木星链 木星链
Ctrl+D收藏木星链

CHA:对话头部安全公司,为什么受伤的总是跨链桥?

作者:

时间:1900/1/1 0:00:00

8月10日晚间,跨链互操作性项目PolyNetwork突遭黑客攻击,损失金额高达6.1亿美元。如果按照事件发生时相关资产的市场价格计算,这不仅仅是DeFi历史上涉案金额最大的黑客事件,更是整个加密货币历史上涉案金额最大的黑客事件。

尽管在各方的持续努力之下,黑客最终选择了归还全部6.1亿美元赃款,但作为一起注定会被记入加密货币历史的惊天大案,针对该事件本身及其相关趋势进行复盘和梳理仍有着较大的警示意义。

回顾本次事件,黑客的攻击手法基本已被刨析完毕,慢雾方面指出,酿成本次事件的祸因在于EthCrossChainData合约的keeper可由EthCrossChainManager合约进行修改,而EthCrossChainManager合约的verifyHeaderAndExecuteTx函数又可以通过_executeCrossChainTx函数执行用户传入的数据。

如果跳出个体案件,去探寻更高层级的宏观趋势,PolyNetwork一案再次佐证了黑客群体已将目光聚焦在了跨链协议这一新兴赛道之上。根据PeckShield的统计,截至?8月12日,2021年第三季度共计发生了?19?起DeFi?安全事件,其中跨链相关协议共六次被黑,除了?PolyNetwork外,还有ChainSwap、AnySwap、THORChain等。从数额上看,即便是不计入数额爆表的PolyNetwork事件,资金损失总额也高达3280万美元,高于其他所有类别。

知情人士:阿里达摩院正在研发类ChatGPT的对话机器人:金色财经报道,据阿里巴巴一名资深技术专家爆料,阿里达摩院正在研发类ChatGPT的对话机器人,目前已开放给公司内员工测试。从曝光截图来看,阿里巴巴可能将AI大模型技术与钉钉生产力工具深度结合。(21财经)[2023/2/8 11:55:21]

究其原因,PolyNetwork事件的黑客曾通过转账附加信息提到攻击动机——因为跨链攻击很“火”!

对话题进一步延伸:为什么跨链相关协议如此容易遭到攻击?跨链桥到底该如何平衡效率与安全性?在安全形势愈发严峻的当下,项目方、用户等不同角色需要注意些什么?倘若真的发生了极端事故,又有哪些行之有效的弥补手段?

为了找到这些问题的答案,Odaily星球日报特采访PeckShield、BlockSec等知名安全公司。作为深耕DeFi安全的专业人员,他们会给出什么样的答案?

Q1

Odaily星球日报:为什么跨链相关协议频繁被黑?是因为当前的技术方案尚不成熟?或是此类合约的潜在隐患难以侦测吗?

沈南鹏对话李小加:人工智能、区块链、大数据和云计算四大技术不是独立存在的:在第五届香港金融科技周上,红杉资本全球执行合伙人沈南鹏与香港交易所集团行政总裁李小加展开了一场别开生面的对话,在被问到技术是否会变成企业真正重要的竞争优势、以及当前人们提到新兴市场的A、B、C、D四大技术(AI-人工智能、Blockchain-区块链、Cloud-云计算和Data-数据)哪一个能真正改写金融业的基本面这两个问题时,沈南鹏回答说:AI、区块链、云计算和大数据这四种技术趋势,它们不是独立存在的,事实上这些技术是紧密相连的。为什么人工智能、机器学习已经有几十年历史了,但只在过去五到十年里获得了应用方面的加速落地,并形成方案去解决实际问题?这是因为我们现在可以对海量数据进行存储和分析,而云计算的发展使之成为可能。

所以,我认为不同的技术之间实际上都有一些相互联系,其中任何一个技术都有可能通向另一个技术,最终在现实生活里得到实际应用。金融服务领域的创新,实际上最重要的因素是人。比如港交所的优异成绩得益于李小加等管理团队的领导。如果关注兴起的产业或世界各地蓬勃发展中的金融机构,就会发现领导者恰恰都思想开明,他们拥抱技术,不同凡响。[2020/11/9 12:06:08]

PeckShield:跨链协议是个新兴领域,它打破了链与链之间信息孤岛的壁垒,但仍需要经受时间的考验。ChainSwap协议遭遇攻击是因为合约本身存在漏洞,向AnySwap被攻击则是因为跨链的私钥管理出了问题,PolyNetwork被攻击也是因为合约漏洞。这给了所有跨链协议一个警示,需要提升对合约的查缺补漏和以及私钥管理授权安全的重视。

火币尖峰对话|今天,我们为什么要讨论DeFi?:7月30日,由金色财经作为独家战略媒体支持的火币尖峰对话DeFi系列首场AMA将于15:00线上开启。

此次对话以“今天,我们为什么要谈论DeFi?”为主题,金色财经合伙人佟扬将与火币去中心化事业部运营负责人高潮深度探讨DeFi发展的那些事,为行业从业者呈现真实的DeFi发展图景。

