주요 보안 회사에 문의하십시오. 왜 부상자는 항상 교차 체인 브리지입니까?
8월 10일 저녁, 교차 체인 상호 운용성 프로젝트인 Poly Network가 갑자기 해커의 공격을 받아 6억 1천만 달러의 손실을 입었습니다. 사건 당시 해당 자산의 시세로 환산하면 디파이 사상 최대 규모의 해킹 사건일 뿐만 아니라 사상 최대 규모의 해킹 사건이다. 암호화폐의.
당사자들의 끊임없는 노력에도 불구하고 해커는 결국 6억 1천만 달러의 훔친 돈을 모두 반환하기로 결정했지만, 암호화폐 역사에 기록될 충격적인 사건으로 사건 자체를 검토하고 정리하겠습니다. 및 관련 추세 여전히 더 큰 경고 의미가 있습니다.
이번 사건을 돌이켜보면 해커의 공격 방식은 기본적으로 분석되었는데, 슬로우미스트는 이번 사건의 원인을 EthCrossChainData 계약의 키퍼가 EthCrossChainManager 계약으로 수정될 수 있고, EthCrossChainManager 계약의 verifyHeaderAndExecuteTx 기능이 변경될 수 있다고 지적했습니다. _에 의해 수정된 executeCrossChainTx 함수는 사용자가 전달한 데이터를 실행합니다.
개별 사례에서 벗어나 더 높은 수준의 매크로 트렌드를 탐색한다면 Poly Network 사례는 해커 커뮤니티가 새로운 크로스 체인 프로토콜 트랙에 집중했음을 다시 한 번 증명합니다.PeckShield의 통계에 따르면 8월 12일 기준 2021년 3분기 총 19건의 DeFi 보안 사고가 발생했으며, 이 중 크로스체인 관련 프로토콜이 6건 해킹당했습니다.Poly Network 외에도 ChainSwap, AnySwap, 토르체인 등 금액으로 따지면 폴리네트워크 사건을 포함하지 않더라도 금전적 손실 총액은 3280만 달러로 다른 모든 범주보다 높다.
그 이유는 Poly Network 사건의 해커가 전송의 추가 정보를 통해 공격 동기를 언급했기 때문입니다. 크로스 체인 공격이 매우 "뜨거운" 것이기 때문입니다!
주제를 더 확장하려면: 교차 체인 관련 프로토콜이 공격에 매우 취약한 이유는 무엇입니까? 교차 체인 브리지는 효율성과 보안의 균형을 어떻게 유지해야 합니까? 보안 상황이 점점 더 심각해짐에 따라 프로젝트 당사자와 사용자 등 다양한 역할이 주의해야 할 사항은 무엇입니까? 극한사고 발생 시 효과적인 보상수단은?
이러한 질문에 대한 답을 찾기 위해 Odaily는 PeckShield 및 BlockSec과 같은 잘 알려진 보안 회사를 인터뷰했습니다. DeFi 보안에 깊이 관여하는 전문가로서 그들은 어떤 답을 줄까요?
Q1
Odaily :교차 체인 관련 프로토콜이 자주 해킹되는 이유는 무엇입니까? 현재 기술 솔루션이 아직 성숙하지 않았기 때문입니까? 아니면 그러한 계약의 숨겨진 위험을 감지하기 어렵습니까?
PeckShield:교차 체인 프로토콜은 체인 간 정보 섬의 장벽을 허무는 신흥 분야이지만 여전히 시간의 테스트를 견뎌야 합니다. ChainSwap 프로토콜은 계약 자체의 허점으로 인해 공격을 받았고, AnySwap은 교차 체인 개인 키 관리 문제로 인해 공격을 받았으며, Poly Network는 계약 허점으로 인해 공격을 받았습니다. 이것은 계약 검사와 개인 키 관리 및 권한 부여의 보안에 더 많은 주의를 기울여야 한다는 모든 교차 체인 프로토콜에 대한 경고입니다.
BlockSec(인터뷰 대상자는 BlockSec의 공동 설립자이자 Zhejiang University의 사이버 공간 보안 대학 교수인 Zhou Yajin입니다):여러 가지 이유가 있다고 생각합니다. 첫 번째는 수익성이 있습니다. 크로스 체인 브리지에는 종종 많은 수의 디지털 자산이 있기 때문에 공격자의 눈에 가장 좋아하는 대상이 되었습니다. 두 번째는 교차 체인 브리지의 전체 프로세스가 상대적으로 복잡하고 여러 체인과 여러 계약 간의 상호 작용을 포함하며 이러한 보안 위험을 모니터링하려면 교차 체인 브리지에 대한 전반적인 보안 평가 및 분석이 필요합니다. 특정 모듈의 감사 및 분석은 전체 링크의 보안 위험을 완전히 커버할 수 없으며 몇 가지 새로운 보안 아이디어와 솔루션이 필요합니다.
