据分析 2 层区块链空间的研究项目 L2 Beat 称,Multichain 是一个锁定总值达 10 亿美元的跨链桥接平台,已经转移了近 8000 万美元的稳定币和 300 个比特币,这些异常举动受到了审查。
L2 Beat 表示,Multichain 从托管的用户资金中转移了数百万,以在其网络的其他地方提供流动性,这一举动引发了公众对其转移资金目的的质疑。 此前媒体没有报道过这些举动及 L2 的审查。
社会契约
L2 Beat 的研究员 Bartek Kiepuszewski 告诉 The Defiant:“鉴于这是用户的钱,所以 Multichain转移资金的行为要么是与该链上的用户达成一致,要么就是他们违反了与用户的社会契约。”
今年绝大多数因黑客攻击而被盗丢失加密货币的事件都发生于跨链桥,跨链桥技术支持用户在区块链之间转移数字资产。
原因很清楚:跨链桥技术复杂,这为攻击者提供了更多的利用途径。 此外,它们提供了单点故障:智能合约将用户资金锁在托管中,而“转移”的资产——本质上是借据——被用于目标链。
谜团重重
因此,当 L2 Beat 的研究人员深入挖掘 Multichain 并发现来自内部的明显威胁时,他们感到很惊讶。
Bartek Kiepuszewski 表示,鉴于这是用户的钱,所以 Multichain 转移资金的行为要么是与该链上的用户达成一致,要么就是他们违反了与用户的社会契约。
根据 Kiepuszewski 的说法,虽然可以在链上看到资产从托管中转移,但这些资产的最终去向仍然未知。
L2 Beat 表示,Multichain 声称这些资产被用在其网络的其他地方提供流动性, 但确认该说法是否属实很困难。
加密安全公司 Open Zeppelin 的解决方案负责人 Michael Lewellen 表示,这种做法确实存在问题。
Lewellen 对 The Defiant 表示,“如果没有明确的方法来确定跨链桥声称支持的资产不存在可公开验证的某个地方,我认为我们需要特别关注该跨链桥。”
L2 的言论对锁定用户资金超过 10 亿美元的组织的行为和安全实践提出了质疑。 Multichain 连接了数十个区块链并支持数千种资产跨链转移。 确认 Multichain 仍然拥有该加密货币,资产没有在 DeFi 协议中被盗或参与赌博,将是一项艰巨的任务。
新的质疑
此外,这些指控可能会使公众对跨链桥接技术产生新的疑虑,该技术今年受黑客攻击已遭受了巨大损失。
根据 Rekt 的漏洞利用排行榜,今年发生的黑客攻击事件中,有 3 次可列入于加密历史上损失最大的 5 次黑客攻击事件,而这 3 次都是黑客攻击跨链桥。 超过 6 亿美元从 Ronin Network 中被盗取。 近 6 亿美元从 Binance 桥中被盗取。 Wormhole 桥被盗了超过 3 亿美元。
Multichain 没有回应通过其网站上列出的电子邮件联系地址提交的多个评论请求。
安全假设
本部分突出了 L2 在审查区块链扩展空间中所扮演的角色。 当借贷协议 Maker 考虑是否扩展到 Optimism 和 Arbitrum 等 2 层区块链时,它需要更好地了解这些区块链是如何运作的。
随后的项目最终从 Maker 中分离出来,成为 L2 Beat——一个列出多个 2 层区块链、其持有的资金量及其做出的安全假设的网站。
本月,该项目随着桥接协议面板的推出而扩展。 在全球第二大跨链桥协议 Multichain 旁边,L2 Beat 团队还附加了一个带有感叹号的黄色小盾牌,警告用户 Multichain 存在不当行为的嫌疑。
Kiepuszewski 解释道,“每座跨链桥的运行机制或多或少有些相同,用户将资产发送到一个地址,「新的」资产将由目标链上的验证者铸造。 如果用户想把资产转回到源链,则需要进行相反的流程,所以用户在目标链销毁资产,验证者应该从用户最初发送资产的那个托管地址释放资产。”
流动性网络
不能在目标链上铸造新资产的跨链桥接协议使用「流动性网络」的方法来进行资产的跨链桥接。 流动性提供者将资产存入目标链上的流动性池中。 这些资产可供桥接到该区块链的用户使用,当用户提取其原始链资产时,它们将返回到流动性池中。
据 L2 Beat 称,Multichain 连接了数十个区块链,以上两种跨链桥接方法均有使用。根据具体情况,采用铸造资产或者构建流动性池的方法。
Kiepuszewski 表示自己联系了 Multichain,对方代表告诉他加密资产已被用于提供跨链流动性池。
Kiepuszewski 说,“他们声称这在他们看来没有问题,因为资金仍然存在于 Multichain 生态中,而在他们看来,用户应该始终能够提取他们需要的金额。” 但是执行审计“现在变得非常复杂,因为你必须分析整个 Multichain 生态,对吧?”
Open Zeppelin 的 Lewellen 同意该说法。 他说道,“即使是流动性网络,至少有一种方法可以查看不同的流动性池(流动性提供者参与构建)和不同的链,并确定该跨链桥发行的整体资产与其他地方的一些流动性池相匹配。”
Lewellen 和 Kiepuszewski 都表示,如果可以提供显示用户资金流向的面板,将非常有助于缓解他们对加密资产流动的担忧。
软件漏 洞
Kiepuszewski 表示,在评估 Multichain 是否是一个安全的存放资金的地方时,也出现了一个新的问题。 通常,审计会确认是否存在任何软件漏洞。 现在,用户还会怀疑 Multichain 本身是否值得信任来存入资金。
即使资金妥善保管,及时取用也可能很困难。 Lewellen 表示,这也暴露了 Multichain 自身的问题,即 Multichain 的 Fantom 桥中的资产 Dai 似乎比 Multichain 在 Fantom 上铸造的要少。
尚未明朗
据 L2 Beat 表示,超过 5200 万美元的 Dai 被桥接到 L1 区块链 Fantom,这些资产据称已被 Multichain 验证者从托管中移除。
根据 Lewellen 的说法,如果 Dai 失去了与美元的挂钩,并且 Fantom 上持有 Dai 的人想要将 Dai 兑换成美元,他们可能会在定位和转移本应托管的 Dai 的过程中损失大量资金。
他说,“上述情况可能不会立刻发生,但如果这些因素以一种对 Multichain 不太有利的方式排列组合起来,就可能会发生。我认为这是担忧的最终来源,只是不清楚 Multichain 如何管理这种风险。”
