比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > 瑞波幣 > Info

攻擊事件不斷,跨鏈橋項目何以對應?-ODAILY_Chain

Author:

Time:1900/1/1 0:00:00

Chainalysis發布的數據顯示,單單2022年跨鏈橋掠奪事件所帶來的損失就多達20億美元。跨鏈橋安全問題層出不窮,每一次的攻擊事件,都引發了行業的關注。對于產品安全問題,跨鏈橋項目Multichain安全負責人XChang近日就針對該項目的產品安全機制進行了詳細的披露,希望借此機會與業內友商和關注跨鏈橋生態的觀察人士分享Multichain的經歷。

據XChang,Multichain的安全策略以攻擊事件為時間點分為三階,即:發生前,發生時,發生后。每個階段都有對應的應對步驟與策略。

報告:2022年Q3區塊鏈領域主要攻擊事件超37起,總損失約4億504萬美元:金色財經報道,據Beosin的2022年Q3全球區塊鏈生態安全報告,2022年第三季度共監測到區塊鏈生態領域主要攻擊事件超37起,總損失約4億504萬美元,較今年第二季度的7億1834萬美元下降約43.6%。較去年第三季度同期損失(10億零258萬美元)下降約59.6%。2022年1-9月,區塊鏈生態領域因攻擊事件損失的總金額已達約23億1791萬美元。

從時間上來看,7月攻擊事件大幅減少,為2022年以來攻擊損失金額最少的一個月。8、9月黑客活躍程度大幅增加。

從被攻擊項目類型來看,92%的損失金額來自跨鏈橋和DeFi項目。37起攻擊里,DeFi項目占了22次。

從鏈平臺來看,Q3季度Ethereum上損失金額達3億7428萬美元,占到總損失的92%。被攻擊頻率最高的鏈為BNB Chain,達到了16次。

從攻擊手法來看,92%的損失金額源于合約漏洞利用和私鑰泄露。

從資金流向來看,約2億420萬美元的被盜資金流入了Tornado Cash,占該季度被盜資金的約50.4%。本季度僅有約4%的被盜資金被追回。

從審計情況來看,被攻擊的項目中,僅有40%的項目經過了審計。[2022/10/28 11:51:47]

1.發生前:

Akropolis重入攻擊事件:攻擊者使用自己構造token導致合約使用相同差值鑄幣兩次:11月14日,慢霧發布DeFi協議Akropolis重入攻擊事件簡析。內容顯示:

1. 攻擊者使用自己創建的token進行deposit,此時Akropolis合約會先記錄一次合約中所有代幣的總量;

2. Akropolis合約調用用戶自己創建的token的transferFrom函數的時候,攻擊者在transferFrom函數中重入Akropolis合約的deposit函數,并轉入DAI到Akropolis合約中;

3. 此時在重入的交易中,由于Akropolis合約會先獲取合約中所有代幣的總量,這個值和第一次調用deposit函數獲取的合約代幣總量的值一致;

4. Akropolis合約計算充值前后合約中代幣總量的差值,攻擊者在充值DAI后,會得到一定量的Delphi token,獲得token的數量就是充值DAI的數量;

5. 鑄幣完成后,流程回到第一次deposit往下繼續執行,這時合約會再次獲取合約中所有代幣的總量,這時由于在重入交易時,攻擊者已經轉入一定量的DAI,所以得到的代幣總余額就是攻擊者在重入交易完成后的代幣總余額;

6. 此時合約再次計算差值,由于第一次deposit的時候合約中所有代幣的總量已經保存,此時計算出來的差值和重入交易中計算的差值一致,Akropolis合約再次鑄幣給攻擊者。總結:攻擊者使用自己構造的token,對Akropolis合約的deposit函數進行重入,導致Akropolis合約使用相同的差值鑄幣了兩次,但是只觸發了一次轉賬,當攻擊者提現的時候,就可以提兩倍的收益,從而獲利。[2020/11/14 20:48:37]

項目通過內部和外部審計方式來排除任何安全隱患。同時,也通過漏洞懸賞調動業內專家幫助發現漏洞,避免造成損失。另外,Multichain也希望通過即將推出的MultiDAO來對產品安全做另一次預防性把關。除此之外,Multichain也利用主要媒體平臺的關鍵詞輿論監測來觀察業內跨鏈橋安全問題相關的動態,從中進行自省,監測其他事件的影響是否波及到Multichain的資產。對于大額度的交易,Multichain也實施了跨鏈金額限制及鏈資金流量和總量限制,以避免類似Horizon的事件重蹈覆轍。

