火星链 火星链
Ctrl+D收藏火星链

DEFI:DeFi 跨链协议接连被攻击 该如何防范?

作者:

时间:1900/1/1 0:00:00

原文标题:《半月连发 5 起攻击,安全机构:跨链协议需排查与其他 DeFi 产品组合的业务逻辑漏洞丨巴比特观察》

除了避免出现跨合约的逻辑兼容性漏洞,安全机构还建议在安全事件发生时及时排查封堵安全攻击,避免造成更多的损失。

近日,两个跨链桥项目接连遭遇黑客,总计损失约 1600 万,引发了行业震动。

其中 ChainSwap 攻击事件导致超过 20 个项目代币陆续被黑客「光顾」,波及范围之广,放眼整个 DeFi 领域实属罕见。

在此之前,跨链攻击事件寥寥无几。但在短短半个月内,已出现 5 起安全事件,损失超过 1700 万美元。跨链攻击明显增多,这是否意味着黑客正在瞄准跨链协议生态?

7 月 11 日凌晨,跨链资产桥项目 ChainSwap (ASAP)因其智能合约的一个关键漏洞遭遇黑客攻击,损失约 800 万美元。

ChainSwap 是一个用于智能链的跨链资产桥和应用程序中心,允许项目在以太坊(ETH)、币安智能链(BSC)和火币生态链(HECO)之间实现无缝桥接。

因此,许多与其合作在以太坊和币安智能链之间连接代币的项目都受到了波及。据了解,超过 20 个项目陆续被黑客「光顾」,包括 OptionRoom、RAI Finance、Umbrella Network、DAOventures、DAFI Protocol、FM Gallery、Fei protocol、Fair Game、Antimatter、Unido、Unifarm、Wilder Worlds、Nord Finance、Razor 、Dafi Finance、Oropocket、Rocks、 Peri Finance 等。

多链DeFi平台Rubic宣布已集成zkSync Era:4月8日消息,多链DeFi平台Rubic宣布已集成zkSync Era,用户现在可以享受闪电般的交易速度和显着降低的费用,从而使其平台使用起来更容易、更实惠。[2023/4/8 13:51:57]

根据部分项目已披露的损失数据,链上激励协议 DAFI Protocol 被出售了 20 万美元的 DAFI,波卡生态预言机和预测协议 OptionRoom 被黑客窃取 1230 万枚 ROOM 代币,DeFi 预言机 Umbrella 损失了超 300 万枚 UMB 代币,以及 DeFi 资产管理平台 DAOventures 被盗取 30 万枚 DVG 代币等。

严格来说,此次攻击的资金损失放在所有 DeFi 安全事件中并不算多,但其波及项目的范围之广,却实属罕见。

那么,ChainSwap 到底存在什么漏洞,让黑客有机可乘?

「ChainSwap 在代币跨链配额代码中存在漏洞。原本跨链桥配额由签名节点自动增加,旨在无需人工控制的情况下实现去中心化。然而,由于代码中存在一个逻辑缺陷,即跨链资产只需要一个签名,而非多签,使得未被列入白名单的地址可自动增加额度。」PeckShield「派盾」告诉巴比特。

简而言之,Chainswap 被攻击是因为发放的签名数量和提取时的需要的签名数量不一致,用户在申请跨链操作时得到的签名数量为多个,而提取时只需要一个签名便可通过验证。

DefiLlama推出浏览器插件,可提供链上地址标记:金色财经报道,DefiLlama 推出浏览器插件 DefiLlama Extension,可以在 Etherscan(或其他区块链浏览器)上提供“上帝模式”,同时保护用户免受访问的可疑 URL 的侵害。主要功能包括:链上钱包地址标记、Etherscan 上外来 Token 的精准定价、钓鱼链接警告。

DefiLlama 已使用标签标记了数千万个地址,用户可揭开每个加密钱包背后的神秘人物。可以展示任何在 Etherscan 上出去价格 Token 的准确定价,还可在填充丢失的价格后重新计算 Token 余额。浏览器扩展工具栏上图标是一种非侵入式指示器,当访问可疑网站时它会变成红色,当访问受信任的网站时它会变成绿色。[2023/3/8 12:48:44]

