比特幣價格 比特幣價格
Ctrl+D 比特幣價格
ads
首頁 > 火星幣 > Info

POLY:敲響DeFi安全警鐘 為什么受傷的總是跨鏈橋?_polyx幣是什么幣

Author:

Time:1900/1/1 0:00:00

原標題:《對話頭部安全公司,為什么受傷的總是跨鏈橋?》

8 月 10 日晚間,跨鏈互操作性項目 Poly Network 突遭黑客攻擊,損失金額高達 6.1 億美元。如果按照事件發生時相關資產的市場價格計算,這不僅僅是 DeFi 歷史上涉案金額最大的黑客事件,更是整個加密貨幣歷史上涉案金額最大的黑客事件。

盡管在各方的持續努力之下,黑客最終選擇了歸還全部 6.1 億美元贓款,但作為一起注定會被記入加密貨幣歷史的驚天大案,針對該事件本身及其相關趨勢進行復盤和梳理仍有著較大的警示意義。

回顧本次事件,黑客的攻擊手法基本已被刨析完畢,慢霧方面指出,釀成本次事件的禍因在于 EthCrossChainData 合約的 keeper 可由 EthCrossChainManager 合約進行修改,而 EthCrossChainManager 合約的 verifyHeaderAndExecuteTx 函數又可以通過 _executeCrossChainTx 函數執行用戶傳入的數據。

如果跳出個體案件,去探尋更高層級的宏觀趨勢,Poly Network 一案再次佐證了黑客群體已將目光聚焦在了跨鏈協議這一新興賽道之上。根據 PeckShield 的統計,截至 8 月 12 日,2021年第三季度共計發生了 19 起 DeFi 安全事件,其中跨鏈相關協議共六次被黑,除了 Poly Network 外,還有 ChainSwap、AnySwap、THORChain 等。從數額上看,即便是不計入數額爆表的 Poly Network 事件,資金損失總額也高達 3280 萬美元,高于其他所有類別。

美國司法部要求法院撤銷在FTX破產案中不任命獨立審查員的決定:5月18日消息,美國司法部(DOJ)的一個分支機構美國受托人(US Trustee)在周三提交的一份法庭文件中表示,特拉華州破產法院必須推翻先前拒絕在FTX破產案中任命獨立審查員的命令。司法部受托人Andrew R. Vara在提交的文件中表示,盡管FTX案件的各方都抱怨與任命審查員相關的高額成本,但從法律和實際目的來看,與任命審查員相關的任何成本都不能成為偏離法定要求的理由,即在符合法定標準的情況下任命審查員。[2023/5/18 15:11:27]

究其原因,Poly Network 事件的黑客曾通過轉賬附加信息提到攻擊動機——因為跨鏈攻擊很“火”!

對話題進一步延伸:為什么跨鏈相關協議如此容易遭到攻擊?跨鏈橋到底該如何平衡效率與安全性?在安全形勢愈發嚴峻的當下,項目方、用戶等不同角色需要注意些什么?倘若真的發生了極端事故,又有哪些行之有效的彌補手段?

Cool Cats創始人宣布離開該NFT項目:金色財經報道,Cool Cats創始人@Lynqoid在社交媒體宣布離開該項目,他將不再為Cool Cats工作,但會繼續留在董事會并關注Cool Cats項目,同時盡所能地提供建議和幫助。[2023/4/22 14:19:17]

為了找到這些問題的答案,Odaily 星球日報特采訪 PeckShield、BlockSec 等知名安全公司。作為深耕 DeFi 安全的專業人員,他們會給出什么樣的答案?

Odaily 星球日報:為什么跨鏈相關協議頻繁被黑?是因為當前的技術方案尚不成熟?或是此類合約的潛在隱患難以偵測嗎?

PeckShield:跨鏈協議是個新興領域,它打破了鏈與鏈之間信息孤島的壁壘,但仍需要經受時間的考驗。ChainSwap 協議遭遇攻擊是因為合約本身存在漏洞,向 AnySwap 被攻擊則是因為跨鏈的私鑰管理出了問題,Poly Network 被攻擊也是因為合約漏洞。這給了所有跨鏈協議一個警示,需要提升對合約的查缺補漏和以及私鑰管理授權安全的重視。

CleanSpark以1.45億美元購買45,000臺比特幣礦機:金色財經報道,比特幣礦業公司 CleanSpark 斥資 1.45 億美元購買了 45,000 臺比特幣礦機,計劃在年底前將其挖礦能力翻一番。所有挖礦設備都是 Antminer S19 XP,CleanSpark 首席執行官 Zach Bradford 稱其是市場上最高效的礦機。該制造商的目標是在 8 月交付 25,000 臺機器,其余機器將于 9 月到貨。[2023/4/11 13:57:23]

BlockSec(受訪者為 BlockSec 聯合創始人、浙江大學網絡空間安全學院教授周亞金):我覺得有多個原因。第一個是有利可圖。由于跨鏈橋中往往存在大量的數字資產,因此成為攻擊者眼中的香餑餑。第二個是跨鏈橋的整個流程比較復雜,涉及到多條鏈和多個合約之間的交互,而這些安全風險的監測需要通過對跨鏈橋做整體安全評估分析。對某一個模塊的審計和分析并不能完整覆蓋全鏈路的安全風險,需要一些新的安全思路和解決方案。

Odaily 星球日報:在 Poly Network 一案中,社區質疑的一大焦點為其合約是否只有一名 Keeper,盡管事后已經證明了該說法并不準確,但關于效率及中心化的平衡仍值得我們深思。在跨鏈相關服務中,是不是說跨鏈執行效力越高就會越中心化?中心化與不安全是劃等號的嗎?

