DEF:DeFi黑客攻击背后的深入技术研究：随机数不会说谎

由于以太坊gas费用在2021年牛市期间飙升至历史新高，导致许多去中心化金融（DeFi）协议无法供临时用户使用，一些项目被迫部署在其他链上。

这导致了对跨链机制（称为网桥）的需求激增，能够将用户资产从一条链安全地转移到另一条链。跨链桥一般可以分为中心化托管桥（CCB）和去中心化非托管桥（DNCB）。

可以预料，对跨链桥的需求激增导致新一波不同声誉的协议的出现。随着跨链桥服务于越来越有价值的用户资产池，恶意行为者和黑客注意到这一点只是时间问题。

一般来说，黑客会以DNCB为目标，因为他们可以利用缺乏经验的开发团队设计的协议中的缺陷。经验丰富的黑客可以轻松利用逻辑错误或嵌入密码学和设计不佳协议设计的漏洞。

这将我们带到了今天：跨链桥多次袭击的后果。又是一个久经沙场的行业的黑洞。回顾一下，仅在2021年7月：

ChainSwap于7月2日遭遇黑客攻击，损失价值约80万美元的用户资产。

AnySwapV3流动性池在7月10日遭遇黑客攻击，损失价值近800万美元的USDC和$MIM。AnySwap是由FusionNetwork提供支持的跨链DEX。

今年在DeFi攻击中被盗的资金已达到6.8亿美元:金色财经报道，根据The Block的数据，今年迄今为止，DeFi攻击中被盗的资金总额已达到6.8亿美元。最初通过漏洞利用和bug从DeFi协议中提取的资金达14亿美元，但已有7.6亿美元被返还。今年已来，DeFi空间见证了跨越四个区块链平台的70次最大的DeFi漏洞利用。大多数攻击发生在以太坊上，共34次，Binance Smart Chain以25次攻击紧随其后。[2021/11/3 6:27:36]

ChainSwap再次遭受黑客攻击，距离第一次黑客攻击仅9天。这一次损失价值400万美元的用户资产。ChainSwap是一个由alameda支持的平台，它将以太坊连接到币安智能链。

这篇文章的主要目的是相对详细地教育和介绍去中心化跨链桥的两个经常被忽视但至关重要的元素：安全多方计算（SMPC）中涉及的随机数“k”及其导数“R”。

7月2日被黑客利用的ChainSwap代币 图片：CoinGecko

DeFi基准利率今日为7.47%:金色财经报道，据同伴客数据显示，05月06日DeFi去中心化金融基准利率为7.47%，较前一日下降2.94%。同期美国国债抵押回购率（Repo Rate）为0.03%，二者利率差为7.44%。

DeFi基准利率代表了DeFi融资难易程度，利率越高说明融资成本越高，利率越低说明融资成本越低。其与Repo Rate的利率差则便于DeFi与传统市场作进行同类比较。[2021/5/6 21:29:01]

据报道，发生AnySwap黑客攻击是因为使用相同的“R”值签署了两笔单独的交易。黑客利用这两个签名反向设计了控制AnySwap跨链MPC账户的私钥，窃取了用户的资金。

但是，究竟什么是“R”值？

区块链中的每个人都学到的第一课是您钱包中的资金由您的私钥控制。

你们都听过这句话：“不是您的密钥，不是您的代币。这个习语意味着任何拥有钱包私钥的人都可以完全控制该钱包中的资产。事实上，将资金从一个账户转移到另一个账户所需的唯一事情就是使用该账户的私钥签署交易。

目前，区块链中使用的标准数字签名算法是椭圆曲线数字签名算法（ECDSA）。

BW.io将于10月7日上线DeFi生态热门币种MS:据官方消息，BW将于香港时间10月7日17:00上线DeFi生态热门币种MS，并开通交易对MS/USDT。

MS全称MobileRadio Station，是MobileRadio的子货币，用于开放式金融系统的去中心化协议，因此世界上任何人都可以随时随地进行金融贷款。DeFi将通过权力下放协议建立透明，开放和公平的点对点财务系统，以最大程度地降低信任风险，并使参与者更容易获得融资服务。

热门DeFi生态币种交易，就选BW，BW将打造一个热门生态项目的全品类聚合交易平台，同时将支持这些币种多类型交易（杠杆/现货/合约/质押挖矿等)。[2020/10/4]

