以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads

TWO:對話頭部安全公司,為什么受傷的總是跨鏈橋?

Author:

Time:1900/1/1 0:00:00

8月10日晚間,跨鏈互操作性項目PolyNetwork突遭黑客攻擊,損失金額高達6.1億美元。如果按照事件發生時相關資產的市場價格計算,這不僅僅是DeFi歷史上涉案金額最大的黑客事件,更是整個加密貨幣歷史上涉案金額最大的黑客事件。

盡管在各方的持續努力之下,黑客最終選擇了歸還全部6.1億美元贓款,但作為一起注定會被記入加密貨幣歷史的驚天大案,針對該事件本身及其相關趨勢進行復盤和梳理仍有著較大的警示意義。回顧本次事件,黑客的攻擊手法基本已被刨析完畢,慢霧方面指出,釀成本次事件的禍因在于EthCrossChainData合約的keeper可由EthCrossChainManager合約進行修改,而EthCrossChainManager合約的verifyHeaderAndExecuteTx函數又可以通過_executeCrossChainTx函數執行用戶傳入的數據。如果跳出個體案件,去探尋更高層級的宏觀趨勢,PolyNetwork一案再次佐證了黑客群體已將目光聚焦在了跨鏈協議這一新興賽道之上。根據PeckShield的統計,截至8月12日,2021年第三季度共計發生了19起DeFi安全事件,其中跨鏈相關協議共六次被黑,除了PolyNetwork外,還有ChainSwap、AnySwap、THORChain等。從數額上看,即便是不計入數額爆表的PolyNetwork事件,資金損失總額也高達3280萬美元,高于其他所有類別。

谷歌計劃在其旗艦搜索引擎中添加對話式人工智能功能:金色財經報道,谷歌CEO桑達爾·皮查伊表示,谷歌計劃在其旗艦搜索引擎中添加對話式人工智能功能,以引導這家科技公司應對來自ChatGPT等聊天機器人的競爭以及更廣泛的商業壓力。[2023/4/6 13:48:36]

究其原因,PolyNetwork事件的黑客曾通過轉賬附加信息提到攻擊動機——因為跨鏈攻擊很“火”!

對話題進一步延伸:為什么跨鏈相關協議如此容易遭到攻擊?跨鏈橋到底該如何平衡效率與安全性?在安全形勢愈發嚴峻的當下,項目方、用戶等不同角色需要注意些什么?倘若真的發生了極端事故,又有哪些行之有效的彌補手段?為了找到這些問題的答案,Odaily星球日報特采訪PeckShield、BlockSec等知名安全公司。作為深耕DeFi安全的專業人員,他們會給出什么樣的答案?Q1

專員:CFTC需要與市場參與者進行更多對話以實現監管現代化:金色財經報道,商品期貨交易委員會 (CFTC) 委員 Kristin N. Johnson 周二表示,希望與任何在美國擁有加密貨幣部門的公司進行對話。Johnson 說,“對我們來說,與在我們市場上注冊經營的任何實體的所有者建立關系非常重要。”

Johnson此前曾呼吁國會擴大監管機構審查加密公司收購的權力,她表示 FTX 交易所的失敗凸顯了在該機構注冊的美國子公司的母公司需要提高透明度。Johnson指出 LedgerX 是在母公司倒閉后幸存下來的少數幾個之一。2017 年,這家總部位于紐約的公司申請成為一家注冊衍生品清算所,這意味著它在該機構的監督下,需要遵守檢查和資產負債表驗證。[2023/2/1 11:39:55]

Odaily星球日報:為什么跨鏈相關協議頻繁被黑?是因為當前的技術方案尚不成熟?或是此類合約的潛在隱患難以偵測嗎?PeckShield:跨鏈協議是個新興領域,它打破了鏈與鏈之間信息孤島的壁壘,但仍需要經受時間的考驗。ChainSwap協議遭遇攻擊是因為合約本身存在漏洞,向AnySwap被攻擊則是因為跨鏈的私鑰管理出了問題,PolyNetwork被攻擊也是因為合約漏洞。這給了所有跨鏈協議一個警示,需要提升對合約的查缺補漏和以及私鑰管理授權安全的重視。

AI對話機器人平臺GameOn Technology完成3500萬美元B輪融資,B3 Capital等領投:12月7日消息,AI對話機器人平臺GameOn Technology宣布完成3500萬美元B輪融資,本輪融資由Mirae Asset Venture Investment、Mighty Capital和B3 Capital領投,NFL密爾沃基釀酒人隊老板Mark Attanasio和明尼蘇達維京人隊老板Wilf家族參投,截至目前該公司融資總金額達到近5400萬美元。

GameOn的現有投資者包括SnoopDogg、NFL傳奇人物喬·蒙塔納、NBA名人堂成員加里·佩頓以及NBA球員安德烈·伊戈達拉和穆罕默德·班巴。2019年,GameOn簽署協議,為NBA、NHL和PGA巡回賽運營的聯盟賬戶推出Facebook Messenger聊天機器人。[2022/12/7 21:27:40]

