大手警備会社に相談してください。なぜ負傷者はいつもクロスチェーンブリッジを渡っているのですか?

8 月 10 日の夜、クロスチェーン相互運用プロジェクトである Poly Network が突然ハッカーに攻撃され、6 億 1,000 万米ドルの損失が発生しました。事件当時の関連資産の市場価格に基づいて計算すると、これはDeFi史上最大額のハッキング事件であるだけでなく、史上最大額のハッキング事件でもある暗号通貨の。

関係者全員の継続的な努力にもかかわらず、ハッカーは最終的に盗んだ6億1,000万米ドルの全額を返還することを選択しましたが、仮想通貨の歴史に記録される運命にある衝撃的な事件として、事件そのものを検証し整理していきます。とそれに関連する傾向には、依然として大きな警告の意味があります。

今回の事件を振り返ると、ハッカーの攻撃手法は基本的に解析されており、SlowMist氏は、今回の事件の原因は、EthCrossChainDataコントラクトのキーパーがEthCrossChainManagerコントラクトによって改変され、EthCrossChainManagerコントラクトのverifyHeaderAndExecuteTx関数が改ざんされる可能性があることにあると指摘しました。 _ によって変更されました。executeCrossChainTx 関数は、ユーザーによって渡されたデータを実行します。

個別の事例から飛び出して、より高いレベルのマクロの傾向を調査すると、Poly Network の事例は、ハッカー コミュニティがクロスチェーン プロトコルの新たな軌道に焦点を当てていることを再び証明しています。PeckShield の統計によると、8 月 12 日の時点で、2021 年第 3 四半期に合計 19 件の DeFi セキュリティ インシデントが発生し、そのうちクロスチェーン関連のプロトコルが 6 回ハッキングされました。トールチェーンなど金額的には、Poly Network事件を除いても、経済的損失総額は3,280万米ドルに上り、他のすべてのカテゴリーを上回っています。

その理由は、Poly Network 事件のハッカーが転送の追加情報を通じて攻撃の動機に言及したためです。クロスチェーン攻撃は非常に「ホット」であるためです。

トピックをさらに拡張すると、なぜクロスチェーン関連のプロトコルは攻撃に対して非常に脆弱なのでしょうか?クロスチェーンブリッジは効率とセキュリティのバランスをどのようにとるべきでしょうか?セキュリティ情勢が厳しさを増す中、プロジェクト当事者やユーザーなど役割の異なる者は何に気をつけるべきなのか。万が一、重大事故が発生した場合、有効な補償手段は何でしょうか？

これらの質問に対する答えを見つけるために、Odaily は PeckShield や BlockSec などの有名なセキュリティ企業にインタビューしました。 DeFiセキュリティに深く関わるプロフェッショナルとして、彼らはどのような答えを出すのでしょうか？

Q1

Odaily ：クロスチェーン関連のプロトコルが頻繁にハッキングされるのはなぜですか?現在の技術的ソリューションがまだ成熟していないためでしょうか?それとも、そのような契約に隠れた危険を発見するのは難しいのでしょうか?

PeckShield：クロスチェーン プロトコルは、チェーン間の情報アイランドの壁を打ち破る新興分野ですが、まだ時間の試練に耐える必要があります。 ChainSwap プロトコルは契約自体の抜け穴が原因で攻撃され、AnySwap はクロスチェーン秘密キー管理の問題が原因で攻撃され、Poly Network は契約の抜け穴が原因で攻撃されました。これは、すべてのクロスチェーン プロトコルに対して、契約の検査と秘密キーの管理と認可のセキュリティにさらに注意を払う必要があるという警告です。

BlockSec (インタビュー対象者は、BlockSec の共同創設者で浙江大学サイバースペース セキュリティ学部教授の周亜金氏です):理由は複数あると思います。 1つ目は利益が出ます。クロスチェーン ブリッジには多数のデジタル資産が存在することが多いため、攻撃者の注目を集めています。 2 つ目は、クロスチェーン ブリッジのプロセス全体が比較的複雑で、複数のチェーンと複数のコントラクト間の相互作用が関与しており、これらのセキュリティ リスクを監視するには、クロスチェーン ブリッジの全体的なセキュリティ評価と分析が必要であることです。特定のモジュールの監査と分析では、リンク全体のセキュリティ リスクを完全にカバーすることはできず、いくつかの新しいセキュリティのアイデアとソリューションが必要です。

