AIN:攻击事件不断，跨链桥项目何以对应？-ODAILY

作者：

时间：1900/1/1 0:00:00

Chainalysis发布的数据显示，单单2022年跨链桥掠夺事件所带来的损失就多达20亿美元。跨链桥安全问题层出不穷，每一次的攻击事件，都引发了行业的关注。对于产品安全问题，跨链桥项目Multichain安全负责人XChang近日就针对该项目的产品安全机制进行了详细的披露，希望借此机会与业内友商和关注跨链桥生态的观察人士分享Multichain的经历。

据XChang，Multichain的安全策略以攻击事件为时间点分为三阶，即：发生前，发生时，发生后。每个阶段都有对应的应对步骤与策略。

Beosin：sDAO项目遭受攻击事件简析:金色财经报道，根据区块链安全审计公司Beosin旗下Beosin?EagleEye 安全风险监控、预警与阻断平台监测显示，BNB链上的sDAO项目遭受漏洞攻击，Beosin分析发现由于sDAO合约的业务逻辑错误导致，getReward函数是根据合约拥有的LP代币和用户添加的LP代币作为参数来计算的，计算的奖励与用户添加LP代币数量正相关，与合约拥有总LP代币数量负相关，但合约提供了一个withdrawTeam的方法，可以将合约拥有的BNB以及指定代币全部发送给合约指定地址，该函数任何人都可调用。而本次攻击者向其中添加了LP代币之后，调用withdrawTeam函数将LP代币全部发送给了指定地址，并立刻又向合约转了一个极小数量的LP代币，导致攻击者在随后调用getReward获取奖励的时候，使用的合约拥有总LP代币数量是一个极小的值，使得奖励异常放大。最终攻击者通过该漏洞获得的奖励兑换为13662枚BUSD离场。Beosin Trace追踪发现被盗金额仍在攻击者账户，将持续关注资金走向。[2022/11/21 7:53:09]

1.发生前：

Tether解冻Poly Network攻击事件中冻结的3300万枚USDT:8月25日消息，Tether宣布已经解冻Poly Network攻击事件中冻结的3300万枚USDT，并将超过3343万枚USDT发送到Poly Network的多签钱包地址。[2021/8/25 22:37:13]

项目通过内部和外部审计方式来排除任何安全隐患。同时，也通过漏洞悬赏调动业内专家帮助发现漏洞，避免造成损失。另外，Multichain也希望通过即将推出的MultiDAO来对产品安全做另一次预防性把关。除此之外，Multichain也利用主要媒体平台的关键词舆论监测来观察业内跨链桥安全问题相关的动态，从中进行自省，监测其他事件的影响是否波及到Multichain的资产。对于大额度的交易，Multichain也实施了跨链金额限制及链资金流量和总量限制，以避免类似Horizon的事件重蹈覆辙。

声音 | NULS官方：目前黑客攻击事件的不良影响已经在团队的控制之中:NULS官方发布微博披露近日200万NULS代币被盗事件进展。本次攻击的原因是NULS交易签名验证逻辑存在一个BUG，黑客利用精心构造的交易绕过了验证的环节。节点对该笔交易进行了确认，从NULS团队账户中转走了200万NULS代币到黑客地址，随后将相应代币分散拆分到多个地址，意图抛向二级市场。在黑客从NULS团队账户转走的200万NULS中，有548354.34696095NULS已流入到交易市场，目前已积极联系相关交易所配合进行冻结操作。硬分叉后，未进入交易市场的1451645.65303905NULS将会以永久冻结的方式销毁。[2019/12/24]

2.发生时：

攻击事件发生时，关键在于及时拉响警钟，让平台能迅速采取行动。Multichain设置了检测Watchdogs，能够及时反应异常现象。同时，项目也调动DAO的力量，对发现漏洞以及及时将异常现象通报平台的成员发放奖励。

3.发生后：

Mutichain将会暂停产品的使用，以先止损，后修复的形式去应对黑客事件。同时，该项目也进行演习，并在智能合约上设置暂停功能。此外，Multichain也从项目利润中挪出了一部分资金作为安全基金，补偿用户在类似事件中的损失。

ChangX也阐明了多方安全计算的特征能够确保更强的去中心化以及控制成本，而且MPC私钥分片会定期更新作废，进一步防范黑客行为。与此同时，Multichain也与网络基础设置提供商合作，力求营造更安全的产品环境。至于Multichain即将发布的MPC+HSM方案，它能够确保在服务器被攻击的情况下，仍旧遏制黑客获取私钥分片。