北京時間8月2日早上,跨鏈解決方案Nomad于遭到黑客攻擊,初步分析Nomad損失在1.9億美元左右。而本次被盜的根本原因,在于Nomad官方升級智能合約時發生錯誤。
不僅如此,由于合約升級加上了時間鎖,在黑客轉移資產之時,Nomad沒能及時反應,還被不少用戶“趁火打劫”,擼走不少剩余資產。
跨鏈橋攻擊事件對于從業者來說實在不算新鮮事了,2021年下半年至今超過10起,因為跨鏈橋承載大量資產的特殊屬性,這些事件多數損失慘重,就在不久前的6月24日,由Harmony開發的資產跨鏈橋Horizon遭到攻擊,損失同樣高達1億美元。而去年PolyNetwork遭到攻擊,一度損失6.1億美元,更成為了DeFi領域史上最大黑客事件。
為什么跨鏈相關協議如此容易遭到攻擊?跨鏈橋到底該如何平衡效率與安全性?在安全形勢愈發嚴峻的當下,項目方、用戶等不同角色需要注意些什么?倘若真的發生了極端事故,又有哪些行之有效的彌補手段?
加密交易所的身份檢查因AI深度造假的發展而面臨風險:金色財經報道,人工智能(AI)的興起引發了人們對加密貨幣交易所身份驗證工具日益增長的擔憂。隨著人工智能技術的快速發展,創建深度偽造身份證明的過程變得比以往任何時候都容易。對加密貨幣中人工智能風險的擔憂已引發一些知名行業高管就此事發表講話。全球主要交易所幣安的首席執行官兼創始人趙長鵬于8月9日在Twitter上對不良行為者在加密貨幣中使用人工智能發出警報。趙長鵬寫道,“從視頻驗證的角度來看,這非常可怕。即使他們給你發了視頻,也不要給他們送錢。”[2023/8/9 21:34:50]
此前,Odaily星球日報曾就“跨鏈橋的面臨的挑戰”這一話題采訪過PeckShield、BlockSec等知名安全公司,我們來再次看看這些“警世恒言”。
Q1
Odaily星球日報:為什么跨鏈相關協議頻繁被黑?是因為當前的技術方案尚不成熟?或是此類合約的潛在隱患難以偵測嗎?
PeckShield:跨鏈協議是個新興領域,它打破了鏈與鏈之間信息孤島的壁壘,但仍需要經受時間的考驗。ChainSwap協議遭遇攻擊是因為合約本身存在漏洞,向AnySwap被攻擊則是因為跨鏈的私鑰管理出了問題,PolyNetwork被攻擊也是因為合約漏洞。這給了所有跨鏈協議一個警示,需要提升對合約的查缺補漏和以及私鑰管理授權安全的重視。
中遠海運集團董事長:將推動區塊鏈等新技術與航運物流行業深度融合:中遠海運集團董事長許立榮表示,未來,我們將進一步順應航運物流領域數字化、智能化、綠色環保的趨勢,加快推進數字化技術在航運物流領域應用,推動大數據、互聯網、人工智能、區塊鏈、超級計算等新技術與航運物流行業的深度融合,推動航運物流產業數字化、智能化轉型升級。(21世紀經濟報道)[2020/6/3]
BlockSec:我覺得有多個原因。第一個是有利可圖。由于跨鏈橋中往往存在大量的數字資產,因此成為攻擊者眼中的香餑餑。第二個是跨鏈橋的整個流程比較復雜,涉及到多條鏈和多個合約之間的交互,而這些安全風險的監測需要通過對跨鏈橋做整體安全評估分析。對某一個模塊的審計和分析并不能完整覆蓋全鏈路的安全風險,需要一些新的安全思路和解決方案。
Q2
Odaily星球日報:在PolyNetwork一案中,社區質疑的一大焦點為其合約是否只有一名Keeper,盡管事后已經證明了該說法并不準確,但關于效率及中心化的平衡仍值得我們深思。在跨鏈相關服務中,是不是說跨鏈執行效力越高就會越中心化?中心化與不安全是劃等號的嗎?