Q2

Odaily ：Poly Network の場合、コミュニティの疑問の主な焦点は、契約に Keeper が 1 人しかいなかったかどうかでした。後にそれが不正確であることが判明しましたが、効率と集中化のバランスについては依然として熟考する価値があります。クロスチェーン関連サービスにおいて、クロスチェーン実行の効率が高ければ高いほど、集中化が進むということでしょうか？中央集権化と不安は同一視されるのでしょうか?

PeckShield：クロスチェーンプロトコルは、ブロックチェーンの基盤技術に基づいて構築されています。これは、ブロックチェーン技術の特性を備えているだけでなく、技術自体の「不可能な三角形」も備えていることを意味します。 「分散化」「セキュリティ」「トランザクション処理パフォーマンス」この3つの機能を同時に考慮します。

BlockSec：本来、分離チェーン間の資産の移動は基本的に集中取引所を通じて実現されていたが、クロスチェーン橋本はサイドチェーンの適用によりクロスチェーン資産の分散化と実行効率を向上させようとするものであり、絶対的な集中化を放棄する業界の技術的努力である。

クロスチェーン実行の効率性と集中化の間には因果関係はなく、集中化とクロスチェーンブリッジの安全性の間には直接的な関係はなく、集中化の安全性は主に集中化されたエンティティのセキュリティに依存します。悪く言えば、単一点のセキュリティの脅威があるが、良く言えば、中心組織のセキュリティが高ければセキュリティは確保できる。

一般的に言えば、やはりプロジェクト当事者のセキュリティ防御策が整備されているかどうかに依存しており、特にセキュリティ会社が監査に参加する場合には、監査の有無、サービスプロバイダーが超高度な権限を持っているかどうかを判断する必要がある（ （監査なしで送金できる権限）やラグプル可能性などの操作許可設定により、サプライヤーの秘密鍵の盗難や紛失時に多額の資金が不正送金される可能性があります。

Q3

Odaily ：プロジェクトで相次ぐ事故を背景に、プロジェクト当事者は何をすべきなのか。リスクを回避するにはどのような対策を講じることができますか?

PeckShield：クロスチェーンブリッジの生態系がますます多様化し、充実することで、クロスチェーンブリッジ上で実行される取引と資金の量が大幅に増加するでしょう。たとえば、Poly Network が攻撃される前、クロスチェーン資産転送の規模は 100 億米ドルを超え、クロスチェーン サービスを使用するアドレスの数は 220,000 を超えており、これもクロスチェーン プロトコルに対するハッカーの注目を集めていました。クロスチェーンブリッジ自体はハッカーにとって資金を逃がすための重要なリンクであるため、ハッカーの標的にもなります。

1. プロジェクト当事者にとって、既知の抜け穴を効果的に特定し、プロトコルのセキュリティのための防御の第一線を構築するには、専門機関を探す必要があります。

2. 第二に、契約間のロジック互換性の抜け穴を避けるために、他の DeFi 製品と組み合わせる場合には、ビジネス ロジックの抜け穴のトラブルシューティングにも注意を払う必要があります。

3. そこで、一定のリスク管理融合メカニズムを設計し、サードパーティのセキュリティ会社による脅威認識インテリジェンスとデータ状況インテリジェンスサービスを導入し、DeFiセキュリティインシデント発生時に可能な限り迅速にセキュリティリスクに対応し、チェックを行う必要があります。さらなる被害を避けるために、タイムリーにセキュリティ攻撃をブロックします。

4. 最後に、業界のすべての関係者が連携して、関連する仮想通貨の流通をリアルタイムで監視するための包括的な資産追跡メカニズムを構築する必要があります。運用と保守のセキュリティ。

BlockSec：

1. 設計にセキュリティを導入することは、単なるセキュリティ監査ではなく、通常、設計によるセキュリティと呼ばれるものです。設計段階でサードパーティのセキュリティ会社を導入し、セキュリティリスクを一緒に評価する必要があります。

