原标题:《对话头部安全公司,为什么受伤的总是跨链桥?》
8 月 10 日晚间,跨链互操作性项目 Poly Network 突遭黑客攻击,损失金额高达 6.1 亿美元。如果按照事件发生时相关资产的市场价格计算,这不仅仅是 DeFi 历史上涉案金额最大的黑客事件,更是整个加密货币历史上涉案金额最大的黑客事件。
尽管在各方的持续努力之下,黑客最终选择了归还全部 6.1 亿美元赃款,但作为一起注定会被记入加密货币历史的惊天大案,针对该事件本身及其相关趋势进行复盘和梳理仍有着较大的警示意义。
回顾本次事件,黑客的攻击手法基本已被刨析完毕,慢雾方面指出,酿成本次事件的祸因在于 EthCrossChainData 合约的 keeper 可由 EthCrossChainManager 合约进行修改,而 EthCrossChainManager 合约的 verifyHeaderAndExecuteTx 函数又可以通过 _executeCrossChainTx 函数执行用户传入的数据。
如果跳出个体案件,去探寻更高层级的宏观趋势,Poly Network 一案再次佐证了黑客群体已将目光聚焦在了跨链协议这一新兴赛道之上。根据 PeckShield 的统计,截至 8 月 12 日,2021年第三季度共计发生了 19 起 DeFi 安全事件,其中跨链相关协议共六次被黑,除了 Poly Network 外,还有 ChainSwap、AnySwap、THORChain 等。从数额上看,即便是不计入数额爆表的 Poly Network 事件,资金损失总额也高达 3280 万美元,高于其他所有类别。
究其原因,Poly Network 事件的黑客曾通过转账附加信息提到攻击动机——因为跨链攻击很“火”!
加州豪宅“The One”的开发商有意将该房产代币化以偿还巨额债务:1月10日消息,开发商Nile Niami花了10年时间在洛杉矶贝莱尔建造了占地10.5万平方英尺的城市豪宅“The One”。Niami在近期的一段视频中宣布,他打算通过代币拍卖来拯救这座豪宅。据悉,这家开发商因这一耗资巨大的项目而负债累累。该项目被认为是美国最大、最贵的城市住宅。
但由于业主拖欠了超过1.65亿美元的贷款和债务,这个奢华的项目遭受了损失,被迫进入破产管理程序。
Niami在视频中说:“一旦代币被创建和交易,它将把房子的价值转移到代币上,这将是有史以来第一个由独一无二的房地产资产支持的代币。”
Niami的想法是将房子进行代币化,出售代币,然后将房子出租用于盛大的活动,并将利润返还给代币持有者(值得一提的是,根据过去的指导意见,美国SEC可能认为与房屋租赁收入挂钩的代币看起来像证券)。Niami称,“数十亿美元将被用来偿还债务,并使房子免于拍卖。”(Decrypt)[2022/1/10 8:37:59]
对话题进一步延伸:为什么跨链相关协议如此容易遭到攻击?跨链桥到底该如何平衡效率与安全性?在安全形势愈发严峻的当下,项目方、用户等不同角色需要注意些什么?倘若真的发生了极端事故,又有哪些行之有效的弥补手段?
为了找到这些问题的答案,Odaily 星球日报特采访 PeckShield、BlockSec 等知名安全公司。作为深耕 DeFi 安全的专业人员,他们会给出什么样的答案?
Odaily 星球日报:为什么跨链相关协议频繁被黑?是因为当前的技术方案尚不成熟?或是此类合约的潜在隐患难以侦测吗?
PeckShield:跨链协议是个新兴领域,它打破了链与链之间信息孤岛的壁垒,但仍需要经受时间的考验。ChainSwap 协议遭遇攻击是因为合约本身存在漏洞,向 AnySwap 被攻击则是因为跨链的私钥管理出了问题,Poly Network 被攻击也是因为合约漏洞。这给了所有跨链协议一个警示,需要提升对合约的查缺补漏和以及私钥管理授权安全的重视。
BTC跌破23000美元关口 日内跌幅为1.56%:火币全球站数据显示,BTC短线下跌,跌破23000美元关口,现报22976.89美元,日内跌幅达到1.56%,行情波动较大,请做好风险控制。[2020/12/23 16:16:44]
BlockSec(受访者为 BlockSec 联合创始人、浙江大学网络空间安全学院教授周亚金):我觉得有多个原因。第一个是有利可图。由于跨链桥中往往存在大量的数字资产,因此成为攻击者眼中的香饽饽。第二个是跨链桥的整个流程比较复杂,涉及到多条链和多个合约之间的交互,而这些安全风险的监测需要通过对跨链桥做整体安全评估分析。对某一个模块的审计和分析并不能完整覆盖全链路的安全风险,需要一些新的安全思路和解决方案。
Odaily 星球日报:在 Poly Network 一案中,社区质疑的一大焦点为其合约是否只有一名 Keeper,尽管事后已经证明了该说法并不准确,但关于效率及中心化的平衡仍值得我们深思。在跨链相关服务中,是不是说跨链执行效力越高就会越中心化?中心化与不安全是划等号的吗?
