資產轉移,並且不支持直接使用預言機。當然,雜湊鎖定在實現上較為容易和安全性高,因此更適合項目的使用。
此前被盜 6.1 億美元的 Poly Network 在設計上使用了中繼器模式,從而實現了異構鏈跨鏈。
注重協議安全的 Kava Swap 這是在設計上偏向於雜湊鎖定。不同之處在於,Kava Swap 用戶擁有跨鏈與否的准許許可權,當進行跨鏈操作時,需要使用者在自己的錢包上進行簽名確認跨鏈。
雜湊鎖定最早出現於 2013 年,並於比特幣閃電網路首先應用。雜湊鎖定的本質是一種智慧合約。在 Kava Swap 系統中,每一條 Kava Swap 支持的公鏈都有一個 deputy 錢包,資金的出入都需要經過 deputy 錢包的許可。
假設用戶想要將資產從 Binance Chain 跨至 Kava 上,資產將會在 Binance Chain 鎖定。
如果在截止時間前未收到密碼,將資產退還使用者。同時,deputy 向 Kava 公鏈發送消息,使用者鎖定了 X 枚代幣,如果在截止時間發送解鎖密碼,將在 Kava 鏈上發送等額代幣給用戶。
用戶在 Kava 鏈上接收到代幣的同時,deputy 向 Binance Chain 發送消息,永久鎖定 X 枚代幣。從 Kava 跨至 Binance Chain 則相反。
作為使用者,該選什麼跨鏈協議?
上文提到的各種跨鏈方案和設計最終都離不開用戶的使用。作為用戶,除了使用體驗的區別之外,便是對資產安全的關心。須知安全性在提升的同時,駭客也在不斷研究漏洞。
根據律動 BlockBeats 統計,近期遭受攻擊的 DeFi 協議中,除了少數幾個協議之外,極少能夠從資產損失中恢復。
7 月 4 日,基於 Polkadot 區塊鏈的跨鏈交易協定 RAI Finance 發文稱,因 ChainSwap 智慧合約漏洞,與其連接的 RAI 訪問和支付許可權位址被駭客攻擊和盜用,帳戶中被盜 RAI 總額達 290 萬枚。
ChainSwap 以 50% USDC 和 50% 平臺代幣 ASAP 的方式進行賠償支付。截止發稿,RAI 和 ASAP 價格皆恢復至被攻擊前的水準。
延伸閱讀:跨鏈協議ChainSwap本月2次遭駭!牽連「10逾DeFi幣崩盤」,損失逾800萬美元
7 月 12 日,Anyswap 多鏈路由 v3 版本遭到攻擊,損失約 240 萬 USDC 和 551 萬 MIM。Anyswap 提供了全額賠償,並於 48 小時填充了流動性。截止發稿,Anyswap 的鎖倉量、交易量並沒有因為駭客攻擊而受到影響,反而有所上升。
觀察代幣價格、生態系統能夠快速從被攻擊中快速恢復的協議,不難發現都具備一個特點,團隊反應迅速並對受害用戶進行賠償支付。
作為去中心化應用,遭受攻擊是平臺與用戶都不願意發生的事情,然而並無法完全杜絕。
因此在發生之前便考慮好事件發生後的預案是每一個團隊都應該進行的。Kava Swap 在創立之初便通過社群治理成立了一個金額高達 1,000 萬美元的 SAFU 基金。
當用戶遭遇漏洞、駭客、清算失敗等因技術問題而產生的資金損失後,可獲得相應的補償。
在巨額資產被盜的背景下,跨鏈應用正處於一片質疑聲中。這是正常現象,正如世界是螺旋上升一般,DeFi、跨鏈也是如此。不過,在上升路上,選擇一個正確的協議便顯得更加重要。
📍相關報導📍
假幣的變臉戲法 — 技術拆解 THORChain 跨鏈系統「假充值」漏洞
DeFi|Rari Capital 遭駭!損失1,000萬鎂 ETH,RGT急跌47%;研究員 : 首個跨鏈攻擊
深度剖析「BTC錨定幣」發行方式:跨鏈 VS 合成、中心化 VS 去中心化
讓動區 Telegram 新聞頻道再次強大!!立即加入獲得第一手區塊鏈、加密貨幣新聞報導。
LINE 與 Messenger 不定期為大家服務
