交易所DEX+

Pengenalan Kebolehsalingan blockchain adalah ciri teras teknologi yang digunakan secara meluas oleh aplikasi DeFi pada masa kini. Pelabur berasa tertarik dengan pilihan untuk memperolehPengenalan Kebolehsalingan blockchain adalah ciri teras teknologi yang digunakan secara meluas oleh aplikasi DeFi pada masa kini. Pelabur berasa tertarik dengan pilihan untuk memperoleh

Jambatan Blockchain dan Isu Keselamatan Merentas Rantai

作者：Coinstats

2025/12/20 21:00

介绍

区块链互操作性是目前DeFi应用广泛使用的技术核心特性。投资者被同时从多个链中赚取收益的选项所吸引。Bitcoin区块链上的用户可以在Ethereum链上赚取收益,而Ethereum链上的用户可以选择将他们的资产或资产的包装版本转移到其他网络,使一个区块链与其他区块链保持连接。然而,这种互操作性和灵活性并非没有代价。它们引发了如果资产留在一条链上就不存在的问题。

什么是区块链桥?

区块链桥是为用户提供将数据、消息和资产从一个网络转移到另一个网络的工具。你应该知道区块链是一个封闭的生态系统,无法与外部世界通信,也无法与另一个区块链通信。它们依赖预言机获取外部信息,依赖桥接器连接其他链。作为中介,这些桥接器将数字货币锁定在一条链上,并使其以包装版本或其他等效形式在其他链上可用。用户获得这个便利选项,可以利用在其原生链上不可用的应用程序、流动性和赚取机会。

主要安全问题

每当你从物理钱包或虚拟钱包中取出资金时,它可能被盗、被拦截,或者你可能被欺诈性地诱导错误地将自己的资金转移到别人的账户。当你在DeFi世界中将数字资产从一条链转移到另一条链时,同样的情况也可能发生。根据最近的行业分析,截至2025年中,跨链桥已被利用窃取了总计约28亿美元的资产。这个数字表明桥接器仍然是攻击者的主要目标。如此大规模的利用可能有多种原因。

1. 链上验证薄弱的风险

区块链桥有许多类型和品种。其中一些使用基本级别的安全性,而另一些使用智能合约驱动的安全性。前一种类型的工具严重依赖集中式后端来执行基本操作,如铸造、销毁和代币转移,而所有验证都在链下执行。

使用智能合约进行安全保护的桥接器比其他类型的桥接器要好一些。智能合约验证消息并在链上执行验证。当用户将资金带入区块链网络时,智能合约生成一个签名消息作为证明。然后使用此签名在其他链上验证提款。这里产生了安全漏洞。如果链上验证失败,攻击者可以窃取通过桥接器转移的资金。他们要么直接绕过验证,要么伪造所需的签名。

此外,当区块链桥应用包装代币的概念时,攻击者可以将这些代币路由到自己的账户,剥夺发送者和接收者的资产。例如,用户打算从Ethereum链向Solana链发送$ETH币。现在,桥接器从Ethereum链接收$ETH并在Solana链上发行包装的$ETH。当桥接器为了节省一些燃料费而要求无限授权时,问题变得更加严重。

现在发生了两件危险的事情。首先,如果攻击者成功拦截交易,由于无限授权,他们会耗尽用户的钱包。其次,即使在执行交易很久之后,无限授权仍然有效。因此,即使第一笔交易是安全的,用户可能离开链,但攻击者仍可以利用该漏洞。

2. 链下验证的问题

除了链上验证外,区块链桥偶尔还使用链下验证系统,这更加危险。在详细了解风险之前,有必要了解链下验证系统的工作原理。链上验证系统在区块链本身上运行,桥接器在其中检查交易签名或使用自己的智能合约验证交易。如果桥接器使用链下验证,它依赖于区块链外部的服务器。服务器检查交易详情并向目标链发送肯定报告。

例如,用户在Solana链上存入代币并希望在Ethereum上使用它们。桥接器服务器验证第一笔交易并为Ethereum链签署指令。这就像仅通过查看收据来批准程序,而收据可能是假的。漏洞主要是由于桥接器服务器手中掌握了太多权限的结果。如果攻击者能够欺骗它们,系统就会受到损害。

3. 区块链桥中原生代币处理不当的风险

桥接器直接将原生代币发送到目标区块链网络,但它们需要事先获得发送其他代币的许可。它们有不同的内置系统来执行这些任务。当桥接器意外未能管理这种区别时,就会出现问题。如果用户尝试使用用于非原生实用代币的系统转移$ETH代币,他们就会损失资金。

当桥接器允许用户输入任何代币地址时,会出现额外的风险。如果桥接器没有严格限制它接受哪些代币,攻击者可以利用这种自由。尽管许多桥接器使用白名单只允许批准的代币,但原生代币没有地址,通常由零地址表示。如果处理不当,攻击者可以绕过检查。这可以在没有实际转移任何代币的情况下触发交易,有效地欺骗桥接器释放它从未收到的资产。

4. 配置错误如何破坏区块链桥

区块链桥依赖于特殊的管理员设置来控制重要操作。这些设置包括批准代币、管理签名者和设置验证规则。如果这些设置出错,桥接器可能会发生故障。在一个真实案例中,升级期间的一个小改动导致系统接受所有消息为有效。这允许攻击者发送虚假消息并绕过所有检查,从而导致严重损失。

结论

简而言之,区块链桥提供了在多个链网络上同时赚取收益的巨大效用,但如果你使用这些工具,它们也带来了你应该学会管理的严重风险。区块链桥在实现跨链互操作性和扩展DeFi机会方面发挥着至关重要的作用,但它们仍然是生态系统中最脆弱的部分之一。薄弱的链上验证、有风险的链下验证、原生代币的处理不当以及简单的配置错误使桥接器成为大规模利用的主要目标。

随着跨链活动的持续增长,用户和开发人员必须优先考虑安全性,限制授权,青睐经过良好审计的设计,并了解所涉及的风险。最终,更安全的桥接器架构和明智的使用对于确保互操作性不以资产损失为代价至关重要。

市场机遇

CROSS实时价格 (CROSS)

$0.12079

$0.12079$0.12079

-1.66%

USD

CROSS (CROSS) 实时价格图表

免责声明: 本网站转载的文章均来源于公开平台，仅供参考。这些文章不代表 MEXC 的观点或意见。所有版权归原作者所有。如果您认为任何转载文章侵犯了第三方权利，请联系 [email protected] 以便将其删除。MEXC 不对转载文章的及时性、准确性或完整性作出任何陈述或保证，并且不对基于此类内容所采取的任何行动或决定承担责任。转载材料仅供参考，不构成任何商业、金融、法律和/或税务决策的建议、认可或依据。