詳細な分析: なぜクロスチェーン橋が再び二重交差になったのでしょうか?

北京時間8月2日朝、クロスチェーンソリューションNomadがついにハッキングされ、予備分析によるとNomadの損失は約1億9000万ドルに達した。今回の盗難の根本原因は、Nomadがスマートコントラクトを正式にアップグレードする際にエラーが発生したことです。

それだけでなく、契約のアップグレードにタイムロックが追加されたため、ハッカーが資産を移管したときに Nomad は時間内に応答できず、多くのユーザーによって「強奪」され、多くの残りの資産が奪われました。

クロスチェーンブリッジ攻撃は実務家にとって新しいことではありません。2021 年下半期以降、10 件以上の事件が発生しています。多数の資産を運ぶクロスチェーンブリッジの特殊な特性により、これらの事件のほとんどは大きな被害を受けています少し前の6月24日、ハーモニー社が開発した資産クロスチェーンブリッジ「ホライゾン」が攻撃され、損失額も1億ドルに達した。昨年、Poly Networkが攻撃を受け、一時6億1,000万米ドルを失い、DeFi分野史上最大のハッキングイベントとなった（ハッカーは資産のほとんどを返還した）。

クロスチェーン関連のプロトコルはなぜ攻撃に対してこれほど脆弱なのでしょうか?クロスチェーンブリッジは効率とセキュリティのバランスをどのようにとるべきでしょうか?セキュリティ情勢が厳しさを増す中、プロジェクト当事者やユーザーなど役割の異なる者は何に気をつけるべきなのか。万が一、重大事故が発生した場合、有効な補償手段は何でしょうか？

副題

Q1

Odaily: クロスチェーン関連のプロトコルが頻繁にハッキングされるのはなぜですか?現在の技術的ソリューションがまだ成熟していないためでしょうか?それとも、そのような契約に隠れた危険を発見するのは難しいのでしょうか?

PeckShield: クロスチェーン プロトコルは、チェーン間の情報アイランドの壁を打ち破る新興分野ですが、まだ時間の試練に耐える必要があります。 ChainSwap プロトコルは契約自体の抜け穴が原因で攻撃され、AnySwap はクロスチェーン秘密キー管理の問題が原因で攻撃され、Poly Network は契約の抜け穴が原因で攻撃されました。これは、すべてのクロスチェーン プロトコルに対して、契約の検査と秘密キーの管理と認可のセキュリティにさらに注意を払う必要があるという警告です。

BlockSec (インタビュー対象者は、BlockSec の共同創設者で浙江大学サイバースペース セキュリティ学部教授の周亜金氏): 理由は複数あると思います。 1つ目は利益が出ます。クロスチェーン ブリッジには多数のデジタル資産が存在することが多いため、攻撃者の注目を集めています。 2 つ目は、クロスチェーン ブリッジのプロセス全体が比較的複雑で、複数のチェーンと複数のコントラクト間の相互作用が関与しており、これらのセキュリティ リスクを監視するには、クロスチェーン ブリッジの全体的なセキュリティ評価と分析が必要であることです。特定のモジュールの監査と分析では、リンク全体のセキュリティ リスクを完全にカバーすることはできず、いくつかの新しいセキュリティのアイデアとソリューションが必要です。

Q2

Odaily: Poly Network の場合、コミュニティの質問の主なポイントの 1 つは、契約に Keeper が 1 人しかいなかったかどうかでした。この記述が正確ではないことが証明されましたが、効率と集中化のバランスは依然として価値があります。私たちの考察。クロスチェーン関連サービスにおいて、クロスチェーン実行の効率が高ければ高いほど、集中化が進むということでしょうか？中央集権化と不安は同一視されるのでしょうか?

PeckShield: クロスチェーンプロトコルは、ブロックチェーンの基盤技術に基づいて構築されています。これは、ブロックチェーン技術の特性を持つだけでなく、技術自体の「不可能な三角形」も伴うことを意味します。 「カスタマイズ」「セキュリティ」「トランザクション処理性能」の3つの特徴を併せ持つ「分散化」も同時に考慮。

BlockSec：元々、孤立したチェーン間の資産移転は基本的に集中型取引所を通じて実現されていたが、クロスチェーン橋本はサイドチェーンの適用によりクロスチェーン資産の分散化と実行効率を向上させるものであり、一種のテクノロジーの進歩である。これは、絶対的な集中化を放棄するために業界が行った技術的な努力でもあります。

クロスチェーン実行の効率性と集中化の間には因果関係はなく、集中化とクロスチェーンブリッジの安全性の間には直接的な関係はなく、集中化の安全性は主に集中化されたエンティティのセキュリティに依存します。悪く言えば、単一点のセキュリティの脅威があるが、良く言えば、中心組織のセキュリティが高ければセキュリティは確保できる。

一般的に言えば、やはりプロジェクト当事者のセキュリティ防御策が整備されているかどうかに依存しており、特にセキュリティ会社が監査に参加する場合には、監査の有無、サービスプロバイダーが超高度な権限を持っているかどうかを判断する必要がある（ （監査なしで送金できる権限）やラグプル可能性などの操作許可設定により、サプライヤーの秘密鍵の盗難や紛失時に多額の資金が不正送金される可能性があります。

Q3

デイリー：プロジェクトで事故が相次ぐ中、プロジェクト当事者は何をすべきでしょうか？リスクを回避するにはどのような対策を講じることができますか?