成都链安指出,Chainswap 攻击事件中,攻击者首先在一条链上申请跨链操作,然后在获得多个签名后,多次利用单个签名调用另一条链上的 receive 函数进行提取,从而获得多倍的代币。

「实际上,这种攻击手法很简单,攻击者只是简单地进行跨链申请和提取操作。」成都链安告诉巴比特。

而 Chainswap 上 20 多个项目都被攻击,正是因为它们都使用了 Chainswap 存在漏洞的 factory 合约的配置。

事件发生之后,ChainSwap 表示,已经冻结 BSC 映射代币地址以过滤掉黑客地址,将对攻击前的 ASAP 持有者和 LPs 空投 1:1 的新 ASAP 代币,并将对受影响的代币实施补偿计划。

旅行应用Maps.me融资5000万美元用于整合DeFi协议:1月18日消息,知名旅行和地图应用程序Maps.me宣布已于种子轮筹集5000万美元资金,用于将DeFi协议整合到其平台中。据悉,该轮融资由Alameda Research 领投,加密风投 CMS Holdings 、Genesis Capital,以及 Sino Global Capital 等机构参与投资。SBF表示,通过一款日常应用可以真正推动DeFi的主流应用。(Cointelegraph)[2021/1/18 16:25:06]

正当我们以为此事暂时告一段落时,风波再起,另一起攻击事件的发生将跨链生态推向了风口浪尖。

7 月 12 日凌晨 1 点,去中心化跨链交易协议 Anyswap 官方发推声称,Anyswap 多链路由 v3 版本遭到攻击。

据了解,Anyswap 是一个基于 FusionDCRM 技术的去中心化的跨链交换协议,也是目前 DeFi 用户最常用的跨链工具之一。

不同于 ChainSwap,Anyswap 只是单个项目受到攻击,但是在资金损失方面,却是不遑多让。据称,V3 跨链资金池受影响,损失约 240 万 USDC 和 551 万 MIM,总计约 800 万美元。

成都链安表示,Anyswap 被攻击的最主要原因是签名使用了重复的 R 值。如果该同一账户签名的交易拥有相同的 rsv 签名的 R 值,则黑客可以反向推导出该账户的私钥。

HyperBC 推出DeFi业务板块 近期将开启HBT创世挖矿:据HyperBC官方消息,HyperBC于10月28日推出DeFi业务版块,同时,为更好的构建去中心化金融生态,HyperBC将采用全新的HBT发行机制及经济模型,并于近日启动HBT流动性挖矿(创世挖矿)。届时,HyperPay钱包将停止HBT映射挖矿,并对用户持有的HBT进行快照,按照1.2倍发行价格兑付为BTC空投给用户,下架原始HBT代币。[2020/10/28]

在攻击过程中,攻击者正是利用了这一点,通过同一账户签名的两笔拥有相同的 rsv 签名的 R 值的交易,反向推导出该账户的私钥,进而盗取该账户的资金。由于该账户在 BSC、ETH 和 FTM 上可以复用,故该账户多条链上资产被盗。

「事实上,这种攻击手法需要一定的技术手段才能完成,相比 Chainswap 攻击事件更为高级。」成都链安说。

接连两起跨链领域攻击事件的发生,或许并非偶然。

因为在此之前,发生在跨链协议领域的安全事件并不多见。

2021 年的 5-6 月,在跨链协议上总共出现了 2 起安全事件。5 月 16 日,跨链智能收益与流动性聚合器 bEarn Fi 遭到黑客攻击,损失近 1100 万美元。6 月 29 日,去中心化跨链交易协议 THORChain 发推称发现一个针对 THORChain 的恶意攻击,该次攻击造成的资金损失为 14 万美元。

NewBest分析师:波场官方支持的DZI暴跌万倍,JustSwap急缺安全和有现金流支撑的DeFi项目:据NewBest.io分析师,波场官方支持的DZI爆出漏洞,工程师在正式上线直接调用合约获取DZI损失惨重。JustSwap连续三个项目均爆出漏洞,项目方未做好详尽的测试和审计。发币合约的权限问题易导致JustSwap兑换时出现bug。DeFi 平台最大的优势是资金聚集优势,ETH生态背后有Compound/dYdX/dForce等借贷协议作为现金流项目支撑才带来Uniswap的大爆发。JustSwap 的项目在fomo情绪下更要注意安全和价值支撑,并且资金池背后要有持续的现金流支撑,进行DeFi的组合,因此NewBest的模型在有ForSage的矩阵收益后才上线JustSwap。[2020/8/21]

