SEC:深度解析：为什么跨链桥又双叒出事了？

北京时间8月2日早上，跨链解决方案Nomad于遭到黑客攻击，初步分析Nomad损失在1.9亿美元左右。而本次被盗的根本原因，在于Nomad官方升级智能合约时发生错误。不仅如此，由于合约升级加上了时间锁，在黑客转移资产之时，Nomad没能及时反应，还被不少用户“趁火打劫”，撸走不少剩余资产。跨链桥攻击事件对于从业者来说实在不算新鲜事了，2021年下半年至今超过10起，因为跨链桥承载大量资产的特殊属性，这些事件多数损失惨重，就在不久前的6月24日，由Harmony开发的资产跨链桥Horizon遭到攻击，损失同样高达1亿美元。而去年PolyNetwork遭到攻击，一度损失6.1亿美元，更成为了DeFi领域史上最大黑客事件。

为什么跨链相关协议如此容易遭到攻击？跨链桥到底该如何平衡效率与安全性？在安全形势愈发严峻的当下，项目方、用户等不同角色需要注意些什么？倘若真的发生了极端事故，又有哪些行之有效的弥补手段？此前，Odaily星球日报曾就“跨链桥的面临的挑战”这一话题采访过PeckShield、BlockSec等知名安全公司，我们来再次看看这些“警世恒言”。Q1

火币于佳宁：必须加快区块链与人工智能等前沿信息技术深度融合:中国通信工业协会区块链专委会轮值主席、火币大学校长于佳宁表示，区块链和隐私计算相辅相成，可以更好地挖掘分布式场景下数据要素的价值。未来，在“区块链+隐私计算”所搭建的生态里，每个人可以真正拥有自己的数据控制权，可以利用自己的“数字身份”安全存储数据，同时在使用某个业务时做“选择性披露”，从而进行可信安全的社会活动，并真正释放数据价值。于佳宁强调，在数字时代，要构建完整的数字产业生态，必须加快区块链和人工智能、大数据、物联网等前沿信息技术的深度融合，推动集成创新和融合应用，加快构建新型基础设施，助力百行千业全面转型升级，加速实现产业全面上链，推动数字经济与实体经济深度融合，从而整体驱动生产方式、生活方式和治理方式变革。”（证券日报）[2021/3/26 19:19:09]

Odaily星球日报：为什么跨链相关协议频繁被黑？是因为当前的技术方案尚不成熟？或是此类合约的潜在隐患难以侦测吗？PeckShield：跨链协议是个新兴领域，它打破了链与链之间信息孤岛的壁垒，但仍需要经受时间的考验。ChainSwap协议遭遇攻击是因为合约本身存在漏洞，向AnySwap被攻击则是因为跨链的私钥管理出了问题，PolyNetwork被攻击也是因为合约漏洞。这给了所有跨链协议一个警示，需要提升对合约的查缺补漏和以及私钥管理授权安全的重视。

链上ChainUP WaaS联盟与Vtrading达成深度战略合作:据官方消息，链上ChainUP WaaS联盟与Vtrading宣布达成深度战略合作，双方就区块链技术应用落地、区块链金融服务、资金安全等方面深度合作。

Vtrading作为数字资产AI量化服务平台，始于2017年12月，针对不同用户需求提供差异化量化策略服务，提供可视化图元平台编辑策略、Hbass系统快速调试回测、PC端策略一键发布到APP端策略商城、智能量化托管执行、智能跟单系统、独立返佣系统、私有定制部署、第三方嵌入式系统等服务，用户只需要通过API授权就能实现AI自动交易。经300+天实盘验证，Vtrading量化策略年化收益达50%+。

WaaS联盟是链上ChainUP集团依托3年时间所服务的300多家交易所经验，将底层资产托管和钱包封装而成的一套完整的服务，包含资产托管、节点服务、主链币种开发、热门币种一键接入、共管钱包、借贷理财等多种功能服务，通过开放钱包API与SDK，帮助交易所、项目方、媒体等快速高效接入，实现云端资产安全托管，联盟内部转账0手续费即时到账。目前，已有超过500家企业加入ChainUP WaaS联盟。[2020/12/1 22:43:05]