PeckShield: クロスチェーンブリッジのエコロジーはますます多様化し、強化されており、クロスチェーンブリッジ上で実行される取引と資金の量は大幅に増加するでしょう。たとえば、Poly Network が攻撃される前、クロスチェーン資産転送の規模は 100 億米ドルを超え、クロスチェーン サービスを使用するアドレスの数は 220,000 を超えており、これもクロスチェーン プロトコルに対するハッカーの注目を集めていました。クロスチェーンブリッジ自体はハッカーにとって資金を逃がすための重要なリンクであるため、ハッカーの標的にもなります。

プロジェクト当事者にとって、既知の抜け穴を効果的に特定し、プロトコルのセキュリティのための防御の第一線を構築するには、専門機関を探す必要があります。

第二に、契約間のロジック互換性の抜け穴を避けるために、他の DeFi 製品と組み合わせる場合には、ビジネス ロジックの抜け穴のトラブルシューティングにも注意を払う必要があります。

そこで、一定のリスク管理融合メカニズムを設計し、サードパーティのセキュリティ会社による脅威認識インテリジェンスとデータ状況インテリジェンスサービスを導入し、DeFiセキュリティインシデント発生時に可能な限り迅速にセキュリティリスクに対応し、チェックを行う必要があります。さらなる被害を避けるために、タイムリーにセキュリティ攻撃をブロックします。

最後に、業界のすべての関係者が連携して、関連する仮想通貨の流通をリアルタイムで監視するための包括的な資産追跡メカニズムを構築する必要があります。運用と保守のセキュリティ。

BlockSec：

設計にセキュリティを導入することは、単なるセキュリティ監査ではなく、通常、設計によるセキュリティと呼ばれるものです。設計段階でサードパーティのセキュリティ会社を導入し、セキュリティリスクを一緒に評価する必要があります。

長期的な観点から見ると、プロジェクトの技術コードのオープンソース化は、未知のリスクを解決するためにも必要です。

チェーン上の状況を継続的に監視し、チェーン上の異常なイベントをタイムリーに感知して、損失が拡大する前にそれらを阻止することができます。

Q4

小デイリー：クロスチェーンの需要は昔からありますし、今後もますます活発になっていくと思いますが、ユーザーとしてはどうすればいいのでしょうか？安全で適切なクロスチェーンブリッジを選択するにはどうすればよいですか?

PeckShield: このようなセキュリティインシデントが発生した場合、最大の損失となるのはクロスチェーン資本の流動性を提供する LP であることが多いことを説明する必要があります。私たちの提案は、プロジェクトの背景をしっかりと把握し、監査されていないプロジェクトに安易に資産を投資しないことです。監査中だがまだ完了していないプロジェクトも含まれます。さらに、クロスコントラクト契約については、プロジェクトの利害関係者を含めて過剰な承認を行わないでください。また、クロスチェーン契約についても過剰な承認を行わないでください。

Q5

Odaily: 重大なセキュリティインシデントが発生した場合、効果的な補償手段は何ですか?

PeckShield: 極端なセキュリティインシデントが発生した場合、まず、プロジェクト当事者と関係者が共同で第一レベルの対応を開始し、インシデントの根本原因を追跡し、同時に盗難された資産の流通を追跡し、タイムリーにチェックしてブロックします。セキュリティ攻撃を防止し、さらなる損失を回避、リアルタイム監視 仮想通貨の流通に関して、連携集中組織が盗難資産を傍受・遮断し、盗難資産の一部を可能な限り回収、事後的には完全な補償計画を立てるユーザーの損失を補う準備ができているか、比較的信頼できる保険プランを設定する必要があります。

BlockSec：

上流および下流の業界リソースと協力して、盗難された資産の流れをタイムリーに追跡し、特に流動性の大部分を占める取引所またはステーブルコイン（マネーロンダリング）に関して損失を回復します。これにより、盗難された資金のリスクをより効果的にブロックできます。 。

まとめ

まとめ

PeckShield と BlockSec からの回答により、クロスチェーン関連プロトコルが直面している現在のセキュリティ課題が大まかに明らかになりました。

全体として、クロスチェーン関連のプロトコルが繰り返し攻撃を受けやすい理由は、1 つ目は軌道の急速な発展に伴い、取り扱う資金量も急速に拡大していること、2 つ目は軌道の規模が急速に拡大していること、の 3 つに大別できます。第三に、クロスチェーン関連の契約には複数のチェーンと複数の契約の間の相互作用が含まれることが多く、プロセスが比較的複雑で、多くのリスクポイントが存在します。

一般のユーザー（主にクロスチェーンブリッジを通じて収入を得ている流動性プロバイダーを指します）にとって、彼らが現在直面している状況は、昨年のDeFiの開始時の状況とやや似ており、メリットとリスクを比較検討する際にはより慎重になる必要があります。 . より完全な監査状況と長期にわたる円滑な業務運営を実現する契約が優先されます。

一方、最前線のプロジェクト関係者にとっては、過去の出来事の経験を吸収し、目標を絞った方法でギャップを見つけて埋める必要があり、基盤となるパブリック チェーンのアップグレードと変更をタイムリーにフォローアップする必要があります。 Lossless などの派生セキュリティ ソリューションを統合し、Nexus Mutual などの保険契約との協力を模索し、cBridge のように探索します。契約外の流動性ロック方式等……

最後に、関係者の皆様には自信を失わないようお願いいたしますが、新興軌道の初期段階には常に痛みが伴います。マルチチェーン構造がより安定するにつれて、クロスチェーンはより繁栄するはずです。このトラックの価値はすでに証明されており、このつまずきのせいで進歩を止めないことを願っています。