國家郵政局:加快推動區塊鏈等與制造業供應鏈的深度融合:國家郵政局發布《關于促進快遞業與制造業深度融合發展的意見》,加快推動5G、大數據、云計算、人工智能、區塊鏈和物聯網與制造業供應鏈的深度融合。[2020/4/2]
PeckShield:跨鏈協議是基于區塊鏈底層技術構建的,這就意味著它不僅會帶有區塊鏈技術的特性,也會攜帶技術本身的“不可能三角”,即不能同時兼顧“去中心化”、“安全性”、“交易處理性能”這三個特性。
BlockSec:原先孤鏈之間資產轉移基本是通過中心化交易所來實現,跨鏈橋本就是通過側鏈的應用來提升資產跨鏈的去中心化和執行效率,就技術而言是一種進步,也是業界為了摒棄絕對中心化而做的技術努力。
跨鏈執行效率和中心化并不存在因果邏輯關系,而跨鏈橋的中心化和不安全更沒有直接關系了,中心化是否安全主要取決于中心化實體的安全性。從壞的方面來說,存在單點安全威脅問題,但是從好的方面來說,只要中心實體的安全保障做的高,那么安全性是可以得到保障的。
《河北省應急產業發展規劃(2020-2025)》提出推進區塊鏈等與應急產業深度融合:河北省工業和信息化廳22日透露,為加快河北應急產業發展,該省近日印發《河北省應急產業發展規劃(2020-2025)》提出,推進互聯網、大數據、人工智能、區塊鏈、物聯網等與應急產業深度融合,加速應急產業數字化、網絡化、智能化轉型。(中新社)[2020/3/23]
總體來說,還是取決于項目方的安全防御舉措是否到位,尤其在安全公司參與審計時,需要判斷審核,服務供應商是否存在超高權限及其進行RugPull的可能性,因為這樣的操作權限設置,很可能在供應商私鑰被盜或者遺失的情況下,造成大量資金的非法轉移。
Q3
Odaily星球日報:在項目接連出事的大背景下,項目方應該怎么辦?可以采取哪些措施來規避風險?
PeckShield:跨鏈橋生態的愈發多樣化、豐富化,使得在其之上進行的交易、資金量也會隨之大幅增長。例如PolyNetwork在遭受攻擊之前,跨鏈資產轉移的規模已經超過100億美元,使用該跨鏈服務的地址數量也超過了22萬個,這也就吸引了黑客對于跨鏈協議的關注,再加上跨鏈橋本身就是黑客資金出逃的重要環節,因此也會成為黑客攻擊的目標。
聲音 | 王小云:密碼技術將深度融合5G、區塊鏈等技術,為物聯網安全保駕護航:2019物聯網密碼應用專題峰會在無錫召開。密碼學家、中國科學院院士王小云在會上表示,物聯網絡設施,是經濟社會運行的神經中樞,也是可能遭到重點攻擊的目標,而密碼是保障物聯網網絡安全的核心技術和基礎支撐。密碼學是集數學、信息科學、計算機科學和物理學等于一體的深度交叉與融合的學科。密碼技術將深度融合5G、區塊鏈、人工智能、衛星通信等技術,為物聯網安全保駕護航。(經濟參考報)[2019/9/12]
對于項目方來說,首先尋求專業機構有效地排查出已知的漏洞,為協議的安全筑建第一道防線。
其次,還要注意排查與其他DeFi產品進行組合時的業務邏輯漏洞,避免出現跨合約的邏輯兼容性漏洞。
再然后,還要設計一定的風控熔斷機制,引入第三方安全公司的威脅感知情報和數據態勢情報服務,在DeFi安全事件發生時,能夠做到第一時間響應安全風險,及時排查封堵安全攻擊,避免造成更多的損失。
最后,應聯動行業各方力量,搭建一套完善的資產追蹤機制,實時監控相關虛擬貨幣的流轉情況。運維安全。
BlockSec:
將安全引進設計中也就是我們通常說的securitybydesign,而不只是安全審計。應該在設計階段引入第三方安全公司來一起評估安全風險。
項目技術代碼開源從長周期看也是化解未知風險的一種必要性。
對鏈上情況保持持續監控,能及時感知鏈上異常事件,從而在損失擴大之前及時阻斷。
Q4
Odaily星球日報:跨鏈的需求一直存在,且勢必會越來越旺盛,對于用戶來說,他們應該怎么辦?怎樣選擇安全且合適的跨鏈橋?
