HAI:攻擊事件不斷，跨鏈橋項目何以對應？

Chainalysis發布的數據顯示，單單2022年跨鏈橋掠奪事件所帶來的損失就多達20億美元。跨鏈橋安全問題層出不窮，每一次的攻擊事件，都引發了行業的關注。對于產品安全問題，跨鏈橋項目Multichain安全負責人XChang近日就針對該項目的產品安全機制進行了詳細的披露，希望借此機會與業內友商和關注跨鏈橋生態的觀察人士分享Multichain的經歷。

安全團隊：獲利約900萬美元，Moola協議遭受黑客攻擊事件簡析:10月19日消息，據Beosin EagleEye Web3安全預警與監控平臺監測顯示，Celo上的Moola協議遭受攻擊，黑客獲利約900萬美元。Beosin安全團隊第一時間對事件進行了分析，結果如下：

第一步：攻擊者進行了多筆交易，用CELO買入MOO,攻擊者起始資金（182000枚CELO）.

第二步：攻擊者使用MOO作為抵押品借出CELO。根據抵押借貸的常見邏輯，攻擊者抵押了價值a的MOO，可借出價值b的CELO。

第三步：攻擊者用貸出的CELO購買MOO，從而繼續提高MOO的價格。每次交換之后，Moo對應CELO的價格變高。

第四步：由于抵押借貸合約在借出時會使用交易對中的實時價格進行判斷，導致用戶之前的借貸數量，并未達到價值b，所以用戶可以繼續借出CELO。通過不斷重復這個過程，攻擊者把MOO的價格從0.02 CELO提高到0.73 CELO。

第五步：攻擊者進行了累計4次抵押MOO，10次swap（CELO換MOO），28次借貸，達到獲利過程。

本次遭受攻擊的抵押借貸實現合約并未開源，根據攻擊特征可以猜測攻擊屬于價格操縱攻擊。截止發文時，通過Beosin Trace追蹤發現攻擊者將約93.1%的所得資金 返還給了Moola Market項目方，將50萬CELO 捐給了impact market。自己留下了總計65萬個CELO作為賞金。[2022/10/19 17:32:31]

據XChang，Multichain的安全策略以攻擊事件為時間點分為三階，即：發生前，發生時，發生后。每個階段都有對應的應對步驟與策略。

Akropolis重入攻擊事件：攻擊者使用自己構造token導致合約使用相同差值鑄幣兩次:11月14日，慢霧發布DeFi協議Akropolis重入攻擊事件簡析。內容顯示：

1. 攻擊者使用自己創建的token進行deposit，此時Akropolis合約會先記錄一次合約中所有代幣的總量；

2. Akropolis合約調用用戶自己創建的token的transferFrom函數的時候，攻擊者在transferFrom函數中重入Akropolis合約的deposit函數，并轉入DAI到Akropolis合約中；

3. 此時在重入的交易中，由于Akropolis合約會先獲取合約中所有代幣的總量，這個值和第一次調用deposit函數獲取的合約代幣總量的值一致；

4. Akropolis合約計算充值前后合約中代幣總量的差值，攻擊者在充值DAI后，會得到一定量的Delphi token，獲得token的數量就是充值DAI的數量；

5. 鑄幣完成后，流程回到第一次deposit往下繼續執行，這時合約會再次獲取合約中所有代幣的總量，這時由于在重入交易時，攻擊者已經轉入一定量的DAI，所以得到的代幣總余額就是攻擊者在重入交易完成后的代幣總余額；

6. 此時合約再次計算差值，由于第一次deposit的時候合約中所有代幣的總量已經保存，此時計算出來的差值和重入交易中計算的差值一致，Akropolis合約再次鑄幣給攻擊者。總結：攻擊者使用自己構造的token，對Akropolis合約的deposit函數進行重入，導致Akropolis合約使用相同的差值鑄幣了兩次，但是只觸發了一次轉賬，當攻擊者提現的時候，就可以提兩倍的收益，從而獲利。[2020/11/14 20:48:37]

1.發生前：

A10 Networks創始人兼CEO陳澧：2018年將看到規模更大、更頻繁的黑客攻擊事件:據新浪科技消息，全球應用網絡及安全領導廠商A10 Networks創始人兼CEO陳澧周二表示，2018年比特幣等數字加密貨幣可能成為黑客攻擊的主要目標。在即將過去的2017年，全球網絡安全市場并不平靜：既有大規模的數據泄露事件，也有波及全球的黑客勒索。對此，A10 Networks創始人兼CEO陳澧認為，2018年我們還將看到規模更大、更頻繁的黑客攻擊事件。[2017/12/12]

項目通過內部和外部審計方式來排除任何安全隱患。同時，也通過漏洞懸賞調動業內專家幫助發現漏洞，避免造成損失。另外，Multichain也希望通過即將推出的MultiDAO來對產品安全做另一次預防性把關。除此之外，Multichain也利用主要媒體平臺的關鍵詞輿論監測來觀察業內跨鏈橋安全問題相關的動態，從中進行自省，監測其他事件的影響是否波及到Multichain的資產。對于大額度的交易，Multichain也實施了跨鏈金額限制及鏈資金流量和總量限制，以避免類似Horizon的事件重蹈覆轍。

2.發生時：

攻擊事件發生時，關鍵在于及時拉響警鐘，讓平臺能迅速采取行動。Multichain設置了檢測Watchdogs，能夠及時反應異常現象。同時，項目也調動DAO的力量，對發現漏洞以及及時將異常現象通報平臺的成員發放獎勵。

3.發生后：

Mutichain將會暫停產品的使用，以先止損，后修復的形式去應對黑客事件。同時，該項目也進行演習，并在智能合約上設置暫停功能。此外，Multichain也從項目利潤中挪出了一部分資金作為安全基金，補償用戶在類似事件中的損失。

ChangX也闡明了多方安全計算的特征能夠確保更強的去中心化以及控制成本，而且MPC私鑰分片會定期更新作廢，進一步防范黑客行為。與此同時，Multichain也與網絡基礎設置提供商合作，力求營造更安全的產品環境。至于Multichain即將發布的MPCHSM方案，它能夠確保在服務器被攻擊的情況下，仍舊遏制黑客獲取私鑰分片。

本文轉載自

https://medium.com/multichainorg/multichain-安全策略-詳細披露-3c38360bfd0b

Tags：CHAAINHAIChain3X Long Chainlink TokenChainge Financesakurachainblockchain是什么公司

OKB