网络攻击利用 DeFi 平台关键组件的漏洞导致数百万美元被盗

Garden Finance 是一种跨链桥接协议，在受损的解决程序从平台中耗尽资金后，损失了约 1100 万美元。

该协议为返还被盗资金提供 10% 的赏金。它还寻求帮助来准确了解漏洞是如何发生的。

发生了什么以及为什么它很重要

这次攻击的目标是 Garden Finance 的求解器，本质上是促进跨链交易的做市商机制。桥梁在不同的区块链之间移动资产，而解决者是匹配和执行这些交易的中间人。

Garden Finance 表示，用户资金并未受到该漏洞的影响，这表明该漏洞与协议的运营基础设施无关，而不是用户存入的资产。

广告

安全研究人员对受损的解决方案是否真正是独立第三方或 Garden 自己的内部基础设施的一部分表示担忧。如果是后者，则该漏洞不是一些流氓外部行为者利用未经许可的系统，而是协议自身的密钥管理和操作安全性的失败。

许多桥接协议依赖少数受信任的参与者来验证和中继链之间的消息。当这些参与者受到损害时，无论是通过社会工程、不良的密钥卫生还是内部访问，整个系统都可能崩溃。

桥梁仍然是加密货币最软的目标

安全分析师一再警告说，许多桥接架构本质上是脆弱的，依赖于薄弱的消息验证和集中式密钥管理。桥梁位于多种信任模型的交汇处，桥梁本身通常必须通过链下中继器或引入中心化风险的多重签名方案来协调这些差异。

Garden Finance 漏洞大约与另一起涉及 Ronin Bridge 的桥梁事件同时发生，该事件导致最大可提取价值 (MEV) 机器人提取了 1133 万美元。 Ronin 背后的公司 Sky Mavis 声称核心桥梁储备仍然安全。

Ronin Bridge 此前是有史以来最大的 DeFi 攻击的目标之一，这是与朝鲜黑客有关的 6.2 亿美元盗窃案，这成为了一个案例研究，说明为什么将信任集中在一小部分验证器上会造成灾难性的单点故障。虫洞桥遭受了价值 3.22 亿美元的单独攻击。

这对投资者意味着什么

Garden Finance 提供 10% 的赏金旨在激励攻击者选择有保证的支付，而不是被跟踪或起诉的风险。事实上，Garden 同时请求帮助了解该漏洞的根本原因，这表明该团队仍在拼凑出问题所在。

每一次桥交互都是一个隐含的赌注，即桥的链外基础设施、密钥管理和智能合约逻辑在对抗条件下都能同时正确运行。