更多详情见原文链接查看。[2020/7/30]

BlockSec:我觉得有多个原因。第一个是有利可图。由于跨链桥中往往存在大量的数字资产,因此成为攻击者眼中的香饽饽。第二个是跨链桥的整个流程比较复杂,涉及到多条链和多个合约之间的交互,而这些安全风险的监测需要通过对跨链桥做整体安全评估分析。对某一个模块的审计和分析并不能完整覆盖全链路的安全风险,需要一些新的安全思路和解决方案。

Q2

Odaily星球日报:在PolyNetwork一案中,社区质疑的一大焦点为其合约是否只有一名Keeper,尽管事后已经证明了该说法并不准确,但关于效率及中心化的平衡仍值得我们深思。在跨链相关服务中,是不是说跨链执行效力越高就会越中心化?中心化与不安全是划等号的吗?

Coinbase CEO建议躲避主流媒体 在社交媒体上与观众对话:Coinbase首席执行官Brian Armstrong表示,公司领导人越来越倾向于避开主流媒体记者,直接在非中介的社交媒体平台上与观众对话。Brian Armstrong在推特上发文称:“我们的客户是在YouTube/播客/社交媒体上,而不是在阅读主流媒体。”他还表示,在当前的媒体环境下,企业现在“能够控制自己的发行渠道”。他还补充说:“那里有高素质的新闻工作者,新闻业在社会中起着重要作用。” 然而,Brian Armstrong认为,最好的策略是与3至5名“受尊敬的传统记者”建立关系,然后把大部分时间花在现代频道上。(Cointelegraph)[2020/5/22]

PeckShield:跨链协议是基于区块链底层技术构建的,这就意味着它不仅会带有区块链技术的特性,也会携带技术本身的“不可能三角”,即不能同时兼顾“去中心化”、“安全性”、“交易处理性能”这三个特性。

BlockSec:原先孤链之间资产转移基本是通过中心化交易所来实现,跨链桥本就是通过侧链的应用来提升资产跨链的去中心化和执行效率,就技术而言是一种进步,也是业界为了摒弃绝对中心化而做的技术努力。

Bittrex回应SEC声明:加密货币不是证券 期待与SEC对话:针对SEC(美国证券交易委员会)最新发布的《关于可能违法的数字资产交易平台的声明》,美国最大的数字货币交易平台Bittrex率先做出回应:“作为美国的加密货币交易平台,Bittrex致力于孵化新的区块链技术,并向客户提供创新、合规的数字资产。Bittrex有强大的加密货币审查程序,为确保交易所上线的加密货币符合美国法律,不被视为证券。Bittrex致力于推动美国在这个新兴行业的全球领导地位,我们期待着继续与SEC和其他监管机构进行积极对话,探讨如何为区块链建立一个安全,全面监管的环境,鼓励创新和经济增长。”[2018/3/8]

跨链执行效率和中心化并不存在因果逻辑关系,而跨链桥的中心化和不安全更没有直接关系了,中心化是否安全主要取决于中心化实体的安全性。从坏的方面来说,存在单点安全威胁问题,但是从好的方面来说,只要中心实体的安全保障做的高,那么安全性是可以得到保障的。

总体来说,还是取决于项目方的安全防御举措是否到位,尤其在安全公司参与审计时,需要判断审核,服务供应商是否存在超高权限及其进行RugPull的可能性,因为这样的操作权限设置,很可能在供应商私钥被盗或者遗失的情况下,造成大量资金的非法转移。

Q3

Odaily星球日报:在项目接连出事的大背景下,项目方应该怎么办?可以采取哪些措施来规避风险?

PeckShield:跨链桥生态的愈发多样化、丰富化,使得在其之上进行的交易、资金量也会随之大幅增长。例如PolyNetwork在遭受攻击之前,跨链资产转移的规模已经超过100亿美元,使用该跨链服务的地址数量也超过了22万个,这也就吸引了黑客对于跨链协议的关注,再加上跨链桥本身就是黑客资金出逃的重要环节,因此也会成为黑客攻击的目标。

对于项目方来说,首先寻求专业机构有效地排查出已知的漏洞,为协议的安全筑建第一道防线。

其次,还要注意排查与其他DeFi产品进行组合时的业务逻辑漏洞,避免出现跨合约的逻辑兼容性漏洞。

再然后,还要设计一定的风控熔断机制,引入第三方安全公司的威胁感知情报和数据态势情报服务,在DeFi安全事件发生时,能够做到第一时间响应安全风险,及时排查封堵安全攻击,避免造成更多的损失。

最后,应联动行业各方力量,搭建一套完善的资产追踪机制,实时监控相关虚拟货币的流转情况。运维安全。

BlockSec:

将安全引进设计中也就是我们通常说的securitybydesign,而不只是安全审计。应该在设计阶段引入第三方安全公司来一起评估安全风险。

项目技术代码开源从长周期看也是化解未知风险的一种必要性。

对链上情况保持持续监控,能及时感知链上异常事件,从而在损失扩大之前及时阻断。

Q4

Odaily星球日报:跨链的需求一直存在,且势必会越来越旺盛,对于用户来说,他们应该怎么办?怎样选择安全且合适的跨链桥?