ECDSA属于数字签名算法的“非确定性”类别。与在给定特定输入的情况下总是给出相同输出的“确定性”算法不同，即使给定相同的输入，“非确定性”算法也可以产生不同的输出。对于ECDSA，这意味着相同的数据集或交易将具有多个合法签名。

每次使用ECDSA签署交易时，都会生成一个加密安全的随机数“k”。“k”然后用于计算椭圆曲线上的一个点，该点又用于计算“R”值。每次使用ECDSA签署交易时，都必须生成一个新的随机数“k”。

HyperDAO中华区负责人王小圆：从资金角度看，Defi最大的问题就是缺乏流动性:8月21日，在以“DeFi-如何抓住大潮中的机遇？”为主题的金色沙龙中，HyperDAO中华区负责人王小圆在圆桌会议中表示，从资金的角度讲，Defi最大的问题就是缺乏流动性，从DEX和中心化交易所可以看出来，DEX的用户数量和中心化数量没有办法比，因为流量本身会吸引更多流量。去中心化金融在早期的时候和中心化服务相比有很多缺点，不仅仅用户体验差，还有很多小问题。现在的项目启动流动性挖矿，因为需要在短期吸引到大家来参与。对于类似YAM这样的项目来讲，大家在参与的时候可以评估一下它的发展阶段、市场周期。投资者在投资前，要对项目进行自己的调查和研究，形成自己的投资方法，理性投资。[2020/8/21]

如果用同一个“k”来签署多笔交易，那么两笔交易的“R”值就会相同，私钥就会泄露。这被称为“k”值冲突，是2010年底索尼PS3黑客攻击的原因。这也是AnySwap黑客攻击的原因。

接下来，我们来看看AnySwap黑客是如何逆向控制AnySwap跨链MPC账户的私钥，窃取用户资金。

考虑使用相同的随机数“k”签署两个交易时会发生什么。由于“k”用于派生“R”，因此两笔交易的“R”值也将相同。让我们称这两个签名为(s1)和(s2)。

观点：印度或是DeFi领域的巨大市场，但需解决流动性和监管问题:专家称，印度有望成为亚洲DeFi领导者，但有报道称印度政府可能对加密货币实施新禁令，可能会扼杀该行业发展。

尽管DeFi在印度处于起步阶段，但行业领袖认为，DeFi对印度未来的繁荣至关重要。对于数亿名无法获得传统金融服务的印度人来说，DeFi可以提供低成本的替代方案进行借贷，获取信贷和借款。

受新冠疫情影响，业内人士称，DeFi可能比以往任何时候都更重要，那些急需信贷或贷款维持生存的企业时间越来越紧迫。Nasscom调查显示，70%的印度初创企业的资金只能维持运营不到三个月。

此外，通过取消传统银行等中介机构，DeFi或许能够帮助海外印度工人以更低的成本将钱汇回家。Nuo Network联合创始人Siddharth Verma称，DeFi缺乏流动性和未解决的监管问题仍然是印度主流采用的障碍。

根据2017年全球Findex数据库，印度仍有约1.9亿人没有获得传统银行金融服务，DeFi支持者称替代融资服务可以填补这一缺口。CoinDCX联合创始人Neeraj Khandelwal称，当印度没有其他选择时，DeFi将成为开发者和印度社区的下一步行动。（Decrypt）[2020/6/25]

根据ECDSA，代表这两笔交易的方程式是：

其中S1、S2和‘R’代表签名数据和交易数据。这是区块链上公开可见的所有数据。这留下了两个剩余的未知参数：随机数“k”和帐户的私钥。

那些记得高中代数的人会立即知道如何使用这两个方程求解未知参数。因此，私钥sk可以写为：

AnySwap黑客注意到两个交易具有相同的“R”值，这意味着两者都使用了相同的随机数“k”。这使得黑客可以使用简单的代数对控制AnySwap跨链MPC账户的私钥进行逆向工程，窃取用户的资产。

关键错误是在多个交易中使用了相同的随机数“k”。显然，“k”不是随机生成的！那么如何避免这种情况呢？

与基本交易签名相比，安全多方计算（SMPC）确实相当复杂。然而，额外的努力是值得的。如果SMPC（与多重签名非常不同）被正确地用于生成真正的随机数，则不存在随机数“k”被暴露的风险。