UMA創始人:Lendf.me、imToken和ERC-777標準開發者都應該對此次攻擊事件負有責任:金融合約平臺UMA聯合創始人Allison Lu在“Crypto Tonight”活動中表示,對于bZx、Lendf.me和MakerDAO的攻擊事件,這幾個案例中都是多方的責任,涉及到Layer1共識保證和Layer2協議之間的互動、預言機被操縱或出錯、智能合約安全、治理等多方面的因素。

以 Lendf.me為例,Allison Lu認為各方都負有一定責任,“Lendf.me的治理決策中,在沒能杜絕‘可重入’漏洞的情況下接納了imBTC作為抵押品;imToken的責任在于采用了ERC-777標準而沒有具體規定代幣分發給哪些協議,ERC-777標準的開發者聲稱ERC-777標準向后兼容ERC20,他們也有責任。[2020/4/25]

2.發生時:

攻擊事件發生時,關鍵在于及時拉響警鐘,讓平臺能迅速采取行動。Multichain設置了檢測Watchdogs,能夠及時反應異常現象。同時,項目也調動DAO的力量,對發現漏洞以及及時將異常現象通報平臺的成員發放獎勵。

3.發生后:

Mutichain將會暫停產品的使用,以先止損,后修復的形式去應對黑客事件。同時,該項目也進行演習,并在智能合約上設置暫停功能。此外,Multichain也從項目利潤中挪出了一部分資金作為安全基金,補償用戶在類似事件中的損失。

ChangX也闡明了多方安全計算的特征能夠確保更強的去中心化以及控制成本,而且MPC私鑰分片會定期更新作廢,進一步防范黑客行為。與此同時,Multichain也與網絡基礎設置提供商合作,力求營造更安全的產品環境。至于Multichain即將發布的MPC+HSM方案,它能夠確保在服務器被攻擊的情況下,仍舊遏制黑客獲取私鑰分片。

本文轉載自

https://medium.com/multichainorg/multichain-安全策略-詳細披露-3c38360bfd0b

Tags:CHAAINChainHAICHA幣TFchainBDCC Gold ChainBlockchain Property

瑞波幣
波卡創始人Gavin Wood問題解答(一)-ODAILY_QUO

“波卡知識圖譜”是我們針對波卡從零到一的入門級文章,我們嘗試從波卡最基礎的部分講起,為大家提供全方位了解波卡的內容,當然這是一項巨大的工程,也充滿了挑戰.

1900/1/1 0:00:00
互操作性將如何影響區塊鏈發展的未來?-ODAILY_PPL

毋庸置疑,區塊鏈技術對21世紀產生了巨大的影響。在不到15年的時間里,區塊鏈對社會的去中心化發展產生了積極的作用,如果沒有區塊鏈,金融世界就不會是現在的樣子.

1900/1/1 0:00:00
Huobi Incubator投資負責人Zhe Li加入2022波場黑客松大賽第二季評審團-ODAILY_OBI

據官方消息,來自HuobiIncubator的投資負責人ZheLi加入2022波場黑客松大賽第二季評審團。HuobiIncubator旨在助力下一代區塊鏈企業家和技術團隊高速發展.

1900/1/1 0:00:00
機構將放棄嚴重脫錨的stETH交易池? -ODAILY_stETH

今天來聊聊StETH/ETH的事情,也就是交易對流動性即將耗盡。顧名思義,stETH是ETH上的質押版本,其目的就是為了保護合并后的ETH安全.

1900/1/1 0:00:00
NFT周刊:電商巨頭eBay收購KnownOrigin-ODAILY_INC

2022年第二季度以NFT.NYC收尾,新的一周YugaLabs和BAYC占據了頭條新聞,eBay積極進軍NFT領域。讓我們來回顧一下本周NFT領域重要新聞.

1900/1/1 0:00:00
Fireblocks宣布支持TRX及波場鏈上全部TRC20代幣-ODAILY_FIRE

新加坡當地時間5月24日,全球領先的數字資產和加密貨幣基礎設施平臺Fireblocks宣布,旗下專注機構業務的數字資產平臺正式新增對TRX和波場鏈上所有TRC20代幣的支持.

1900/1/1 0:00:00
ads