BlockSec:我覺得有多個原因。第一個是有利可圖。由于跨鏈橋中往往存在大量的數字資產,因此成為攻擊者眼中的香餑餑。第二個是跨鏈橋的整個流程比較復雜,涉及到多條鏈和多個合約之間的交互,而這些安全風險的監測需要通過對跨鏈橋做整體安全評估分析。對某一個模塊的審計和分析并不能完整覆蓋全鏈路的安全風險,需要一些新的安全思路和解決方案。Q2

eToro正與Ripple\\Flare Networks就即將發布的Spark代幣進行對話:投資平臺eToro目前正在與Ripple和Flare Networks就即將發布的Spark代幣(Flare區塊鏈的原生代幣)進行對話。此前消息,Ripple合作伙伴區塊鏈公司Flare Networks表示,計劃在12月發布基于XRP Ledger的新代幣Spark。XRP的投資者可以在12月12日為其持有的每枚XRP索取1枚免費Spark代幣。(Bitcoinist)[2020/9/7]

Odaily星球日報:在PolyNetwork一案中,社區質疑的一大焦點為其合約是否只有一名Keeper,盡管事后已經證明了該說法并不準確,但關于效率及中心化的平衡仍值得我們深思。在跨鏈相關服務中,是不是說跨鏈執行效力越高就會越中心化?中心化與不安全是劃等號的嗎?PeckShield:跨鏈協議是基于區塊鏈底層技術構建的,這就意味著它不僅會帶有區塊鏈技術的特性,也會攜帶技術本身的“不可能三角”,即不能同時兼顧“去中心化”、“安全性”、“交易處理性能”這三個特性。BlockSec:原先孤鏈之間資產轉移基本是通過中心化交易所來實現,跨鏈橋本就是通過側鏈的應用來提升資產跨鏈的去中心化和執行效率,就技術而言是一種進步,也是業界為了摒棄絕對中心化而做的技術努力。跨鏈執行效率和中心化并不存在因果邏輯關系,而跨鏈橋的中心化和不安全更沒有直接關系了,中心化是否安全主要取決于中心化實體的安全性。從壞的方面來說,存在單點安全威脅問題,但是從好的方面來說,只要中心實體的安全保障做的高,那么安全性是可以得到保障的。總體來說,還是取決于項目方的安全防御舉措是否到位,尤其在安全公司參與審計時,需要判斷審核,服務供應商是否存在超高權限及其進行RugPull的可能性,因為這樣的操作權限設置,很可能在供應商私鑰被盜或者遺失的情況下,造成大量資金的非法轉移。Q3

幣信對話Nic Carter:穩定幣將繼續增長 但可能會面臨打擊:幣信全球商務拓展總監在幣信直播間對話Coin Metrics創始人Nic Carter,探討穩定幣的發展生態。Nic Carter表示:我認為穩定幣將繼續增長, 除非他們在美國或者歐盟被限制。美元為美國的戰略地位提供了很多價值, 美元通過SWIFT的體系保持在金融系統的中心地位。約97%的穩定幣用美元計價并沒有對美國有利,未來會有很多以美元計價的穩定幣不受美國控制。但這對消費者有利,因為全球許多人都希望無摩擦地獲取美元。我認為未來會有一種打擊嘗試,FinCEN或其他政府機構試圖干涉市場上的主要穩定幣,這些穩定幣能不能證明他們的抗打擊能力,對投資者來說會是一個主要關注的問題。[2020/7/3]

Odaily星球日報:在項目接連出事的大背景下,項目方應該怎么辦?可以采取哪些措施來規避風險?PeckShield:跨鏈橋生態的愈發多樣化、豐富化,使得在其之上進行的交易、資金量也會隨之大幅增長。例如PolyNetwork在遭受攻擊之前,跨鏈資產轉移的規模已經超過100億美元,使用該跨鏈服務的地址數量也超過了22萬個,這也就吸引了黑客對于跨鏈協議的關注,再加上跨鏈橋本身就是黑客資金出逃的重要環節,因此也會成為黑客攻擊的目標。

對于項目方來說,首先尋求專業機構有效地排查出已知的漏洞,為協議的安全筑建第一道防線。其次,還要注意排查與其他DeFi產品進行組合時的業務邏輯漏洞,避免出現跨合約的邏輯兼容性漏洞。再然后,還要設計一定的風控熔斷機制,引入第三方安全公司的威脅感知情報和數據態勢情報服務,在DeFi安全事件發生時,能夠做到第一時間響應安全風險,及時排查封堵安全攻擊,避免造成更多的損失。最后,應聯動行業各方力量,搭建一套完善的資產追蹤機制,實時監控相關虛擬貨幣的流轉情況。運維安全。BlockSec:將安全引進設計中也就是我們通常說的securitybydesign,而不只是安全審計。應該在設計階段引入第三方安全公司來一起評估安全風險。項目技術代碼開源從長周期看也是化解未知風險的一種必要性。對鏈上情況保持持續監控,能及時感知鏈上異常事件,從而在損失擴大之前及時阻斷。Q4

