HAI:攻擊事件不斷，跨鏈橋項目何以對應？-ODAILY

Author：

Time：1900/1/1 0:00:00

Chainalysis發布的數據顯示，單單2022年跨鏈橋掠奪事件所帶來的損失就多達20億美元。跨鏈橋安全問題層出不窮，每一次的攻擊事件，都引發了行業的關注。對于產品安全問題，跨鏈橋項目Multichain安全負責人XChang近日就針對該項目的產品安全機制進行了詳細的披露，希望借此機會與業內友商和關注跨鏈橋生態的觀察人士分享Multichain的經歷。

據XChang，Multichain的安全策略以攻擊事件為時間點分為三階，即：發生前，發生時，發生后。每個階段都有對應的應對步驟與策略。

Beosin：BNBChain上THB項目遭受攻擊事件分析:10月1日消息，據Beosin EagleEye平臺監測顯示，THB項目遭受攻擊。Beosin安全團隊分析發現攻擊者0xbC62b9BA570aD783d21E5eB006F3665D3f6bBA93利用重入漏洞盜取THBR NFT，攻擊合約0xfed1b640633fd0a4d77315d229918ab1f6e612f9，攻擊交易0x57aa9c85e03eb25ac5d94f15f22b3ba3ab2ef60b603b97ae76f855072ea9e3a0

目前盜取的8個NFT任在攻擊者賬戶(0xfeD1...12f9)。[2022/10/1 18:36:58]

1.發生前：

Poly Network公布攻擊事件最新進展：USDC資產恢復完畢，USDT解鎖處理方式已確認:8月23日消息，Poly Network公布攻擊事件最新進展，為了保證信息的透明度，Poly Network整理了與USDT資產相關的行動，并一直在保持著密切溝通，按照Tether的規范流程進行了后續的操作。

同時，Poly Network于北京時間8月24日8點前完成了白帽先生返回的96,942,063個DAI與USDC之間的轉換，同時已將BSC上的87,557,051個BUSD轉換為USDCBEP-20。目前用戶USDC資產對比及資產復原已經完成。對于在交易中產生的滑點損耗和手續費，Poly Network團隊已用自有資金進行補償。

此外，Poly Bridge新增恢復以下資產的跨鏈功能，包括$BLES, $CFB, $DAI, $DFC, $ETH, $PRY, $SBC, $USDC, $USDT和$WBTC 。截止目前，Poly Bridge已恢復合計54種資產的跨鏈功能。出于安全性考慮，Poly Bridge將逐步開放各類資產的資產跨鏈服務。經項目方申請并測試成功后，用戶才可自由進行該項資產的跨鏈交易。[2021/8/23 22:31:51]

項目通過內部和外部審計方式來排除任何安全隱患。同時，也通過漏洞懸賞調動業內專家幫助發現漏洞，避免造成損失。另外，Multichain也希望通過即將推出的MultiDAO來對產品安全做另一次預防性把關。除此之外，Multichain也利用主要媒體平臺的關鍵詞輿論監測來觀察業內跨鏈橋安全問題相關的動態，從中進行自省，監測其他事件的影響是否波及到Multichain的資產。對于大額度的交易，Multichain也實施了跨鏈金額限制及鏈資金流量和總量限制，以避免類似Horizon的事件重蹈覆轍。

韓國科學信息通信部：針對Bithumb遭遇黑客攻擊事件展開調查，并對21個交易所的安全系統進行審查:韓國科技和信息部表示，隨著加密貨幣交易網站的黑客事故接連發生，將對21個加密貨幣交易所的安全系統進行審查，確認系統不足之處并將采取措施。韓國網絡振興院表示，針對Bithumb和Coinrail被黑客攻擊的事故原因已展開調查。[2018/6/20]

2.發生時：

攻擊事件發生時，關鍵在于及時拉響警鐘，讓平臺能迅速采取行動。Multichain設置了檢測Watchdogs，能夠及時反應異常現象。同時，項目也調動DAO的力量，對發現漏洞以及及時將異常現象通報平臺的成員發放獎勵。

3.發生后：

Mutichain將會暫停產品的使用，以先止損，后修復的形式去應對黑客事件。同時，該項目也進行演習，并在智能合約上設置暫停功能。此外，Multichain也從項目利潤中挪出了一部分資金作為安全基金，補償用戶在類似事件中的損失。

ChangX也闡明了多方安全計算的特征能夠確保更強的去中心化以及控制成本，而且MPC私鑰分片會定期更新作廢，進一步防范黑客行為。與此同時，Multichain也與網絡基礎設置提供商合作，力求營造更安全的產品環境。至于Multichain即將發布的MPC+HSM方案，它能夠確保在服務器被攻擊的情況下，仍舊遏制黑客獲取私鑰分片。