特拉華州法官:參議員致信法庭不會影響FTX的司法裁決:金色財經報道,特拉華州法官約翰多爾西周三在法庭聽證會上表示,來自四名美國參議員的兩黨信件是對FTX破產程序的“不恰當”干預,但不會影響司法裁決。這封來自 John Hickenlooper (D-Colo.)、Thom Tillis (RN.C.)、Elizabeth Warren (D-Mass.) 和 Cynthia Lummis (R-Wyo.) 的信函對律師事務所 Sullivan & Cromwell 是否有能力公正地代表這家加密貨幣公司的新高管提出質疑并呼吁任命一名獨立審查員進行調查FTX破產案件。[2023/1/11 11:06:51]

PeckShield:跨鏈協議是基于區塊鏈底層技術構建的,這就意味著它不僅會帶有區塊鏈技術的特性,也會攜帶技術本身的“不可能三角”,即不能同時兼顧“去中心化”、“安全性”、“交易處理性能”這三個特性。

BlockSec:原先孤鏈之間資產轉移基本是通過中心化交易所來實現,跨鏈橋本就是通過側鏈的應用來提升資產跨鏈的去中心化和執行效率,就技術而言是一種進步,也是業界為了摒棄絕對中心化而做的技術努力。

跨鏈執行效率和中心化并不存在因果邏輯關系,而跨鏈橋的中心化和不安全更沒有直接關系了,中心化是否安全主要取決于中心化實體的安全性。從壞的方面來說,存在單點安全威脅問題,但是從好的方面來說,只要中心實體的安全保障做的高,那么安全性是可以得到保障的。

Bonk Inu開發者已銷毀其持有的全部Bonk代幣,占總供應量的5%:1月6日消息,區塊鏈數據顯示,周五早些時候,基于Solana的memecoin項目Bonk Inu (Bonk)背后的開發者燒毀了超過5萬億枚代幣,占總供應量的5%。此舉聲稱有效地銷毀了指定給該項目的開發人員的所有代幣。Solana社區成員認為,這次銷毀是朝著Bonk Inu項目的合法性邁出的一步,Bonk Inu項目通過積極避免內部代幣銷售和掠奪性行為。

此前消息,根據該項目的空投方案,Bonk代幣總供應量的50%將空投給社區,其中5%空投給Solana開發者。[2023/1/6 10:58:32]

總體來說,還是取決于項目方的安全防御舉措是否到位,尤其在安全公司參與審計時,需要判斷審核,服務供應商是否存在(無需審核的轉移資金權限)超高權限及其進行 Rug Pull 的可能性,因為這樣的操作權限設置,很可能在供應商私鑰被盜或者遺失的情況下,造成大量資金的非法轉移。

Odaily 星球日報:在項目接連出事的大背景下,項目方應該怎么辦?可以采取哪些措施來規避風險?

PeckShield:跨鏈橋生態的愈發多樣化、豐富化,使得在其之上進行的交易、資金量也會隨之大幅增長。例如 Poly Network 在遭受攻擊之前,跨鏈資產轉移的規模已經超過 100 億美元,使用該跨鏈服務的地址數量也超過了 22 萬個,這也就吸引了黑客對于跨鏈協議的關注,再加上跨鏈橋本身就是黑客資金出逃的重要環節, 因此也會成為黑客攻擊的目標。

對于項目方來說,首先尋求專業機構有效地排查出已知的漏洞,為協議的安全筑建第一道防線。

其次,還要注意排查與其他 DeFi 產品進行組合時的業務邏輯漏洞,避免出現跨合約的邏輯兼容性漏洞。

再然后,還要設計一定的風控熔斷機制,引入第三方安全公司的威脅感知情報和數據態勢情報服務,在 DeFi 安全事件發生時,能夠做到第一時間響應安全風險,及時排查封堵安全攻擊,避免造成更多的損失。

最后,應聯動行業各方力量,搭建一套完善的資產追蹤機制,實時監控相關虛擬貨幣的流轉情況。運維安全。

將安全引進設計中也就是我們通常說的 security by design,而不只是安全審計。應該在設計階段引入第三方安全公司來一起評估安全風險。

項目技術代碼開源從長周期看也是化解未知風險的一種必要性。

對鏈上情況保持持續監控,能及時感知鏈上異常事件,從而在損失擴大之前及時阻斷。

Odaily 星球日報:跨鏈的需求一直存在,且勢必會越來越旺盛,對于用戶來說,他們應該怎么辦?怎樣選擇安全且合適的跨鏈橋?

