Chain:攻擊事件不斷，跨鏈橋項目何以對應？-ODAILY_CHA

Chainalysis發布的數據顯示，單單2022年跨鏈橋掠奪事件所帶來的損失就多達20億美元。跨鏈橋安全問題層出不窮，每一次的攻擊事件，都引發了行業的關注。對于產品安全問題，跨鏈橋項目Multichain安全負責人XChang近日就針對該項目的產品安全機制進行了詳細的披露，希望借此機會與業內友商和關注跨鏈橋生態的觀察人士分享Multichain的經歷。

據XChang，Multichain的安全策略以攻擊事件為時間點分為三階，即：發生前，發生時，發生后。每個階段都有對應的應對步驟與策略。

安全團隊：獲利約900萬美元，Moola協議遭受黑客攻擊事件簡析:10月19日消息，據Beosin EagleEye Web3安全預警與監控平臺監測顯示，Celo上的Moola協議遭受攻擊，黑客獲利約900萬美元。Beosin安全團隊第一時間對事件進行了分析，結果如下：

第一步：攻擊者進行了多筆交易，用CELO買入MOO,攻擊者起始資金（182000枚CELO）.

第二步：攻擊者使用MOO作為抵押品借出CELO。根據抵押借貸的常見邏輯，攻擊者抵押了價值a的MOO，可借出價值b的CELO。

第三步：攻擊者用貸出的CELO購買MOO，從而繼續提高MOO的價格。每次交換之后，Moo對應CELO的價格變高。

第四步：由于抵押借貸合約在借出時會使用交易對中的實時價格進行判斷，導致用戶之前的借貸數量，并未達到價值b，所以用戶可以繼續借出CELO。通過不斷重復這個過程，攻擊者把MOO的價格從0.02 CELO提高到0.73 CELO。

第五步：攻擊者進行了累計4次抵押MOO，10次swap（CELO換MOO），28次借貸，達到獲利過程。

本次遭受攻擊的抵押借貸實現合約并未開源，根據攻擊特征可以猜測攻擊屬于價格操縱攻擊。截止發文時，通過Beosin Trace追蹤發現攻擊者將約93.1%的所得資金 返還給了Moola Market項目方，將50萬CELO 捐給了impact market。自己留下了總計65萬個CELO作為賞金。[2022/10/19 17:32:31]

1.發生前：

分析 | 2月僅發生6起黑客攻擊事件但209萬EOS偷跑引行業巨震:據PeckShield態勢感知平臺03月01日數據顯示，過去一個月，EOS公鏈共計發生6起競猜類游戲遭黑客攻擊事件，開發者共計損失28,841.17個EOS。較之上月，2月份發生的黑客攻擊事件明顯變少，其中競猜類游戲EOSPlaystation因假轉賬通知問題，一次損失了17,386個EOS，111alpha1111黑客團伙作案2次共計獲利8,546個EOS。就DApp安全現狀而言，DAppShield安全盾風控平臺監測中的黑名單賬戶活躍度明顯降低，包括新增攻擊合約部署和異常獲利等等，這和競猜類DApp整體活躍度及流水下滑有直接關系。需要重點關注的是，2月份發生了曾被ECAF凍結的gm3dcnqgenes賬戶攜209萬EOS偷跑事件，截止目前，黑客已經向交易所轉入了39.94萬個EOS，價值近千萬元。該事件暴露出EOS超級節點黑名單管控，贓款流進交易所應急響應等一系列社區治理低效問題，引發行業廣泛討論。[2019/3/1]

項目通過內部和外部審計方式來排除任何安全隱患。同時，也通過漏洞懸賞調動業內專家幫助發現漏洞，避免造成損失。另外，Multichain也希望通過即將推出的MultiDAO來對產品安全做另一次預防性把關。除此之外，Multichain也利用主要媒體平臺的關鍵詞輿論監測來觀察業內跨鏈橋安全問題相關的動態，從中進行自省，監測其他事件的影響是否波及到Multichain的資產。對于大額度的交易，Multichain也實施了跨鏈金額限制及鏈資金流量和總量限制，以避免類似Horizon的事件重蹈覆轍。

動態 | 12月共發生20起競猜類游戲遭攻擊事件 總損失超600萬元:據 PeckShield 態勢感知平臺數據顯示，過去一個月，EOS公鏈共計發生20起競猜類游戲遭黑客攻擊事件，開發者共計損失348,204個EOS，以當前價格18元估算總價值超600萬元。PeckShield安全人員分析數據發現：1、攻擊事件損失超過1萬個EOS的有7起，大部分攻擊損失均在1,000—10,000個EOS之間；2、安全事件開始影響到包含BetDice、ToBet在內的頭部競猜類游戲，其中BetDice一次損失195,531個EOS，較為慘重；3、除個別項目因私鑰泄露和假轉賬通知等造成的漏洞，黑客主要攻擊方式為交易回滾攻擊，大部分安全事件和隨機數問題有關；4、過去半年，12月份受攻擊次數最多，損失額度亦最大環比11月份增長6倍。[2019/1/2]

2.發生時：

攻擊事件發生時，關鍵在于及時拉響警鐘，讓平臺能迅速采取行動。Multichain設置了檢測Watchdogs，能夠及時反應異常現象。同時，項目也調動DAO的力量，對發現漏洞以及及時將異常現象通報平臺的成員發放獎勵。

3.發生后：

Mutichain將會暫停產品的使用，以先止損，后修復的形式去應對黑客事件。同時，該項目也進行演習，并在智能合約上設置暫停功能。此外，Multichain也從項目利潤中挪出了一部分資金作為安全基金，補償用戶在類似事件中的損失。

ChangX也闡明了多方安全計算的特征能夠確保更強的去中心化以及控制成本，而且MPC私鑰分片會定期更新作廢，進一步防范黑客行為。與此同時，Multichain也與網絡基礎設置提供商合作，力求營造更安全的產品環境。至于Multichain即將發布的MPC+HSM方案，它能夠確保在服務器被攻擊的情況下，仍舊遏制黑客獲取私鑰分片。

本文轉載自

https://medium.com/multichainorg/multichain-安全策略-詳細披露-3c38360bfd0b

Tags：CHAEOSChainAINYO EXCHANGEEOSCblockchain.infowalletIDChainlink NFT Vault (NFTX)

BNB價格