Q2
Odaily :Poly Network의 경우 커뮤니티의 의구심의 주요 초점은 계약에 Keeper가 한 명뿐이냐는 것이었고, 나중에 그것이 부정확한 것으로 판명되었지만 효율성과 중앙화 사이의 균형은 여전히 고민할 가치가 있습니다. 크로스 체인 관련 서비스에서 크로스 체인 실행의 효율성이 높을수록 중앙 집중화된다는 의미입니까? 중앙 집중화와 불안정성은 동일합니까?
PeckShield:크로스 체인 프로토콜은 블록체인의 기본 기술을 기반으로 구축됩니다. 즉, 블록체인 기술의 특성을 가질 뿐만 아니라 기술 자체의 "불가능한 삼각형"을 수행합니다. 동시에 "탈중앙화", "보안", "트랜잭션 처리 성능" 이 세 가지 기능을 고려합니다.
BlockSec:원래 격리된 체인 간의 자산 이동은 기본적으로 중앙 집중식 교환을 통해 실현되었습니다.Cross-chain Hashimoto는 사이드 체인의 적용을 통해 교차 체인 자산의 분산 및 실행 효율성을 향상시키는 것입니다.절대적인 중앙 집중화를 포기하는 업계의 기술적 노력입니다.
교차 체인 실행의 효율성과 중앙 집중화 사이에는 인과 관계가 없으며 교차 체인 브리지의 중앙 집중화와 불안정성 사이에는 직접적인 관계가 없으며 중앙 집중화의 안전성은 주로 중앙 집중식 엔터티의 보안에 달려 있습니다. 나쁜 관점에서는 단일 지점 보안 위협이 있지만 좋은 관점에서는 중앙 엔터티의 보안이 높으면 보안이 보장될 수 있습니다.
일반적으로 말해서 여전히 프로젝트 당사자의 보안 방어 조치가 있는지 여부에 달려 있으며, 특히 보안 회사가 감사에 참여하는 경우 감사가 존재하는지 여부, 서비스 제공자가 초고권한 권한을 가지고 있는지 여부를 판단해야 합니다. 감사 없이 자금을 이체할 수 있는 권한) 및 Rug Pull Possibility를 수행할 수 있는 권한, 이러한 운영 권한 설정으로 인해 공급자의 개인 키를 도난당하거나 분실할 경우 대규모 자금의 불법 이체가 발생할 가능성이 있습니다.
Q3
Odaily :프로젝트의 연속적인 사고를 배경으로 프로젝트 당사자는 무엇을 해야 합니까? 위험을 피하기 위해 어떤 조치를 취할 수 있습니까?
PeckShield:점점 더 다양해지고 풍부해진 크로스체인 브리지 생태학은 거래와 자금의 양을 크게 증가시킬 것입니다. 예를 들어, Poly Network가 공격을 받기 전에는 크로스체인 자산 이전 규모가 100억 달러를 넘어섰고, 크로스체인 서비스를 사용하는 주소의 수가 22만 개를 넘어 해커들의 크로스체인 프로토콜에 대한 관심도 끌었습니다. 크로스 체인 브리지 자체는 해커가 자금을 탈출하는 중요한 링크이므로 해커의 대상이 되기도 합니다.
프로젝트 당사자는 알려진 허점을 효과적으로 식별하고 프로토콜 보안을 위한 1차 방어선을 구축할 수 있는 전문 기관을 찾아야 합니다.
둘째, 교차 계약 로직 호환성 허점을 피하기 위해 다른 DeFi 제품과 결합할 때 비즈니스 로직 허점을 해결하는 데에도 주의를 기울여야 합니다.
그런 다음 특정 위험 제어 융합 메커니즘을 설계하고 타사 보안 회사의 위협 인식 인텔리전스 및 데이터 상황 인텔리전스 서비스를 도입하여 DeFi 보안 사고 발생 시 보안 위험에 최대한 빨리 대응하고 확인 적시에 보안을 차단하고 추가 피해를 방지하기 위해 공격합니다.
마지막으로 업계의 모든 당사자가 연결되어 관련 가상화폐의 유통을 실시간으로 모니터링할 수 있는 포괄적인 자산 추적 메커니즘을 구축해야 합니다. 운영 및 유지 보수 보안.