PeckShield:需要說明的是,在發生此類安全事件時,損失最大的往往是為跨鏈提供資金流動性的 LPs,我們的建議是做好項目背調,不要輕易將資產投入到沒有審計過的項目中,包括正在進行審計但尚未完成的項目。再者,就是對于跨合約的協議,不要過度授權,包括項目相關方對跨鏈協議也不要過度授權。

Odaily 星球日報:當發生極端安全事故后,有哪些行之有效的彌補手段?

PeckShield:當發生極端安全事故后,首先是項目方和相關方聯動啟動一級響應,追溯事故根源,同時追蹤被盜資產流轉情況,及時排查封堵安全攻擊,避免造成更多的損失;實時監控相關虛擬貨幣的流轉情況,聯動中心化機構攔截、圍堵被盜資產,盡可能挽回部分被盜資產;事后要準備完備的補償方案,彌補用戶損失;或者,設置比較可靠的保險方案。

協同上下游業內資源,及時追蹤被盜資產流向,并挽回損失,尤其是占據大多數流通性的交易所或穩定幣方面(洗錢),能在贓款風控上更有效阻斷。

評估項目的整體安全性,引入第三方安全公司從安全視角整體審視項目設計,考慮到跨鏈項目的復雜性,應加大安全審計力度。

PeckShield 和 BlockSec 的回答為我們大致揭露了跨鏈相關協議當前所面臨的安全挑戰。

綜合來看,跨鏈相關協議之所以容易屢遭攻擊,大致可分為三層原因,一是隨著賽道的高速發展,其承載的資金量也在快速膨脹;二是賽道仍處于新興階段,各項細節仍待優化;三是跨鏈相關協議往往涉及到多條鏈和多個合約之間的交互,流程上相對復雜,風險點較多。

對于普通用戶(主要指通過跨鏈橋賺取收益的流動性提供者)來說,現在所面臨的情況在某種程度上和去年 DeFi 起步之初有些類似,在權衡收益及風險需要更加慎重,優先選擇審計狀況更為完善、業務順利運行更久的協議。

而對于身處一線的項目方來說,一方面要吸收過往事件的經驗,針對性地查漏補缺;另一方面也要主動進行安全升級,方法包括但不限于委托更多安全公司進行審計,及時跟進底層公鏈的升級和變化,整合 Lossless 等衍生安全方案,尋求與 Nexus Mutual 等保險協議的合作,像 cBridge 那樣探索非合約型流動性鎖定方式等等……

最后,我們想要呼吁所有相關從業人員,包括 ChainSwap、AnySwap、THORChain、Poly Network 等受害項目方不要喪失信心,新興賽道的起步初期總是會伴隨著陣痛,隨著多鏈格局的日漸穩固,跨鏈勢必會愈發蓬勃,黑客的“青睞”已側面證明了這條賽道的價值,希望各位不要因為這顆絆腳石而停下了前進的腳步。

Tags:POLYAINChainCHApolyx幣是什么幣blockchain錢包iosenergychain0xCharts

火星幣
EFI:HashKey 郝凱:解析 Aave Pro 潛在影響及 DeFi 趨勢_DEFI

Aave Pro 為機構用戶參與 DeFi 提供了新的通道,但也可能隨之帶來公平性和中心化等問題。Aave 是一個去中心化、開源、非托管的借貸平臺.

1900/1/1 0:00:00
DEFI:DeFi行業爆發:TVL指標正面臨三個挑戰_TVL價格

去中心化金融(DeFi)已成為加密領域人們最愛討論的話題之一,每月都有數十個新項目推出。究其本質,DeFi 應用程序支持創建自動執行的智能合約,一般來說,這些智能合約有助于加密資產的發行、借貸、.

1900/1/1 0:00:00
NFT:安全是NFT崛起路上的基石_Armor NXM

2021年,正式進入NFT時代。新興的非同質化代幣NFT市場已經達到了引人注目的里程碑,交易量達到新高.

1900/1/1 0:00:00
NFT:觀點:NFT使人性優先于利益_DAO

區塊鏈提供了一個可以使全球經濟系統從以利潤為導向重新調整為以價值為導向的機會。人類正在面臨的問題比氣候變化還要多。世界正面臨著一些我們這個時代的最大挑戰:世界饑餓、日益加劇的不平等和經濟不穩定.

1900/1/1 0:00:00
元宇宙:Metaverse全景透視:從過去看向未來_MET

摘要 元宇宙源于互聯網,但勢必將成長為更瑰麗迷人的世界,只不過為時尚早;硬科技的發展成為了元宇宙發展最大的瓶頸,其次是區塊鏈和互聯網的異構融合難題.

1900/1/1 0:00:00
區塊鏈:福布斯解讀區塊鏈技術在中小企業中的4種常見用例_福布斯

前言 在與一位來自休斯頓的先生的zoom會議上,我說“我很感興趣。”期待著他的后續講解。Cornelius(在本文中我們會稱Cornelius為他)緊張地環顧四周,然后繼續說,好像有人在監視我們.

1900/1/1 0:00:00
ads