区块链:独家 | 跨链攻击给业界带来了新的安全挑战

从6月底到现在，一个月不到的时间，业界发生了多起较为重大的攻击事件：

6月29日，THORChain受到恶意攻击，损失估计达14万美元。

7月3日，跨链项目Chainswap合约遭到攻击，部分用户代币被主动从与 ChainSwap 交互的钱包中取出，总损失约为80万美元，跨链桥暂停使用。

7月11日，跨链项目Chainswap发布推文表示再次遭到黑客攻击，在该跨链桥部署智能合约的超20个项目代币都遭遇黑客盗取，总损失价值400万美元。

7月12日，跨链项目Anyswap新推出的V3跨链流动性池也遭到黑客攻击，总计损失超过787万美元。

7月16日，THORChain再次受到攻击，损失约为1.3万ETH，价值约为2500万美元。

独家 | Aave总锁仓金额升至DeFi项目第一名:据DappBirds DeFi Data专题数据显示，Aave总锁仓金额超越Maker升至第一名，DeFi中锁定资产总价值达82.03亿美元，较昨日下降4.03%，其中Aave，Maker，Curve，yearn，Compound分别以14.30亿美元，14.00亿美元，11.40亿美元，8.43亿美元，7.85亿美元位列前五名[2020/8/26]

从上面这些案例，我们明显发现这些攻击事件表现出四个鲜明的特点：

1.都是针对跨链项目展开的攻击。

2.多个项目在一个月内反复受到攻击。

3.项目因攻击受到的损失金额越来越大。

4.不仅被攻击项目本身的运作受到影响，而且部署在跨链项目的其它项目方的运作也受到影响。

独家 | Bakkt期货合约数据一览:金色财经报道，Bakkt Volume Bot数据显示，4月1日，Bakkt比特币月度期货合约单日交易额为672万美元，环比上升54%，未平仓合约量为453万美元，环比下降1%。[2020/4/2]

纵观这些被攻击的项目，绝大多数都是因为在资产跨链的过程中，缺乏对资产、签名等的验证导致黑客抓住了其中的漏洞对项目进行攻击。

这些问题中有一类（比如通过相同的签名能够反推出私钥）是圈内早已知晓的问题，但在跨链这个新场景下，缺乏先例，导致开发团队可能会因为疏忽而遗漏对这类问题的排查。另一类则是因为跨链应用涉及的场景复杂导致团队在代码逻辑的设计中稍有不慎就会遗漏一些对关键点的检查。

任何一个新应用登场，项目方都要必须面对这样的挑战。

独家 | 亚洲股市普跌 美、布原油均下跌超6%:截止北京时间10:30，亚洲股市普遍下跌，国内方面，上证指数下跌1.59%，深证成指下跌2.11%，香港恒生指数下跌3.42%。国外方面，日经225下跌4.55%，韩国KOSPI200下跌3.95%，菲律宾马尼拉下跌5.47%。

大宗商品现货市场方面：黄金暂报1636.72美元/盎司，上涨0.13%；白银暂报16.586美元/盎司，下跌0.93%；美国原油暂报31.10美元，下跌6.10%；布伦特原油暂报33.59美元/桶，下跌6.98%。[2020/3/12]

此外，跨链项目受攻击还给业界带来了一个新的安全挑战：以往项目受到攻击时，受损失的仅仅是项目方自己；而在跨链领域，由于跨链应用本身成为了平台，它会承载其它的应用，因此一旦跨链应用本身受到攻击，则连带受到损失的就不仅仅是跨链项目本身而且还包括跨链应用承载的项目了。