动态 | 广州市黄埔区与开发区将在区块链等领域实现深度融合 共同打造世界级先进制造业产业集群:据羊城晚报消息，12月6日，中共广州市黄埔区委一届十次全会暨广州开发区党工委2019年第四次工作会议在广州市黄埔区、广州开发区召开。根据会议内容，广州市黄埔区、广州开发区将重点与宝安区打造先进制造业协同发展先行先试地，依托该区制造业产业集群和宝安工业企业集聚优势，建立产业共链、风险共担、收益共享的“链上共同体”，在新一代信息技术、高端智能装备、新材料、区块链等领域实现深度融合，共同打造世界级先进制造业产业集群。[2019/12/7]

BlockSec：我觉得有多个原因。第一个是有利可图。由于跨链桥中往往存在大量的数字资产，因此成为攻击者眼中的香饽饽。第二个是跨链桥的整个流程比较复杂，涉及到多条链和多个合约之间的交互，而这些安全风险的监测需要通过对跨链桥做整体安全评估分析。对某一个模块的审计和分析并不能完整覆盖全链路的安全风险，需要一些新的安全思路和解决方案。Q2

声音 | 解放军报：加快推进区块链军事应用，不断拓展其应用广度和深度:11月20日，解放军报刊文《军报关注：区块链如何影响现代军事》。文章表示，区块链由此所体现的技术特性，恰好可以满足军事领域的一些特定需求。区块链去中心化的特性契合抗毁生存的军事需求。区块链可追溯不可篡改的特性契合作战指挥强信任需求。区块链透明开放集体参与的特性契合信息安全共享的军事需求。在作战领域，区块链的去中心化、可扩展、跨网络分布、强加密等特点，可有效提升作战网络的安全性抗毁性，大大增强作战体系的弹性韧劲。在军事管理领域，区块链的机器信任机制，可减少军事管理过程中人为因素带来的不确定性、多样性和复杂性。区块链在军事领域的应用，各国军队更是处于探索阶段，加快推进区块链军事应用，不断拓展其应用广度和深度，可采取以下措施。1.加强区块链军事应用的统筹规划。2.创新区块链军事应用模式。3.突破区块链军事应用技术瓶颈。[2019/11/21]

Odaily星球日报：在PolyNetwork一案中，社区质疑的一大焦点为其合约是否只有一名Keeper，尽管事后已经证明了该说法并不准确，但关于效率及中心化的平衡仍值得我们深思。在跨链相关服务中，是不是说跨链执行效力越高就会越中心化？中心化与不安全是划等号的吗？PeckShield：跨链协议是基于区块链底层技术构建的，这就意味着它不仅会带有区块链技术的特性，也会携带技术本身的“不可能三角”，即不能同时兼顾“去中心化”、“安全性”、“交易处理性能”这三个特性。BlockSec：原先孤链之间资产转移基本是通过中心化交易所来实现，跨链桥本就是通过侧链的应用来提升资产跨链的去中心化和执行效率，就技术而言是一种进步，也是业界为了摒弃绝对中心化而做的技术努力。跨链执行效率和中心化并不存在因果逻辑关系，而跨链桥的中心化和不安全更没有直接关系了，中心化是否安全主要取决于中心化实体的安全性。从坏的方面来说，存在单点安全威胁问题，但是从好的方面来说，只要中心实体的安全保障做的高，那么安全性是可以得到保障的。总体来说，还是取决于项目方的安全防御举措是否到位，尤其在安全公司参与审计时，需要判断审核，服务供应商是否存在超高权限及其进行RugPull的可能性，因为这样的操作权限设置，很可能在供应商私钥被盗或者遗失的情况下，造成大量资金的非法转移。Q3

WECC和混沌工作室达成深度合作:WECC和混沌工作室就版权保护和IP商业化开发达成了深度合作。混沌工作室为国内知名动漫工作室，旗下出品了《混沌白书》、《恶魔大楼》、《帝国的绝凶虎》等作品。其中，《恶魔大楼》在小红书上点击2.2亿，人气8883.7万；《帝国的绝凶虎》点击1.1亿，人气5074.1万。后续，WECC将和混沌工作室旗下系列作品将在授权合作及版权保护等方面展开合作。[2018/6/9]