PeckShield:需要說明的是,在發生此類安全事件時,損失最大的往往是為跨鏈提供資金流動性的LPs,我們的建議是做好項目背調,不要輕易將資產投入到沒有審計過的項目中,包括正在進行審計但尚未完成的項目。再者,就是對于跨合約的協議,不要過度授權,包括項目相關方對跨鏈協議也不要過度授權。
Q5
Odaily星球日報:當發生極端安全事故后,有哪些行之有效的彌補手段?
PeckShield:當發生極端安全事故后,首先是項目方和相關方聯動啟動一級響應,追溯事故根源,同時追蹤被盜資產流轉情況,及時排查封堵安全攻擊,避免造成更多的損失;實時監控相關虛擬貨幣的流轉情況,聯動中心化機構攔截、圍堵被盜資產,盡可能挽回部分被盜資產;事后要準備完備的補償方案,彌補用戶損失;或者,設置比較可靠的保險方案。
BlockSec:
協同上下游業內資源,及時追蹤被盜資產流向,并挽回損失,尤其是占據大多數流通性的交易所或穩定幣方面,能在贓款風控上更有效阻斷。
評估項目的整體安全性,引入第三方安全公司從安全視角整體審視項目設計,考慮到跨鏈項目的復雜性,應加大安全審計力度。
小結
PeckShield和BlockSec的回答為我們大致揭露了跨鏈相關協議當前所面臨的安全挑戰。
綜合來看,跨鏈相關協議之所以容易屢遭攻擊,大致可分為三層原因,一是隨著賽道的高速發展,其承載的資金量也在快速膨脹;二是賽道仍處于新興階段,各項細節仍待優化;三是跨鏈相關協議往往涉及到多條鏈和多個合約之間的交互,流程上相對復雜,風險點較多。
對于普通用戶來說,現在所面臨的情況在某種程度上和去年DeFi起步之初有些類似,在權衡收益及風險需要更加慎重,優先選擇審計狀況更為完善、業務順利運行更久的協議。
而對于身處一線的項目方來說,一方面要吸收過往事件的經驗,針對性地查漏補缺;另一方面也要主動進行安全升級,方法包括但不限于委托更多安全公司進行審計,及時跟進底層公鏈的升級和變化,整合Lossless等衍生安全方案,尋求與NexusMutual等保險協議的合作,像cBridge那樣探索非合約型流動性鎖定方式等等……
最后,我們想要呼吁所有相關從業人員,不要喪失信心,新興賽道的起步初期總是會伴隨著陣痛,隨著多鏈格局的日漸穩固,跨鏈勢必會愈發蓬勃,黑客的“青睞”已側面證明了這條賽道的價值,希望各位不要因為這顆絆腳石而停下了前進的腳步。
8月2日消息,公鏈項目Waves周二宣布,Waves區塊鏈社區已以四分之三的投票支持率通過“WavesDeFi復興計劃”治理提案.
1900/1/1 0:00:00隨著以太坊合并日期越來越近,以太坊開發者近期召開會議,討論了一些解決方案,以解決合并可能出現的潛在問題.
1900/1/1 0:00:00原文作者:RasheedSaleuddin 原文編譯:Kyle 關鍵要點: 我們預計在今年剩余時間里,價值將流向那些產生收入的DeFi協議隨著Fraxlend和fraxETH的推出.
1900/1/1 0:00:00為能幫助Gate.io實盤跟單的交易員有更多更好的展示機會,即日起開展曝光作戰計劃。本次計劃旨在幫助優秀的、有潛力的新秀交易員,為這部分交易員提供曝光的資源,吸引更多用戶參與跟單.
1900/1/1 0:00:00尊敬的用戶:為幫助廣泛跟單用戶更好地了解實盤跟單功能,平臺將定期展示每週的交易員數據,數據內容包括交易員平均收益情況以及TOP收益的交易員展示.
1900/1/1 0:00:00Solana區塊鏈背后的開發人員表示,閉源Slope錢包可能是導致9,000多個熱錢包中價值數百萬美元的加密代幣被盜的持續漏洞的原因.
1900/1/1 0:00:00