PeckShield:跨链协议是基于区块链底层技术构建的,这就意味着它不仅会带有区块链技术的特性,也会携带技术本身的“不可能三角”,即不能同时兼顾“去中心化”、“安全性”、“交易处理性能”这三个特性。
BlockSec:原先孤链之间资产转移基本是通过中心化交易所来实现,跨链桥本就是通过侧链的应用来提升资产跨链的去中心化和执行效率,就技术而言是一种进步,也是业界为了摒弃绝对中心化而做的技术努力。
跨链执行效率和中心化并不存在因果逻辑关系,而跨链桥的中心化和不安全更没有直接关系了,中心化是否安全主要取决于中心化实体的安全性。从坏的方面来说,存在单点安全威胁问题,但是从好的方面来说,只要中心实体的安全保障做的高,那么安全性是可以得到保障的。
总体来说,还是取决于项目方的安全防御举措是否到位,尤其在安全公司参与审计时,需要判断审核,服务供应商是否存在(无需审核的转移资金权限)超高权限及其进行 Rug Pull 的可能性,因为这样的操作权限设置,很可能在供应商私钥被盗或者遗失的情况下,造成大量资金的非法转移。
Odaily 星球日报:在项目接连出事的大背景下,项目方应该怎么办?可以采取哪些措施来规避风险?
PeckShield:跨链桥生态的愈发多样化、丰富化,使得在其之上进行的交易、资金量也会随之大幅增长。例如 Poly Network 在遭受攻击之前,跨链资产转移的规模已经超过 100 亿美元,使用该跨链服务的地址数量也超过了 22 万个,这也就吸引了黑客对于跨链协议的关注,再加上跨链桥本身就是黑客资金出逃的重要环节, 因此也会成为黑客攻击的目标。
对于项目方来说,首先寻求专业机构有效地排查出已知的漏洞,为协议的安全筑建第一道防线。
其次,还要注意排查与其他 DeFi 产品进行组合时的业务逻辑漏洞,避免出现跨合约的逻辑兼容性漏洞。
再然后,还要设计一定的风控熔断机制,引入第三方安全公司的威胁感知情报和数据态势情报服务,在 DeFi 安全事件发生时,能够做到第一时间响应安全风险,及时排查封堵安全攻击,避免造成更多的损失。
最后,应联动行业各方力量,搭建一套完善的资产追踪机制,实时监控相关虚拟货币的流转情况。运维安全。
将安全引进设计中也就是我们通常说的 security by design,而不只是安全审计。应该在设计阶段引入第三方安全公司来一起评估安全风险。
项目技术代码开源从长周期看也是化解未知风险的一种必要性。
对链上情况保持持续监控,能及时感知链上异常事件,从而在损失扩大之前及时阻断。
Odaily 星球日报:跨链的需求一直存在,且势必会越来越旺盛,对于用户来说,他们应该怎么办?怎样选择安全且合适的跨链桥?
PeckShield:需要说明的是,在发生此类安全事件时,损失最大的往往是为跨链提供资金流动性的 LPs,我们的建议是做好项目背调,不要轻易将资产投入到没有审计过的项目中,包括正在进行审计但尚未完成的项目。再者,就是对于跨合约的协议,不要过度授权,包括项目相关方对跨链协议也不要过度授权。
Odaily 星球日报:当发生极端安全事故后,有哪些行之有效的弥补手段?