The Block 研究分析师 Igor Igamberdiev 曾表示,DeFi 协议之间的互操作性变得越来越复杂,因此开辟了新的攻击媒介,并且将来会变得更加频繁。

而到了 7 月,与跨链相关的攻击事件数量突然上升。7 月 2 日,跨链去中心化交易所 DDEX 上的 XDX Swap 遭攻击,攻击者获利 85.17 ETH (约 17.85 万美元),并已将获利全部跨链到以太坊上。

同日,ChainSwap 也发推称其合约遭到攻击,这是 ChainSwap 于 7 月首次遭到攻击,据悉,攻击者也是利用其代码中的另一个漏洞,使该平台遭受了 80 万美元的损失。

从 6 月底到现在,短短半个月的时间,发生在跨链领域的安全事件已有 5 起,这个数字说明针对跨链平台或项目的攻击正在明显增多,不免让人猜想是否黑客盯上了跨链协议生态。

「任何新出现的技术都会存在一定的风险,出现安全事件也是必然趋势。」成都链安表示。

该安全公司认为,近期跨链协议攻击事件多发的原因有多个。一方面是跨链生态目前还不是特别成熟,有许多方面需要改进。另一方面,随着近期跨链相关项目累计资产规模不断扩大,势必会引来黑客的目光。

对此,PeckShield「派盾」也持有类似的观点。

正如我们所知,目前市面上涌现出了多条公链,且它们的资金量已经颇具规模,但不同的链间如同孤岛,不同链上的资产无法自由交换。另外,很多新兴公链仍缺失基础设施。因此,公链需要将其它链上的资产通过跨链的方式引入自身的公链。

「在当前常用的跨链方式中,除了中心化机构如交易所钱包中跨链提币之外,最常见的就是各种去中心化跨链资产桥,跨链桥有效地打破了链与链之间的信息孤岛。」PeckShield「派盾」对巴比特说,「随着目前跨链桥的生态愈发多样化的同时,黑客对于跨链协议也会备受关注,它们是黑客资产出逃的重要环节,因此,也会成为黑客攻击的目标。」

PeckShield「派盾」还发现,攻击者成功得手后也会通过跨链桥将资产快速转移,再结合混币服务将资产洗白。而这种新兴的?式,也对反工作增加了新的压力。

在跨链协议领域,常见的攻击手段包括盗取用户私钥和签名等信息、利用合约中权限校验等方面存在的业务逻辑上的缺陷以及链下其他部分存在的安全隐患。

从近期 Chainswap 和 Anyswap 两起跨链协议遭攻击来看,一是协议本身存在漏洞,二是跨链的私钥管理不到位。Anyswap 本质上是在私钥管理上出了问题。而上文提及的 THORChain 系统曾出现的「假充值」漏洞则属于链下部分的业务逻辑问题。

「要防范黑客攻击很难,因为项目任意部分存在漏洞都可能造成巨大的损失。」成都链安认为。

这不得不提到「防范黑客攻击」这个区块链行业老生常谈的难题,从整个行业到 DeFi 领域,再到跨链协议,攻击的对象不断转换,但采取的防范方式其实大致相同。

首先,跨链协议本身需要查漏补缺。有效、专业的审计能有效地排查出已知的漏洞。

「但与常规的 DeFi 项目不同,由于跨链项目的特殊性,安全的考量不能局限于智能合约层面,需要足够重视链上部分和链下部分,尤其是注意排查与其他 DeFi 产品进行组合时的业务逻辑漏洞,以避免出现跨合约的逻辑兼容性漏洞。」PeckShield「派盾」表示。

其次,项目需要设计一定的风控熔断机制,引入第三方安全公司的威胁感知情报和数据态势情报服务,在 DeFi 安全事件发生时,能够做到第一时间响应安全风险,及时排查封堵安全攻击,避免造成更多的损失。