Odaily星球日報:跨鏈的需求一直存在,且勢必會越來越旺盛,對于用戶來說,他們應該怎么辦?怎樣選擇安全且合適的跨鏈橋?PeckShield:需要說明的是,在發生此類安全事件時,損失最大的往往是為跨鏈提供資金流動性的LPs,我們的建議是做好項目背調,不要輕易將資產投入到沒有審計過的項目中,包括正在進行審計但尚未完成的項目。再者,就是對于跨合約的協議,不要過度授權,包括項目相關方對跨鏈協議也不要過度授權。Q5

Odaily星球日報:當發生極端安全事故后,有哪些行之有效的彌補手段?PeckShield:當發生極端安全事故后,首先是項目方和相關方聯動啟動一級響應,追溯事故根源,同時追蹤被盜資產流轉情況,及時排查封堵安全攻擊,避免造成更多的損失;實時監控相關虛擬貨幣的流轉情況,聯動中心化機構攔截、圍堵被盜資產,盡可能挽回部分被盜資產;事后要準備完備的補償方案,彌補用戶損失;或者,設置比較可靠的保險方案。BlockSec:協同上下游業內資源,及時追蹤被盜資產流向,并挽回損失,尤其是占據大多數流通性的交易所或穩定幣方面,能在贓款風控上更有效阻斷。評估項目的整體安全性,引入第三方安全公司從安全視角整體審視項目設計,考慮到跨鏈項目的復雜性,應加大安全審計力度。小結

PeckShield和BlockSec的回答為我們大致揭露了跨鏈相關協議當前所面臨的安全挑戰。綜合來看,跨鏈相關協議之所以容易屢遭攻擊,大致可分為三層原因,一是隨著賽道的高速發展,其承載的資金量也在快速膨脹;二是賽道仍處于新興階段,各項細節仍待優化;三是跨鏈相關協議往往涉及到多條鏈和多個合約之間的交互,流程上相對復雜,風險點較多。對于普通用戶來說,現在所面臨的情況在某種程度上和去年DeFi起步之初有些類似,在權衡收益及風險需要更加慎重,優先選擇審計狀況更為完善、業務順利運行更久的協議。而對于身處一線的項目方來說,一方面要吸收過往事件的經驗,針對性地查漏補缺;另一方面也要主動進行安全升級,方法包括但不限于委托更多安全公司進行審計,及時跟進底層公鏈的升級和變化,整合Lossless等衍生安全方案,尋求與NexusMutual等保險協議的合作,像cBridge那樣探索非合約型流動性鎖定方式等等……最后,我們想要呼吁所有相關從業人員,包括ChainSwap、AnySwap、THORChain、PolyNetwork等受害項目方不要喪失信心,新興賽道的起步初期總是會伴隨著陣痛,隨著多鏈格局的日漸穩固,跨鏈勢必會愈發蓬勃,黑客的“青睞”已側面證明了這條賽道的價值,希望各位不要因為這顆絆腳石而停下了前進的腳步。

Tags:WORORKNETTWOColony Network TokenSeiren Games NetworkNinety eight Coin50CENT NETWORK

狗狗幣最新價格
ANKR:沒有32個以太坊的我們應該如何進行質押呢?

在瞬息萬變的加密世界,想要尋求相對穩定的收入簡直有點天方夜譚。非要找一個就應該是質押。但以太坊2,0需要32個以太坊才能成為驗證者,那么沒有32個以太坊的普通人,又應該如何進行質押呢?本文介紹了.

1900/1/1 0:00:00
DEFI:美國SEC開出首例DeFi罰單,「狂野西部」閃紅燈

在美國證券交易委員會主席GaryGensler發表了題為《加密貨幣與國家安全》演講的3天后,SEC在官網發布了首例針對DeFi平臺監管的案例.

1900/1/1 0:00:00
LAS:Star Atlas社區負責人Santi:全面解讀元宇宙、GameFi賽道發展現狀以及代幣發售細則

「元宇宙」作為一個平行于現實世界的虛擬數字世界,充滿著科幻和神奇的色彩。邁入2620年StarAtlas虛擬游戲的元宇宙未來,三個主要派系已經出現,在不斷爭奪資源、領土和統治.

1900/1/1 0:00:00
UNI:解析如何自動化Uniswap V3流動性頭寸

本文源自Bankless,以下為編譯部分:UniswapV3創造了一種在DeFi中提供流動性的新方法.

1900/1/1 0:00:00
以太坊:如何投資NFT項目|疑問解答

周末的NFT市場傳出來幾則大消息:據BeInCrypto報道,在過去幾天里,熱門NFT項目加密朋克的交易激增.

1900/1/1 0:00:00
Polygon:一文了解社區DAO如何實現價值捕獲:自下而上

撰文:HughRagsdale來源:Messari在預示社區dao的現代前景方面,社交媒體顯然是Web2.0中的一只金絲雀.

1900/1/1 0:00:00
ads