Odaily星球日报：在项目接连出事的大背景下，项目方应该怎么办？可以采取哪些措施来规避风险？PeckShield：跨链桥生态的愈发多样化、丰富化，使得在其之上进行的交易、资金量也会随之大幅增长。例如PolyNetwork在遭受攻击之前，跨链资产转移的规模已经超过100亿美元，使用该跨链服务的地址数量也超过了22万个，这也就吸引了黑客对于跨链协议的关注，再加上跨链桥本身就是黑客资金出逃的重要环节，因此也会成为黑客攻击的目标。

对于项目方来说，首先寻求专业机构有效地排查出已知的漏洞，为协议的安全筑建第一道防线。其次，还要注意排查与其他DeFi产品进行组合时的业务逻辑漏洞，避免出现跨合约的逻辑兼容性漏洞。再然后，还要设计一定的风控熔断机制，引入第三方安全公司的威胁感知情报和数据态势情报服务，在DeFi安全事件发生时，能够做到第一时间响应安全风险，及时排查封堵安全攻击，避免造成更多的损失。最后，应联动行业各方力量，搭建一套完善的资产追踪机制，实时监控相关虚拟货币的流转情况。运维安全。BlockSec：将安全引进设计中也就是我们通常说的securitybydesign，而不只是安全审计。应该在设计阶段引入第三方安全公司来一起评估安全风险。项目技术代码开源从长周期看也是化解未知风险的一种必要性。对链上情况保持持续监控，能及时感知链上异常事件，从而在损失扩大之前及时阻断。Q4

Odaily星球日报：跨链的需求一直存在，且势必会越来越旺盛，对于用户来说，他们应该怎么办？怎样选择安全且合适的跨链桥？PeckShield：需要说明的是，在发生此类安全事件时，损失最大的往往是为跨链提供资金流动性的LPs，我们的建议是做好项目背调，不要轻易将资产投入到没有审计过的项目中，包括正在进行审计但尚未完成的项目。再者，就是对于跨合约的协议，不要过度授权，包括项目相关方对跨链协议也不要过度授权。Q5

Odaily星球日报：当发生极端安全事故后，有哪些行之有效的弥补手段？PeckShield：当发生极端安全事故后，首先是项目方和相关方联动启动一级响应，追溯事故根源，同时追踪被盗资产流转情况，及时排查封堵安全攻击，避免造成更多的损失；实时监控相关虚拟货币的流转情况，联动中心化机构拦截、围堵被盗资产，尽可能挽回部分被盗资产；事后要准备完备的补偿方案，弥补用户损失；或者，设置比较可靠的保险方案。BlockSec：协同上下游业内资源，及时追踪被盗资产流向，并挽回损失，尤其是占据大多数流通性的交易所或稳定币方面，能在赃款风控上更有效阻断。评估项目的整体安全性，引入第三方安全公司从安全视角整体审视项目设计，考虑到跨链项目的复杂性，应加大安全审计力度。小结

PeckShield和BlockSec的回答为我们大致揭露了跨链相关协议当前所面临的安全挑战。综合来看，跨链相关协议之所以容易屡遭攻击，大致可分为三层原因，一是随着赛道的高速发展，其承载的资金量也在快速膨胀；二是赛道仍处于新兴阶段，各项细节仍待优化；三是跨链相关协议往往涉及到多条链和多个合约之间的交互，流程上相对复杂，风险点较多。对于普通用户来说，现在所面临的情况在某种程度上和去年DeFi起步之初有些类似，在权衡收益及风险需要更加慎重，优先选择审计状况更为完善、业务顺利运行更久的协议。而对于身处一线的项目方来说，一方面要吸收过往事件的经验，针对性地查漏补缺；另一方面也要主动进行安全升级，方法包括但不限于委托更多安全公司进行审计，及时跟进底层公链的升级和变化，整合Lossless等衍生安全方案，寻求与NexusMutual等保险协议的合作，像cBridge那样探索非合约型流动性锁定方式等等……最后，我们想要呼吁所有相关从业人员，不要丧失信心，新兴赛道的起步初期总是会伴随着阵痛，随着多链格局的日渐稳固，跨链势必会愈发蓬勃，黑客的“青睐”已侧面证明了这条赛道的价值，希望各位不要因为这颗绊脚石而停下了前进的脚步。

标签：区块链SHISECELD影视币区块链有哪些FLOSHINThe Midget’s SecretEthereum Yield

Filecoin热门资讯