深度解析：為什么跨鏈橋又雙叒出事了？_BLOC

北京時間8月2日早上，跨鏈解決方案Nomad于遭到黑客攻擊，初步分析Nomad損失在1.9億美元左右。而本次被盜的根本原因，在于Nomad官方升級智能合約時發生錯誤。

不僅如此，由于合約升級加上了時間鎖，在黑客轉移資產之時，Nomad沒能及時反應，還被不少用戶“趁火打劫”，擼走不少剩余資產。

跨鏈橋攻擊事件對于從業者來說實在不算新鮮事了，2021年下半年至今超過10起，因為跨鏈橋承載大量資產的特殊屬性，這些事件多數損失慘重，就在不久前的6月24日，由Harmony開發的資產跨鏈橋Horizon遭到攻擊，損失同樣高達1億美元。而去年PolyNetwork遭到攻擊，一度損失6.1億美元，更成為了DeFi領域史上最大黑客事件。

為什么跨鏈相關協議如此容易遭到攻擊？跨鏈橋到底該如何平衡效率與安全性？在安全形勢愈發嚴峻的當下，項目方、用戶等不同角色需要注意些什么？倘若真的發生了極端事故，又有哪些行之有效的彌補手段？

BMEX與桃花庵財富論壇達成深度戰略合作關系:據官方消息，BMEX與桃花庵財富論壇達成戰略合作關系，雙方將攜手打造幣圈二級市場交易的全方位服務體系，幫助用戶更好的習得交易知識，做出更專業的數字資產配置規劃。

桃花庵論壇創建于2019年，秉承正知、正念、正行的初心，三年來在合約交易市場贏得良好口碑。桃花庵打造的線上教學體系，集社群實時盤面解析，公眾號，直播課圖文聲三位一體；線下以成都為總部，外拓廣州，賀州分部。線上線下一體化培訓扶持，為客戶帶來實質性的知識獲得與資產增值。

BMEX是一家數字資產綜合服務平臺，目前已獲美國與加拿大雙監管牌照，擁有一鍵跟單、千倍杠桿等交易模式，致力于為用戶提供多樣、安全的數字資產交易及資產管理服務。[2021/4/28 21:06:57]

此前，Odaily星球日報曾就“跨鏈橋的面臨的挑戰”這一話題采訪過PeckShield、BlockSec等知名安全公司，我們來再次看看這些“警世恒言”。

Q1

原保監會副主席周延禮：目前區塊鏈等數字技術已深度參與保險業務的全流程:11月4日，《金融科技發展視角：構建保險科技創新新生態2020》新書發布會暨保險科技新生態研討會在清華大學五道口金融學院舉行。全國政協委員、原中國保監會副主席周延禮在致辭中表示，目前大數據、云計算、人工智能、區塊鏈等數字技術已深度參與保險業務的全流程，保險產品和服務的流程再造應運而生，不僅提升了保險業服務效率，而且改變了產品形態與服務交互方式，推動了保險業多生態對接經濟社會發展“雙循環”戰略。科技應用大幅縮短了新興保險產品迭代周期，提升產品上線速度，進一步激發了保險公司產品創新潛力，更好地滿足保險消費者的多元化需求。（中國財富網）[2020/11/5 11:42:52]

Odaily星球日報：為什么跨鏈相關協議頻繁被黑？是因為當前的技術方案尚不成熟？或是此類合約的潛在隱患難以偵測嗎？

PeckShield：跨鏈協議是個新興領域，它打破了鏈與鏈之間信息孤島的壁壘，但仍需要經受時間的考驗。ChainSwap協議遭遇攻擊是因為合約本身存在漏洞，向AnySwap被攻擊則是因為跨鏈的私鑰管理出了問題，PolyNetwork被攻擊也是因為合約漏洞。這給了所有跨鏈協議一個警示，需要提升對合約的查缺補漏和以及私鑰管理授權安全的重視。

Asproex（阿波羅）與DW2100達成深度合作:據官方消息，2020年11月3日，Asproex（阿波羅）與DW2100正式達成深度合作，DW2100支持MOON直接掃碼支付。此次雙方強強聯合，旨在為平臺用戶提供更為廣泛、更為豐富的Moon消費場景，擴大AsproPay的支付邊界。據悉，DW2100還特推出專屬阿波羅1號酒，用戶使用AsproPay支付時可享受專屬折扣。

