Chainalysis发布的数据显示,单单2022年跨链桥掠夺事件所带来的损失就多达20亿美元。跨链桥安全问题层出不穷,每一次的攻击事件,都引发了行业的关注。对于产品安全问题,跨链桥项目Multichain安全负责人XChang近日就针对该项目的产品安全机制进行了详细的披露,希望借此机会与业内友商和关注跨链桥生态的观察人士分享Multichain的经历。
据XChang,Multichain的安全策略以攻击事件为时间点分为三阶,即:发生前,发生时,发生后。每个阶段都有对应的应对步骤与策略。
Transit Swap:攻击事件中最大黑客同意保留2500枚BNB作为赏金并退还1万枚BNB:10月10日消息,跨链DEX聚合器Transit Swap在推特上表示,已与攻击事件中最大的黑客达成共识,该黑客将保留2500枚BNB(约68.6万美元)作为赏金,并退还1万枚BNB(约274.5万美元)。[2022/10/10 10:30:06]
1.发生前:
项目通过内部和外部审计方式来排除任何安全隐患。同时,也通过漏洞悬赏调动业内专家帮助发现漏洞,避免造成损失。另外,Multichain也希望通过即将推出的MultiDAO来对产品安全做另一次预防性把关。除此之外,Multichain也利用主要媒体平台的关键词舆论监测来观察业内跨链桥安全问题相关的动态,从中进行自省,监测其他事件的影响是否波及到Multichain的资产。对于大额度的交易,Multichain也实施了跨链金额限制及链资金流量和总量限制,以避免类似Horizon的事件重蹈覆辙。
Beosin:BNBChain上DPC代币合约遭受黑客攻击事件分析:据Beosin EagleEye平台监测显示,DPC代币合约遭受黑客攻击,损失约103,755美元。Beosin安全团队分析发现攻击者首先利用DPC代币合约中的tokenAirdop函数为满足领取奖励条件做准备,然后攻击者使用USDT兑换DPC代币再添加流动性获得LP代币,再抵押LP代币在代币合约中。前面的准备,是为了满足领奖条件。然后攻击者反复调用DPC代币中的claimStakeLp函数反复领取奖励。因为在getClaimQuota函数中的” ClaimQuota = ClaimQuota.add(oldClaimQuota[addr]);”,导致奖励可以一直累积。最后攻击者调用DPC合约中claimDpcAirdrop 函数提取出奖励(DPC代币),换成Udst离场。目前被盗资金还存放在攻击者地址,Beosin安全团队将持续跟踪。[2022/9/10 13:21:00]
Solana Labs联创:此次攻击事件似乎是iOS供应链受到攻击:8月3日消息,Solana Labs首席执行官 Anatoly Yakovenko在社交媒体上称,该事件很可能是对使用Apple iOS操作系统的钱包的“供应链攻击”。当黑客通过在系统中注入恶意代码来进入和修改软件时,就会发生供应链攻击。代码插入可用于传递恶意负载或后门恶意软件。根据团队的分析,在 Solana 的案例中,黑客可能攻击了其 iOS 钱包库以提取私钥。
Yakovenko得出他的结论是基于这样一个事实,即被利用的钱包之前没有与 dApp 进行过交互,并且在一段时间内一直处于不活动状态。这表明黑客可能已经从 Solana 的热钱包中提取了私钥,而不是通过恶意链接进行的通常的网络钓鱼攻击。获得私钥意味着黑客能够从热钱包中转移资金,包括 Phantom 和 Slope 钱包服务。[2022/8/3 2:56:20]
2.发生时:
攻击事件发生时,关键在于及时拉响警钟,让平台能迅速采取行动。Multichain设置了检测Watchdogs,能够及时反应异常现象。同时,项目也调动DAO的力量,对发现漏洞以及及时将异常现象通报平台的成员发放奖励。
3.发生后:
Mutichain将会暂停产品的使用,以先止损,后修复的形式去应对黑客事件。同时,该项目也进行演习,并在智能合约上设置暂停功能。此外,Multichain也从项目利润中挪出了一部分资金作为安全基金,补偿用户在类似事件中的损失。
ChangX也阐明了多方安全计算的特征能够确保更强的去中心化以及控制成本,而且MPC私钥分片会定期更新作废,进一步防范黑客行为。与此同时,Multichain也与网络基础设置提供商合作,力求营造更安全的产品环境。至于Multichain即将发布的MPC+HSM方案,它能够确保在服务器被攻击的情况下,仍旧遏制黑客获取私钥分片。
本文转载自
https://medium.com/multichainorg/multichain-安全策略-详细披露-3c38360bfd0b
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。