2. 長期的な観点から見ると、プロジェクトの技術コードのオープンソース化は、未知のリスクを解決するためにも必要です。

3. チェーン上の状況を継続的に監視し、チェーン上の異常なイベントをタイムリーに感知して、損失が拡大する前にそれらを阻止することができます。

Q4

Odaily ：クロスチェーンに対する需要は昔から存在しており、今後もますます活発になっていくはずですが、ユーザーとしてはどうすればいいのでしょうか？安全で適切なクロスチェーンブリッジを選択するにはどうすればよいですか?

PeckShield：このようなセキュリティインシデントが発生した場合、最大の損失となるのはクロスチェーンファンドに流動性を提供するLPであることが多いことに注意が必要であり、私たちの提案は、プロジェクトのバックトラッキングをしっかり行い、まだ開発されていないプロジェクトに安易に資産を投資しないことです。監査済み 。監査中だがまだ完了していないプロジェクトも含まれます。さらに、クロスコントラクト契約については、プロジェクトの利害関係者を含めて過剰な承認を行わないでください。また、クロスチェーン契約についても過剰な承認を行わないでください。

Q5

Odaily ：極端な安全事故が発生した場合、有効な補償手段は何でしょうか?

PeckShield：重大なセキュリティインシデントが発生した場合、まずプロジェクト当事者と関係者が共同で第一段階の対応を開始し、インシデントの根本原因を追跡し、同時に盗難資産の流通を追跡し、タイムリーにセキュリティ攻撃をチェックしてブロックします。更なる損失を避けるため、関連仮想通貨のリアルタイム監視 通貨の流通については、連携集中組織が盗まれた資産を傍受・阻止し、可能な限り盗まれた資産の一部を回収する；事後的には完全な補償計画を準備する必要があるユーザーの損失を補うため、または比較的信頼できる保険プランを設定する必要があります。

BlockSec：

1. 上流および下流の業界リソースと協力して、盗難された資産の流れをタイムリーに追跡し、特に流動性の大部分を占める取引所またはステーブルコイン（マネーロンダリング）に関して損失を回復します。これにより、盗難された資金のリスクをより効果的にブロックできます。 。

2. まとめ

まとめ

PeckShield と BlockSec からの回答により、クロスチェーン関連プロトコルが直面している現在のセキュリティ課題が大まかに明らかになりました。

全体として、クロスチェーン関連のプロトコルが繰り返し攻撃を受けやすい理由は、1 つ目は軌道の急速な発展に伴い、取り扱う資金量も急速に拡大していること、2 つ目は軌道の規模が急速に拡大していること、の 3 つに大別できます。第三に、クロスチェーン関連の契約には複数のチェーンと複数の契約の間の相互作用が含まれることが多く、プロセスが比較的複雑で、多くのリスクポイントが存在します。

一般のユーザー（主にクロスチェーンブリッジを通じて収入を得ている流動性プロバイダーを指します）にとって、彼らが現在直面している状況は、昨年のDeFiの開始時の状況とやや似ており、メリットとリスクを比較検討する際にはより慎重になる必要があります。 . より完全な監査状況と長期にわたる円滑な業務運営を実現する契約が優先されます。

一方、最前線のプロジェクト関係者にとっては、過去の出来事の経験を吸収し、目標を絞った方法でギャップを見つけて埋める必要があり、基盤となるパブリック チェーンのアップグレードと変更をタイムリーにフォローアップする必要があります。 Lossless などの派生セキュリティ ソリューションを統合し、Nexus Mutual などの保険契約との協力を模索し、cBridge のように探索します。契約外の流動性ロック方式等……

最後に、ChainSwap、AnySwap、THORChain、Poly Network などの影響を受けるプロジェクトを含むすべての関係者に、自信を失わないよう訴えたいと思います。新たなトラックの初期段階には常に痛みが伴います。マルチチェーン構造はますます安定し、クロスチェーンはますます繁栄するはずです。ハッカーの「好意」がこのトラックの価値を証明しました。この障害のために進歩を止めないでください。 。