DW2100是由數字工場、TODO BLOCK、彼岸花資本共同打造的行業資源直通平臺和高端商務私人會所，同時又是一家專業的雞尾酒、威士忌、雪茄吧和網紅打卡圣地。據悉，DW2100目前還正在緊張籌備另外一家中國風夜店，旨在推廣國潮文化的同時也為行業提供千人規模以上的活動平臺。

Asproex（阿波羅）作為一家離岸銀行控股持牌交易平臺，涵蓋CTO(Corporate Token Offering)企業通證上市、合約跟單、ETT指數通證、數字礦業、Digital Bank板塊并持有5國合法牌照，致力于為全球中小微企業提供數字化上市一站式服務。[2020/11/3 11:32:33]

BlockSec：我覺得有多個原因。第一個是有利可圖。由于跨鏈橋中往往存在大量的數字資產，因此成為攻擊者眼中的香餑餑。第二個是跨鏈橋的整個流程比較復雜，涉及到多條鏈和多個合約之間的交互，而這些安全風險的監測需要通過對跨鏈橋做整體安全評估分析。對某一個模塊的審計和分析并不能完整覆蓋全鏈路的安全風險，需要一些新的安全思路和解決方案。

聲音 | 經濟日報：推進區塊鏈健康穩步發展，必須引導區塊鏈技術與實際應用場景深度融合:\u202811月8日，經濟日報刊文“區塊鏈：腳踏實地走向光明未來”。文章表示，當前，區塊鏈的關注熱度起來了，但區塊鏈行業的發展還需要靜下心來，踏踏實實進行技術探索，才能實現區塊鏈技術和產業創新發展，實現區塊鏈在數字經濟時代應有的價值，占據以區塊鏈為代表的新時代互聯網科技制高點。推進區塊鏈健康穩步發展，必須繼續嚴厲打擊投機行為，必須引導區塊鏈技術與實際應用場景深度融合。[2019/11/8]

Q2

Odaily星球日報：在PolyNetwork一案中，社區質疑的一大焦點為其合約是否只有一名Keeper，盡管事后已經證明了該說法并不準確，但關于效率及中心化的平衡仍值得我們深思。在跨鏈相關服務中，是不是說跨鏈執行效力越高就會越中心化？中心化與不安全是劃等號的嗎？

PeckShield：跨鏈協議是基于區塊鏈底層技術構建的，這就意味著它不僅會帶有區塊鏈技術的特性，也會攜帶技術本身的“不可能三角”，即不能同時兼顧“去中心化”、“安全性”、“交易處理性能”這三個特性。

聲音 | 中國銀行前行長：區塊鏈等技術的深度融合將建立新的數字信任機制:在10月27日北京通州舉辦的“2019全球財富管理論壇”上，中國銀行前行長、中國互聯網金融協會區塊鏈工作組組長、第十二屆全國人大財經委員李禮輝表示，大數據、區塊鏈等技術將提供分布式、低成本、可認證的技術平臺，建立數字信任機制。區塊鏈與人工智能技術的深度融合正在建設新的數字信任機制，提高財富管理金融的效率。（億歐金融）[2019/10/27]

BlockSec：原先孤鏈之間資產轉移基本是通過中心化交易所來實現，跨鏈橋本就是通過側鏈的應用來提升資產跨鏈的去中心化和執行效率，就技術而言是一種進步，也是業界為了摒棄絕對中心化而做的技術努力。

跨鏈執行效率和中心化并不存在因果邏輯關系，而跨鏈橋的中心化和不安全更沒有直接關系了，中心化是否安全主要取決于中心化實體的安全性。從壞的方面來說，存在單點安全威脅問題，但是從好的方面來說，只要中心實體的安全保障做的高，那么安全性是可以得到保障的。

總體來說，還是取決于項目方的安全防御舉措是否到位，尤其在安全公司參與審計時，需要判斷審核，服務供應商是否存在超高權限及其進行RugPull的可能性，因為這樣的操作權限設置，很可能在供應商私鑰被盜或者遺失的情況下，造成大量資金的非法轉移。

Q3

Odaily星球日報：在項目接連出事的大背景下，項目方應該怎么辦？可以采取哪些措施來規避風險？

PeckShield：跨鏈橋生態的愈發多樣化、豐富化，使得在其之上進行的交易、資金量也會隨之大幅增長。例如PolyNetwork在遭受攻擊之前，跨鏈資產轉移的規模已經超過100億美元，使用該跨鏈服務的地址數量也超過了22萬個，這也就吸引了黑客對于跨鏈協議的關注，再加上跨鏈橋本身就是黑客資金出逃的重要環節，因此也會成為黑客攻擊的目標。

