跨链协议攻击频发，如何防范风险？

跨链协议在区块链应用中发挥着举足轻重的作用，对于区块链来说，跨链协议相当于互联网的底层传输协议，如果没有这些协议，那么整个传输过程中，信息就很容易被篡改、转移或丢失，从而引起巨大的损失，可以说，跨链协议就是区块链的发展桥梁。但最近跨链协议被攻击的事时有发生，让人不免担心，跨链协议攻击风险如此大，去中心化的区块链还值得信任吗？对此，本文将围绕着什么是跨链协议、跨链协议被攻击的原因、如何防范跨链协议攻击等展开分析。

区块链的跨链协议

01、跨链技术出现的原因

我们都知道可以独立运行的区块链网络称为主链，既然是独立运行，那么不同的主链彼此之间的共识机制是不同的，如此便产生了一个巨大的问题，链与链之间的信息传输出现障碍，这有悖于区块链技术的发展初衷，同时也限制了区块链技术的应用范围，因此亟需一种协议使双方达成共识，实现交流互通，跨链技术由此产生。

无论是公链、私链还是联盟链，跨链技术都是必不可少的核心部分，是实现链链传输的关键。试想一下，如果没有跨链协议，那么所有去中心化应用的模块都必须部署在同一条的公链上，否则就无法调动其他子模块，这对于去中心化应用来说是不现实的。所以说，基于区块链技术的应用想要真正地发展落实，主链与主链之间的信息传输问题是必须解决的。

02、什么是跨链协议

跨链，顾名思义就是将信息从一条链传输到另一条链，而跨链协议就是指这样的一种传输标准，通俗来说就是通过技术手段使价值跨过链与链之间的障碍，实现直接流通，就像人民币和美元兑换一样，必须要有一个国际认可的汇率，才能进行互通。因此，跨链技术并不会改变主链上原有的价值金额，而是将价值进行了相应的转换。

03、主流跨链技术

最初跨链技术主要是以公证人机制、侧链技术、哈希锁定技术为主，像瑞波Interledger协议和BTC Relay，这些协议更多的是解决资产转移的问题，但它们依然存在一些弊端。现有跨链技术以Polkadot为代表，解决了目前两大阻止区块链技术传播和发展的难题：拓展性和延伸性。不过随着需求的增加和技术的提升，近年来出现了一些新的跨链解决方案，如分布式私钥控制技术、公证人机制+侧链混合技术等，随着更多跨链技术的出现，进一步完善了智能合约，提高了安全性，同时接入大量跨链应用，旨在搭建高性能、去中心化的跨链基础设施。

跨链协议接连被攻击

据 PeckShield 统计，截止8月12日，2021 年第三季度就发生了19起 DeFi 安全事件，总损失金额高达6.77 亿美元。这些安全事件中，有6起与跨链协议攻击有关，损失金额占DeFi安全事故总损失金额的95%以上，其中最严重的莫过于Poly Network，除此之外，还有 ChainSwap、AnySwap、THORChain 等。无论是被攻击数量，还是损失金额，跨链协议上的安全事件都位居榜首。

详情介绍 / DETAILS

5月16日，跨链智能收益与流动性聚合器 bEarn Fi 遭到黑客攻击，损失近1100万美元。

7月11日，跨链资产桥项目 ChainSwap（ASAP）因其智能合约的一个关键漏洞遭遇黑客攻击，损失约800万美元。

7月11日，去中心化跨链交易协议Anyswap多链路由v3版遭到攻击，V3 跨链资金池受影响，损失约240万USDC和551万MIM，总计约800万美元。

7月16日，去中心化跨链交易协议THORChain(RUNE)遭受攻击，损失约4000枚ETH，价值约765万美元。

7月23日，去中心化跨链交易协议 THORChain 再次遭到攻击，这次攻击针对ETH路由，损失800万美元。

8月10日，跨链互操作性协议Poly Networ被攻，损失金额高达6.1亿美元，这是迄今为止DeFi历史上涉案金额最大的黑客入侵事件。

这些事故的发生到底是疏忽还是偶然？据调查，这些跨链协议受到攻击的原因可能包括黑客根据重复的R值反向推导出账户的私钥、利用合约调用之间的漏洞、制造假的交易签名等。PolyNetwork黑客甚至宣称攻击Poly Network是因为好玩，而且跨链攻击很火。这不免引人深思：为什么跨链相关协议如此容易遭到攻击？是什么导致跨链攻击很火？

跨链协议容易被攻击的原因

01.技术方案尚不成熟

跨链协议是个新兴领域，各项技术方案仍需要进一步的优化，必须重视合约漏洞和私钥管理。另外，由于跨链流程比较复杂，往往会涉及到多条链和多个合约之间的交互，复杂的流程导致风险也随之增加，所以如何规避安全风险也很重要，目前的分析技术并不全面，需要一些新的安全思路和解决方案对跨链桥做整体安全评估分析，而不是对某一个模块进行检查和分析，这样才能覆盖所有链路的安全系数监测。

02.高涨的资金量引人注目

随着跨链桥生态的高速发展，其链上承载的资金量也在快速膨胀，大量的数字资产引起了攻击者的注意，就拿Poly Network来说，在受到攻击前，其跨链资产转移的规模已经超过100亿美元，使用该跨链服务的地址数量也超过了22 万个，自然容易被黑客盯上。即便攻击的目的不在盗取资金，而是真如他们所说的“好玩”，如此高金额的窃取似乎也满足了他们的虚荣心。不管怎么说，跨链协议的确因为承载资金问题成为了黑客们瞄准攻击的主要目标之一。

03.项目方防御举措不到位

就跨链协议被攻事故而言，项目方的安全防御措施尤为重要。如果说防范措施足够严密，攻击者们将很难下手，就算他们能够得逞，也会降低损失金额，避免造成不可挽回的局面。所以在审计和检查时，最好核实清楚服务供应商是否存在无需审核的高额资金转移权限，一旦出现安全隐患，及时想办法解决。

跨链攻击如何防范

不管是什么安全事故，防患于未然才是最重要的。只要区块链技术存在，跨链的需求就会一直存在，而且势必会越来越蓬勃。在跨链协议接连出事的环境下，对于项目方和用户来说，该如何建立或者选择安全可靠的跨链桥，才能最大程度上规避风险，减少财产损失？

01.项目方

（1）在设计初期，引入第三方安全公司进行安全风险评估，而不是等建立完成之后再来发现问题。

（2）对链上情况保持实时监控，利用专业机构排查安全隐患，加强审计力度，不放过一个漏洞。

（3）在与其他DeFi产品进行组合时，考虑是否兼容问题，避免出现逻辑错误。

（4）联合行业各方力量，搭建一套完善的资产追踪机制，实时监控相关虚拟货币的流转情况。

（5）发现异常情况时，及时阻断，第一时间寻找原因和解决方法，防止损失扩大。

（6）分析之前跨链协议被攻击的原因，吸取经验，寻求更可靠的安全方案。

02.用户

（1）在选择项目前，应对项目进行充分了解，优先选择审计状况更完善、业务更成熟的协议。

（2）保证自己的资金安全，不要过度授权跨链协议。

（3）尽量不要将资金全部投资在同一个项目。

（4）时刻关注行业内动态，一旦发生攻击事件，及时抽出资金，避免更大的损失。

综上所述，在安全事故频繁发生的情况下，各方都应该总结经验，吸取教训，保持警惕，引以为戒，进一步优化和完善安全方案，共同提供一个可靠稳定的生态系统。相信随着技术的提升，将会出现更安全、更先进的跨链协议，从而推动区块链技术标准化发展。