此外,派盾还认为,可以联动行业各方力量,搭建一套完善的资产追踪机制,实时监控相关虚拟货币的流转情况。

而对于投资者而言,能够甄别可靠的项目或许是头等大事。

一方面,投资者不能轻易将自己的资产投入没有审计过的项目,包括正在进行审计但尚未完成的项目。

「即便是经过审计的项目,如跨合约的协议,投资者也不要过度授权。项目方对待跨链协议亦是如此,此次 ChainSwap 的损失较大,波及范围广也是源于这个原因。」派盾说。

另一方面,投资者也应该关注参与项目的最新消息,一旦遭遇攻击事件,能够及时将自己的资金撤出,或许可以避免损失的扩大。

成都链安指出,本次事件中,多个代币项目方在受到攻击影响后,及时从兑换池中移除流动性,其实是一种较为成功的补救措施。

随着行业发展,黑客攻击事件一次次的发生,不断打击着 DeFi 从业者和投资者的热情和信心。但如上文所言,新技术的产生和发展都必然会伴随着狂风暴雨的考验,仍然也有许多从业者对 DeFi 和跨链的未来充满希望。

「其实跨链协议之前就有一些问题,现在发生两起攻击事件,反而让一些漏洞浮出了水面。换个角度看,或许也是一件好事。」DeFi 投资者陈耀(化名)告诉巴比特。

PeckShield「派盾」观察发现,BTC 跨链桥的资金规模在短时间内发生了激增。该安全公司认为,此前跨链协议较少,随着跨链协议生态的发展,需求逐步增长,提供的解决方案逐步丰富,自然而然也会出现发展中的阵痛,而这种短时阵痛能够倒逼生态中的各个环节加强安全意识。

成都链安同样也提出了相似的看法。「无论是之前的 THORChain 跨链系统「假充值」漏洞,或者 ChainSwap 合约配置不当漏洞,还是 Anyswap 中签名中 R 值的复用。其实每一次安全事件的发生,都在为后续的项目敲响警钟,以鞭策它们建立牢固的安全城池,也将促进生态和技术更加成熟和完善。」

撰文:Glendon

标签:SWAPEFIDEFIDEFESWAPV2价格WEFIN价格DeFinomicsEarn DeFi Coin

pepe最新价格热门资讯
以太坊:一文读懂以太坊「重组」 不再担忧甚至会爱上 MEV

在开始阅读本文之前,我个人强烈建议先读一下我们有关矿工可提取价值(MEV )的上文章, 宣告?Flashbots?成立的文章?以及这一?播客.

1900/1/1 0:00:00
元宇宙:网络效应并不适用于元宇宙:碎片化才更接近元宇宙的本质

「元宇宙」这个词汇的含义是什么?它是从何演变而来?以及未来的可能性是什么?对于不同人而言,「元宇宙」这个词汇有着不同的含义。对于有些人来说,元宇宙是指在持久世界中的沉浸式虚拟现实体验.

1900/1/1 0:00:00
POOL:95后入局币圈 为暴利“交学费”

币圈的“套路”远不止通过论坛忽悠散户“入局买币”这么简单。“币圈”还有专职忽悠散户“挖矿”的“工作人员”。币圈的暴利神话,吸引了一波又一波95后入局.

1900/1/1 0:00:00
QUO:区块链投票在不知情者中被高估 但在知情者中被低估

特别感谢 Karl Floersch、Albert Ni、Mr Silly 等人的反馈和讨论投票是一个非常需要流程完整性的过程.

1900/1/1 0:00:00
NBS:在即将到来的数字时代 经济的新形态将是什么?

对于非技术背景的人来说,这将是一篇理想的文章,可以更好地理解、预测和明白加密货币世界的技术原理和中央银行的障碍.

1900/1/1 0:00:00
BTC:摩根大通:流动性不足或制约比特币成为萨尔瓦多法币

上个月,萨尔瓦多以84名议员中获得62张赞成票通过了《比特币法》,并在全球首开主权国家将比特币作为法定货币的先例。?最近,该法案持续发酵,引来各方激辩.

1900/1/1 0:00:00