图片来源@视觉中国

Ronin上发生的攻击已经过去几天，随着后续处理方案的出现，事件的余波却毫无平静下去的意思。3月30日，Ronin代币RON价格受到攻击的影响大幅度跳水，并在震荡之后日渐走低，4月11日还创下了代币上市以来的新低。Axie Infinity代币AXS同样受到影响，走低势头明显，于4月11日逼近历史价格低点。

图：CMC显示，RON的价格在攻击后持续走低

Axie Infinity及Ronin链开发公司Sky Mavis 9日表示，Ronin桥被攻击并不是因为智能合约存在漏洞，而与社会工程和人为错误有关。攻击者在九个验证节点中，获得了其中五个验证节点签名者账户的签名，从而进行了51%攻击，成功卷走了价值6.25亿美元的代币，并开始将它们逐步转移到混币器中洗白。

为什么跨链桥不需要中心化？

可以说，Ronin跨链桥受到攻击的根本原因是过于中心化的结构。攻击者通过某些手段同时获得半数以上的验证节点秘钥，从而发动51%攻击的案例在区块链行业几乎可以说得上是及其罕见——尤其是在一个资金流通量这么巨大的项目上。2018年，EOS公布了其21个超级节点的计划，遭到了整个区块链行业“不够去中心化”的批评，9个验证节点的Ronin跨链桥在受到攻击前却从未受到过非议，不得不说是行业对跨链桥的一种歧视了：跨链桥不需要去中心化，需要的是更高的效率。

在多链生态逐渐丰富的今天，跨链桥成为了整个虚拟货币行业中必不可少的基础设施。在跨链桥出现之前，主流的跨链资产互通方式是利用中心化交易所进行兑换，虽然效率不低但受限于交易所提供的交易对，部分资产甚至要兑换多次，耗损甚巨。

为什么跨链桥不需要安全？

与交易所兑换相比，基于Layer 2的各种资产跨链服务的兴起无疑在效率和成本方面有着更大的优势，越来越丰富的跨链桥项目也省去了多次兑换的麻烦。随着跨链桥上流动的资金量日益庞大，越来越多的攻击者盯上了这块肥肉。与之相对的却是跨链桥的安全水平和去中心化程度的双双低下，给攻击者提供了大量机会。甚至可以说，跨链桥的安全性和去中心化水平始终处于被忽视的境地。

去年8月，运行在以太坊、BSC和Ploygen上的跨链桥Poly Network受到白帽黑客攻击，涉及资金约6亿美元。Poly Network被攻击的原因是跨链过程中的部分步骤缺乏有效的校验，不同链之间的交易确认过程存在缺陷从而被黑客利用。

今年2月，运行在以太坊和Solana 上的跨链桥Wormhole受到攻击，损失约3.26亿美元。该项目被攻击的原因是攻击者伪造了一个关键账户，从而绕开了验证，在ETH上铸造了12000枚ETH。

这两次攻击事件和Ronin跨链桥上发生的攻击共同成为了DeFi史上金额最大的三次攻击。作为多链生态的重要基础设施，跨链桥一方面承担着巨量的资金流动，同时却在安全性和去中心化水平上受到了忽视。这与跨链桥本身的位置息息相关：作为承担价值流通的“桥梁”，最重要的是其可用性和效率，在老生常谈的不可能三角中，效率的位置被大大提高了，同时带来另两个角的问题并不奇怪。可以说，Poly Network和Wormhole出现的合约漏洞、Ronin跨链桥出现的去中心化风险都是过分追求效率导致的。

本文原发布于链得得，授权钛媒体App发布，作者：大文