PeckShield:需要说明的是,在发生此类安全事件时,损失最大的往往是为跨链提供资金流动性的LPs,我们的建议是做好项目背调,不要轻易将资产投入到没有审计过的项目中,包括正在进行审计但尚未完成的项目。再者,就是对于跨合约的协议,不要过度授权,包括项目相关方对跨链协议也不要过度授权。

Q5

Odaily星球日报:当发生极端安全事故后,有哪些行之有效的弥补手段?

PeckShield:当发生极端安全事故后,首先是项目方和相关方联动启动一级响应,追溯事故根源,同时追踪被盗资产流转情况,及时排查封堵安全攻击,避免造成更多的损失;实时监控相关虚拟货币的流转情况,联动中心化机构拦截、围堵被盗资产,尽可能挽回部分被盗资产;事后要准备完备的补偿方案,弥补用户损失;或者,设置比较可靠的保险方案。

BlockSec:

协同上下游业内资源,及时追踪被盗资产流向,并挽回损失,尤其是占据大多数流通性的交易所或稳定币方面,能在赃款风控上更有效阻断。

评估项目的整体安全性,引入第三方安全公司从安全视角整体审视项目设计,考虑到跨链项目的复杂性,应加大安全审计力度。

小结

PeckShield和BlockSec的回答为我们大致揭露了跨链相关协议当前所面临的安全挑战。

综合来看,跨链相关协议之所以容易屡遭攻击,大致可分为三层原因,一是随着赛道的高速发展,其承载的资金量也在快速膨胀;二是赛道仍处于新兴阶段,各项细节仍待优化;三是跨链相关协议往往涉及到多条链和多个合约之间的交互,流程上相对复杂,风险点较多。

对于普通用户来说,现在所面临的情况在某种程度上和去年DeFi起步之初有些类似,在权衡收益及风险需要更加慎重,优先选择审计状况更为完善、业务顺利运行更久的协议。

而对于身处一线的项目方来说,一方面要吸收过往事件的经验,针对性地查漏补缺;另一方面也要主动进行安全升级,方法包括但不限于委托更多安全公司进行审计,及时跟进底层公链的升级和变化,整合Lossless等衍生安全方案,寻求与?NexusMutual等保险协议的合作,像cBridge那样探寻非合约型流动性锁定方式等等……

最后,我们想要呼吁所有相关从业人员,包括ChainSwap、AnySwap、THORChain、PolyNetwork等受害项目方不要丧失信心,新兴赛道的起步初期总是会伴随着阵痛,随着多链格局的日渐稳固,跨链势必会愈发蓬勃,黑客的“青睐”已侧面证明了这条赛道的价值,希望各位不要因为这颗绊脚石而停下了前进的脚步。

标签:CHADEFIDEFEFI4CHAN币Defi GoldClever DeFiyefi币最近怎么了

POL币最新价格热门资讯
GATE:Gate.io 关于支持BTM升级和代币兑换计划的公告

根据BTM官方消息,BTM要执行主网升级计划,用户地址将根据区块高度709,660(预计时间2021年08月20日10:00UTC8)的快照,按1:1的比例收到新的BTM代币.

1900/1/1 0:00:00
数字资产:ZT创新板即将上线FARM

亲爱的ZT用户:ZT创新板即将上线FARM,并开启FARM/USDT交易对。具体上线时间如下:交易:2021年8月16日17:00?;FARM项目简介:?HarvestFinance是以太坊、币.

1900/1/1 0:00:00
TOK:币安已完成 Bitcoin Cash ABC(BCHA)品牌升级为 eCash(XEC)及代币增量计划

亲爱的用户:币安已完成BitcoinCashABC品牌升级为eCash及代币增量计划,并开启eCash充值、提现业务.

1900/1/1 0:00:00
GATE:Gate.io 今日智能量化收益排行,七日年化收益率最高达396.33%

为帮助用户更轻松实现数字资产量化交易,Gate.io量化交易中心全面升级,改名“量化跟单”全新上线,功能及页面全面升级.

1900/1/1 0:00:00
MOB:MobileCoin 以 10 亿美元估值完成 6600 万 B 轮融资,Alameda、Coinbase 参投

巴比特讯,8月18日,隐私支付项目MobileCoin宣布以10.66亿美元估值完成6600万美元B轮股权融资.

1900/1/1 0:00:00
TOM:关于移除部分交易对的公告(0816)

尊敬的用户:BiKi平台将定期审核上线的数字资产,基于项目的流动性、交易量、用户市场反馈等方面进行评估,平台将于8月18日18:00移除以下交易对:ETN/USDT,MATIC/USDT.

1900/1/1 0:00:00