独家 | Samson：Diar研究模型有缺陷 闪电网络测试阶段暂不能发大额交易:加密货币研究机构Diar最近发布了一份研究报告指出，闪电网络协议可以100%确保适用于0.03美元以下的交易，如果金额大于5美元，则成功率会下降一半；如果金额大约490美元，那么成功则会降到1%。对此，Lightning Labs首席技术官否认闪电网络无法处理大额交易 。闪电网络之前被一些开发者诟病，称其实是用一种复杂的方法解决简单的问题，容易带来新的问题。对此， Blockstream 首席战略官Samson在接受金色财经独家采访时指出，现在的闪电网络还是在测试阶段。所以不能发大额的交易。如果你跟一个节点直接开一个渠道，那你可以发大额的交易。如果你通过路由，就是别人帮你转。你肯定要找一个通道获得容量支持才能转过去。闪电网络到现在还是测试阶段，并不是每个人都放五百块美金上去。Diar所有的数据，都是乱写的。现在的金额超过100美金会有困难。如果需要转100美金，可以直接和收款方开一个通道。闪电网络不支持大额交易，比如1000万美金。大额首选是上主链。[2018/6/28]

在这些攻击案例中，Chainswap第二次受到攻击时，就导致部署在上面的超过20个项目连带受到损失并不得不重新部署合约。恐怕这一点是此前很多项目方都没有意识到的新动向和新问题。

这说明安全隐患涉及的问题无论在广度还是在深度上都上升到了一个前所未有的高度。

我们相信这个问题只会越来越显现：因为区块链生态的丰富必然导致跨链应用成为刚需，成为一个无法阻挡的趋势。这意味着未来跨链应用只会越来越多，同时也意味着资产跨链也会越来越频繁，因此未来的项目方也在部署应用时不可能仅仅只考虑某个区块链而要考虑应用的跨链场景。由此带来的状况就是安全问题必然越来越突出，攻防矛盾越来越尖锐。

面对这个新形势，从应用的角度看：不仅跨链应用项目方本身要高度重视项目代码的安全，对代码的审查要比以往更加重视，而且部署在跨链应用上的第三方项目方未来除了注重项目自身的安全以外也也必须重视跨链应用的安全。

从代码的角度看：跨链项目的代码为了因应新的安全挑战必然越来越复杂；部署在跨链应用上的项目也必然会越来越复杂，比如要增加处理紧急状况的功能和接口，以便在事发的第一时间及时提取其部署在不同区块链上的流动性。

从项目方的角度看：未来面对更加复杂的应用场景和更高的代码难度，对代码的审计必然要更加重视。

从用户的角度看：一定要更加慎重地对自己投资或者有意向投资的项目进行详细的审查，重点审阅项目方的审计报告。

从审计公司的角度看：面对越来越复杂的系统，审计的难度也将越来越大，审计的要求也会越来越高。对此作为从业者的灵踪安全不仅将一如既往地在审计过程中做好代码的审计，更已经准备好全面的保驾护航方案，随时应对项目方受到攻击后在事发的第一时间为项目方提供完备的补救措施和全面的改进方案。

关于灵踪安全：

灵踪安全科技有限公司是一家专注区块链生态安全的公司。灵踪安全科技主要通过“代码风险检测+逻辑风险检测“的一体化综合方案服务了诸多新兴知名项目。公司成立于2021年01月，团队由一支拥有丰富智能合约编程经验及网络安全经验的团队创建。

团队成员参与发起并提交了以太坊领域的多项标准草案，包括ERC-1646、ERC-2569、ERC-2794，其中ERC-2569 被以太坊团队正式收入。

团队参与了多项以太坊项目的发起及构建，包括区块链平台、DAO组织、链上数据存储、去中心化交易所等项目， 并参与了多个项目的安全审计工作，在此基础上基于团队丰富的经验构建了完善的漏洞追踪及安全防范系统。

作者：

灵踪安全CEO 谭粤飞

美国弗吉尼亚理工大学(Virginia Tech, Blacksburg, VA, USA) 工业工程（Industrial Engineering） 硕士(Master)。曾任美国硅谷半导体公司 AIBT Inc（San Jose, CA, USA） 软件工程师，负责底层控制系统的开发、设备制程的程序实现、算法的设计，并负责与台积电的全面技术对接和交流。自2011至今，从事嵌入式，互联网及区块链技术的研究，深圳大学创业学院《区块链概论》课程教师，中山大学区块链与智能中心客座研究员，广东省金融创新研究会常务理事?。个人拥有4项区块链相关专利、3本出版著作。

标签：区块链AINChainCHA区块链工程专业学什么课程zetachainDoki Doki ChainbindersEXRNchain

USDT热门资讯