PeckShield:当发生极端安全事故后,首先是项目方和相关方联动启动一级响应,追溯事故根源,同时追踪被盗资产流转情况,及时排查封堵安全攻击,避免造成更多的损失;实时监控相关虚拟货币的流转情况,联动中心化机构拦截、围堵被盗资产,尽可能挽回部分被盗资产;事后要准备完备的补偿方案,弥补用户损失;或者,设置比较可靠的保险方案。
协同上下游业内资源,及时追踪被盗资产流向,并挽回损失,尤其是占据大多数流通性的交易所或稳定币方面(),能在赃款风控上更有效阻断。
评估项目的整体安全性,引入第三方安全公司从安全视角整体审视项目设计,考虑到跨链项目的复杂性,应加大安全审计力度。
PeckShield 和 BlockSec 的回答为我们大致揭露了跨链相关协议当前所面临的安全挑战。
综合来看,跨链相关协议之所以容易屡遭攻击,大致可分为三层原因,一是随着赛道的高速发展,其承载的资金量也在快速膨胀;二是赛道仍处于新兴阶段,各项细节仍待优化;三是跨链相关协议往往涉及到多条链和多个合约之间的交互,流程上相对复杂,风险点较多。
对于普通用户(主要指通过跨链桥赚取收益的流动性提供者)来说,现在所面临的情况在某种程度上和去年 DeFi 起步之初有些类似,在权衡收益及风险需要更加慎重,优先选择审计状况更为完善、业务顺利运行更久的协议。
而对于身处一线的项目方来说,一方面要吸收过往事件的经验,针对性地查漏补缺;另一方面也要主动进行安全升级,方法包括但不限于委托更多安全公司进行审计,及时跟进底层公链的升级和变化,整合 Lossless 等衍生安全方案,寻求与 Nexus Mutual 等保险协议的合作,像 cBridge 那样探索非合约型流动性锁定方式等等……
最后,我们想要呼吁所有相关从业人员,包括 ChainSwap、AnySwap、THORChain、Poly Network 等受害项目方不要丧失信心,新兴赛道的起步初期总是会伴随着阵痛,随着多链格局的日渐稳固,跨链势必会愈发蓬勃,黑客的“青睐”已侧面证明了这条赛道的价值,希望各位不要因为这颗绊脚石而停下了前进的脚步。
标签:比特币WORPOLPOLY比特币交易所下载官网appAskobar NetworkPolkatrainPolymarket
加纳是少数几个在Crypto领域活跃的非洲国家之一,该国正在采取具体措施促进Crypto领域的创新。 在阿克拉举行的第五届加纳国际贸易和金融会议上,加纳副总统Mahamudu Bawumia博士指出,非洲各国政府应该采用数字货币。理由是,这将促进贸易,并加强其经济体系中的其他生产性部门的作用。
三叉戟 (Trident) Trident 开发的最初核心关注点在于提高资本效率和保护用户免受加密货币波动性的影响,通过功能强大、直观且易于使用的工具,为 DeFi 提供新的协议标准。我们的目标是重新设计我们的系统,同时不牺牲用户对 Sushi 重新改进和整合过后的界面的熟悉程度。 作为一个以社区为中心的平台,我们每天都会收到来自用户的无价反馈。
这是两位20世纪货币经济学巨人之间的一场传奇性的辩论。争论的焦点是,是否会有一种“挑战者货币”能够取代政府发行的法币,成为全球范围的一种新的支付媒介。
近期(Metaverse)概念的走红,让这个创造于上世纪末的生涩词汇再次以全新的价值出现在互联网当中。元宇宙一词最初由科幻小说作家斯蒂芬所发明,他对元宇宙的定义是:一个让人沉浸在其中的、恍如现世的数字世界,如此精确、逼真、令人叹服。 其实元宇宙走红的背后,离不开上半年凭着“区块链+数字艺术”所打造的千亿规模NFT市场的形成。
有一个玩法叫「三颗星」,母球击球后必须碰撞台边(Cushion)三次后击中下一颗球。 在我看来区块链的用户行为也是有「三颗星」,当我们想好如何将三颗星连贯起来,这样才有机会击中用户想要的那颗球。 这三颗星星分别是 Key、Token、Transaction,它们代表区块链场景的核心对象,将这三个星星连接起来,这就勾勒出一幅用户生命周期图景。
在不到30年甚至更短的时间内,人们如何从当前的NFT热潮走向一个净零碳排放的世界? 常言道,技术的应用必将改变现状。尽管区块链因加密货币、代币和挖矿等项目引起了大众的广泛关注,但这显然是一种盲目的推崇。虽说一些加密爱好者已经在去中心化电子货币方面有所建树,然而,区块链近期的真正价值在于将该技术与缓解气候变化联系起来。
区块见闻