BlockSec:
설계에 보안을 도입하는 것은 단순히 보안 감사가 아니라 일반적으로 설계에 의한 보안이라고 부르는 것입니다. 설계 단계에서 타사 보안 회사를 도입하여 보안 위험을 함께 평가해야 합니다.
장기적인 관점에서 볼 때 프로젝트 기술 코드의 오픈 소스는 알려지지 않은 위험을 해결하는 데에도 필요합니다.
체인의 상황을 지속적으로 모니터링하고 적시에 체인의 비정상적인 이벤트를 감지하여 손실이 확대되기 전에 적시에 차단할 수 있습니다.
Q4
Odaily :크로스 체인에 대한 수요는 항상 존재해 왔으며 점점 더 활발해질 수밖에 없습니다.사용자는 어떻게 해야 합니까? 안전하고 적합한 교차 체인 브리지를 선택하는 방법은 무엇입니까?
PeckShield:이러한 보안 사고가 발생할 때 가장 큰 손실은 종종 크로스체인 자금에 유동성을 제공하는 LP라는 점에 유의해야 합니다. 감사 , 감사 중이지만 아직 완료되지 않은 프로젝트를 포함합니다. 또한 교차 계약 계약의 경우 프로젝트 이해 관계자를 포함하여 초과 권한을 부여하지 말고 교차 체인 계약을 초과 권한 부여하지 마십시오.
Q5
Odaily :극한 안전사고 발생 시 효과적인 보상수단은?
PeckShield:극단적인 보안 사고가 발생하면 먼저 프로젝트 당사자와 관련 당사자가 공동으로 1차 대응을 시작하여 사고의 근본 원인을 추적하는 동시에 도난 자산의 순환을 추적하고 적시에 확인하여 보안 공격을 차단합니다. 더 많은 손실을 피하기 위해 관련 가상의 실시간 모니터링 통화의 순환을 위해 연계 중앙 집중식 조직은 도난 자산을 가로 채고 차단하고 가능한 한 일부 도난 자산을 복구합니다. 이벤트 후 완전한 보상 계획을 준비해야 합니다. 사용자 손실을 만회하거나 상대적으로 신뢰할 수 있는 보험 플랜을 설정해야 합니다.
BlockSec:
업스트림 및 다운스트림 산업 리소스와 협력하여 적시에 도난 자산의 흐름을 추적하고 특히 유동성의 대부분을 차지하는 교환 또는 스테이블 코인(자금 세탁) 측면에서 손실을 복구하여 도난 위험을 보다 효과적으로 차단할 수 있습니다. .
요약
요약
PeckShield 및 BlockSec의 답변은 교차 체인 관련 프로토콜이 직면한 현재 보안 문제를 대략적으로 보여주었습니다.
전반적으로 크로스체인 관련 프로토콜이 반복적인 공격에 취약한 이유는 크게 세 가지로 나눌 수 있는데, 첫째는 트랙의 급속한 발전과 함께 보유 자금도 빠르게 확대되고 있고, 둘째는 트랙이 단계, 다양한 세부 사항은 여전히 최적화되어야 하며, 셋째, 크로스 체인 관련 계약은 종종 여러 체인과 여러 계약 간의 상호 작용을 포함하고 프로세스가 상대적으로 복잡하며 많은 위험 지점이 있습니다.
일반 사용자(주로 크로스체인 브리지를 통해 수익을 얻는 유동성 공급자를 가리킴)의 경우 현재 직면한 상황은 작년 DeFi 초기와 다소 유사하며 이점과 위험을 저울질하는 데 더 신중해야 합니다. .보다 완전한 감사 상태와 장기간의 원활한 비즈니스 운영을 위한 계약을 우선합니다.
일선 프로젝트 당사자의 경우 한편으로는 과거 이벤트의 경험을 흡수하고 목표 방식으로 격차를 찾아 메울 필요가 있습니다. 방식, Lossless 등 파생 보안 솔루션 통합, Nexus Mutual 등 보험계약 협력 모색, cBridge 등 탐색비계약적 유동성 잠금 방식등……
마지막으로 ChainSwap, AnySwap, THORChain, Poly Network 등과 같이 영향을 받는 프로젝트를 포함하여 모든 관련 실무자에게 자신감을 잃지 않도록 호소하고 싶습니다. 다중 체인 구조가 점점 더 안정되고, 크로스 체인은 점점 더 번성할 것입니다. 해커들의 "호의"가 이 트랙의 가치를 증명했습니다. 이 걸림돌 때문에 여러분의 진행을 멈추지 않기를 바랍니다. .