對于項目方來說，首先尋求專業機構有效地排查出已知的漏洞，為協議的安全筑建第一道防線。

其次，還要注意排查與其他DeFi產品進行組合時的業務邏輯漏洞，避免出現跨合約的邏輯兼容性漏洞。

再然后，還要設計一定的風控熔斷機制，引入第三方安全公司的威脅感知情報和數據態勢情報服務，在DeFi安全事件發生時，能夠做到第一時間響應安全風險，及時排查封堵安全攻擊，避免造成更多的損失。

最后，應聯動行業各方力量，搭建一套完善的資產追蹤機制，實時監控相關虛擬貨幣的流轉情況。運維安全。

BlockSec：

將安全引進設計中也就是我們通常說的securitybydesign，而不只是安全審計。應該在設計階段引入第三方安全公司來一起評估安全風險。

項目技術代碼開源從長周期看也是化解未知風險的一種必要性。

對鏈上情況保持持續監控，能及時感知鏈上異常事件，從而在損失擴大之前及時阻斷。

Q4

Odaily星球日報：跨鏈的需求一直存在，且勢必會越來越旺盛，對于用戶來說，他們應該怎么辦？怎樣選擇安全且合適的跨鏈橋？

PeckShield：需要說明的是，在發生此類安全事件時，損失最大的往往是為跨鏈提供資金流動性的LPs，我們的建議是做好項目背調，不要輕易將資產投入到沒有審計過的項目中，包括正在進行審計但尚未完成的項目。再者，就是對于跨合約的協議，不要過度授權，包括項目相關方對跨鏈協議也不要過度授權。

Q5

Odaily星球日報：當發生極端安全事故后，有哪些行之有效的彌補手段？

PeckShield：當發生極端安全事故后，首先是項目方和相關方聯動啟動一級響應，追溯事故根源，同時追蹤被盜資產流轉情況，及時排查封堵安全攻擊，避免造成更多的損失；實時監控相關虛擬貨幣的流轉情況，聯動中心化機構攔截、圍堵被盜資產，盡可能挽回部分被盜資產；事后要準備完備的補償方案，彌補用戶損失；或者，設置比較可靠的保險方案。

BlockSec：

協同上下游業內資源，及時追蹤被盜資產流向，并挽回損失，尤其是占據大多數流通性的交易所或穩定幣方面，能在贓款風控上更有效阻斷。

評估項目的整體安全性，引入第三方安全公司從安全視角整體審視項目設計，考慮到跨鏈項目的復雜性，應加大安全審計力度。

小結

PeckShield和BlockSec的回答為我們大致揭露了跨鏈相關協議當前所面臨的安全挑戰。

綜合來看，跨鏈相關協議之所以容易屢遭攻擊，大致可分為三層原因，一是隨著賽道的高速發展，其承載的資金量也在快速膨脹；二是賽道仍處于新興階段，各項細節仍待優化；三是跨鏈相關協議往往涉及到多條鏈和多個合約之間的交互，流程上相對復雜，風險點較多。

對于普通用戶來說，現在所面臨的情況在某種程度上和去年DeFi起步之初有些類似，在權衡收益及風險需要更加慎重，優先選擇審計狀況更為完善、業務順利運行更久的協議。

而對于身處一線的項目方來說，一方面要吸收過往事件的經驗，針對性地查漏補缺；另一方面也要主動進行安全升級，方法包括但不限于委托更多安全公司進行審計，及時跟進底層公鏈的升級和變化，整合Lossless等衍生安全方案，尋求與NexusMutual等保險協議的合作，像cBridge那樣探索非合約型流動性鎖定方式等等……

最后，我們想要呼吁所有相關從業人員，不要喪失信心，新興賽道的起步初期總是會伴隨著陣痛，隨著多鏈格局的日漸穩固，跨鏈勢必會愈發蓬勃，黑客的“青睞”已側面證明了這條賽道的價值，希望各位不要因為這顆絆腳石而停下了前進的腳步。

Tags：區塊鏈BLOELDBLOC區塊鏈技術就業前景CarBlockTenzShieldHashBit BlockChain

非小號