在利用SMPC时，签名代理不再是个人，而是多人协同工作来签署交易。

有了基本的交易签名，一个真正的随机数生成器就足以生成“R”值并保证安全性。但是，由于SMPC涉及多个不相关方，因此始终存在这些方中的一个或多个恶意的威胁。

因此，允许一个人单独生成“R”值是不合理的，因为他们可能是恶意行为者。如果他们单独控制随机数“k”和“R”值，他们将能够逆向工程帐户的私钥并窃取资产。因此，在使用SMPC生成‘R’值时必须遵守三个原则：

“R”值不能由一个人产生；

没有一个人可能知道用于推导“R”值的随机数“k”；

随机数“k”必须足够随机，才能无偏且不可预测。

用外行的话来说，SMPC需要一群人一起完成一项任务，但不知道他们在做什么，也不知道他们在和谁一起工作。

Wanchain的跨链桥依赖于一种独特的机制，该机制使用SMPC将跨链资产锁定在由25个称为Storeman节点的匿名方管理的帐户中。Storeman节点的数量可以根据需要增加。

当从锁定账户签署交易时，“R”值由这25个Storeman节点通过一个称为公开验证秘密共享的过程共同确定。此过程可确保不会有两笔交易具有相同的“R”值。

这25个Storeman节点所承担的具体步骤如下：

每个Storeman节点(Pi)使用真随机数生成器在本地生成一个随机数“ki”；

每个Storeman节点(Pi)通过使用Shamir的秘密共享的安全通道与其他节点共享其随机数“ki”。Shamir’sSecretSharing是一种秘密共享方案，旨在以分布式方式共享秘密。秘密被分成多个部分，称为共享。可以使用最少数量的共享来重建秘密。Shamir的秘密共享经常用于密码学。

 每个Storeman节点收到其他节点的秘密份额后，收集秘密份额，乘以椭圆曲线基点，广播结果；

每个Storeman节点使用广播数据执行拉格朗日插值，以获得横坐标为“R”值的椭圆曲线点。

上述过程虽然相当复杂，但核心概念却相当简单。“R”值由25个Storeman节点共同确定。每个Storeman节点贡献部分加密随机数“k”。然后通过加密操作确定“R”值。

换句话说，这25个Storeman节点一起协同工作，而不知道它们在做什么，也不知道其他的Storeman节点是谁。

可公开验证的秘密共享可确保：

1. 任何两笔交易不可能有相同的R值

这有两个主要原因。首先，“R”值由25个Storeman节点共同决定，而不是由个人决定。理论上，只要有一个诚实节点，‘R’值就会是随机的。其次，每个Storeman节点的贡献是由真随机数生成器生成的。

结合起来，如果两个交易中所有25个Storeman节点选择的随机数的总和相同，则两个交易将仅具有相同的“R”值。这种情况发生的概率是2^(-256)。当您阅读这句话时，这比您现在被陨石击中的可能性要小。

2. 用于导出“R”值的随机数“k”保持隐藏

如前所述，一旦知道随机数“k”，就可以对私钥进行逆向工程。从锁定帐户签署交易时，每个Storeman节点仅生成随机数“k”的一部分。由于每个份额都通过安全通道传输，因此没有Storeman节点可以恢复随机数“k”的全部值。

换句话说，由于Wanchain的SMPC设计，用于导出“R”值的随机数“k”始终保持隐藏状态。Wanchain行业领先的跨链桥中使用的锁定帐户非常安全。私钥不存在泄露的可能。

判决

Wanchain研发团队不同意AnySwap黑客对采用SMPC的其他项目构成普遍风险。Wanchain研发团队与业界其他实施SMPC的开发者保持一致，不认为允许AnySwap黑客攻击的漏洞或错误视为一般风险。

该团队还想强调随机数在区块链中的重要作用。随机数不仅用于签署交易。它们用于多个技术设计层面，是PoS共识和分片算法的重要组成部分，直接决定了区块链网络的安全性。

有效地生成可靠的随机数并非易事。它是整个数学和密码学领域的圣杯。才华横溢的人们将他们的一生和他们的思想奉献给了优化随机数的生成。

世界各地的区块链开发者需要延续这一传统，开发更好的分布式随机数生成算法，同时继续优化链上随机数生成。实际上，DeFi的未来是整个区块链，它将建立在今天所做的工作之上。

标签：DEFDEFIEFISTOREChargeDeFi ChargeDefis99DEFI币Berrystore

比特币最新价格热门资讯