~/defi/bridges $ cat ronin-wormhole-nomad-uroki.md
Ronin、Wormhole、Nomad:三起大型跨链劫案及其启示
2022年--“桥梁之年”:三起劫案,三种不同攻击路径,总损失达10亿美元。堪称完美的教学案例。
Ronin(约6.2亿美元):密钥
Axie Infinity 桥由 9 名验证者共同维护,阈值为 5 个签名。Lazarus 获得了 Sky Mavis 的 4 把密钥,外加一名“第三方”验证者的密钥--该验证者将权限委托给了同一团队。集齐 5 个签名后,资金便被转出。 教训:密钥委员会的独立性,完全取决于其成员实际的独立程度。
Wormhole(约3.2亿美元):代码
签名验证漏洞使攻击者能够“证明”一笔不存在的存款,并凭空铸造了12万wETH。Jump资本填补了这一漏洞,挽救了存证凭证的担保。 教训:一行跨链代码支撑着数亿资产;没有金库的凭证--一文不值。
Nomad(约1.9亿美元):群体
初始化错误导致由零组成的“证明”被视为有效--史上首次众包式抢劫就此展开:数百个地址复制了首创者的交易,仅更改了收款地址。 教训:漏洞可能被任何路人利用--团队的反应速度决定一切。
用户应汲取的总体教训依然不变:桥是中转站,而非存储地;包装资产不过是储物箱的收据,而这类“储物箱”被洗劫的频率远高于业内任何其他存储方式。