심층 분석: 교차 체인 브리지가 다시 이중 교차된 이유는 무엇입니까?

8월 2일 오전(베이징 시간) 크로스체인 솔루션 Nomad가 드디어 해킹을 당했고 예비 분석에 따르면 Nomad의 손실액은 약 1억 9천만 달러였습니다. 이번 도용의 근본 원인은 노매드가 스마트 컨트랙트를 정식으로 업그레이드할 때 오류가 발생했다는 점이다.

뿐만 아니라 컨트랙트 업그레이드에 추가된 시간 잠금으로 인해 노매드는 해커가 자산을 양도했을 때 제때 대응하지 못했고, 많은 사용자들에게 "강탈"되어 남은 자산을 많이 빼앗겼다.

교차 체인 브리지 공격은 실무자에게 새로운 것이 아닙니다.2021년 하반기부터 10건 이상의 사례가 발생했습니다.많은 자산을 운반하는 교차 체인 브리지의 특수 속성으로 인해 이러한 사건의 대부분은 심각한 피해를 입었습니다. 얼마 전인 6월 24일, Harmony가 개발한 자산 크로스체인 브릿지 Horizon이 공격을 받아 손실액도 1억 달러에 달했습니다. 지난해 폴리네트워크는 공격을 받아 한 번에 6억1000만 달러를 잃어 디파이 분야 사상 최대 규모의 해킹 사건이 됐다(해커가 대부분의 자산을 반환했다).

교차 체인 관련 프로토콜이 공격에 취약한 이유는 무엇입니까? 교차 체인 브리지는 효율성과 보안의 균형을 어떻게 유지해야 합니까? 보안 상황이 점점 더 심각해짐에 따라 프로젝트 당사자와 사용자 등 다양한 역할이 주의해야 할 사항은 무엇입니까? 극한사고 발생 시 효과적인 보상수단은?

보조 제목

Q1

Odaily: 교차 체인 관련 프로토콜이 자주 해킹되는 이유는 무엇입니까? 현재 기술 솔루션이 아직 성숙하지 않았기 때문입니까? 아니면 그러한 계약의 숨겨진 위험을 감지하기 어렵습니까?

PeckShield: 교차 체인 프로토콜은 체인 간 정보 섬의 장벽을 허무는 신흥 분야이지만 여전히 시간의 시험을 견뎌야 합니다. ChainSwap 프로토콜은 계약 자체의 허점으로 인해 공격을 받았고, AnySwap은 교차 체인 개인 키 관리 문제로 인해 공격을 받았으며, Poly Network는 계약 허점으로 인해 공격을 받았습니다. 이것은 계약 검사와 개인 키 관리 및 권한 부여의 보안에 더 많은 주의를 기울여야 한다는 모든 교차 체인 프로토콜에 대한 경고입니다.

BlockSec(인터뷰 대상자는 BlockSec의 공동 창립자이자 Zhejiang University의 사이버 공간 보안 학교 교수인 Zhou Yajin입니다): 여러 가지 이유가 있다고 생각합니다. 첫 번째는 수익성이 있습니다. 크로스 체인 브리지에는 종종 많은 수의 디지털 자산이 있기 때문에 공격자의 눈에 가장 좋아하는 대상이 되었습니다. 두 번째는 교차 체인 브리지의 전체 프로세스가 상대적으로 복잡하고 여러 체인과 여러 계약 간의 상호 작용을 포함하며 이러한 보안 위험을 모니터링하려면 교차 체인 브리지에 대한 전반적인 보안 평가 및 분석이 필요합니다. 특정 모듈의 감사 및 분석은 전체 링크의 보안 위험을 완전히 커버할 수 없으며 몇 가지 새로운 보안 아이디어와 솔루션이 필요합니다.

Q2

Odaily: Poly Network의 경우 커뮤니티 질문의 주요 포인트 중 하나는 계약에 Keeper가 한 명뿐인지 여부였습니다.이 진술이 정확하지 않다는 것이 입증되었지만 여전히 효율성과 중앙화 간의 균형은 가치가 있습니다 우리의 고려. 크로스 체인 관련 서비스에서 크로스 체인 실행의 효율성이 높을수록 중앙 집중화된다는 의미입니까? 중앙 집중화와 불안정성은 동일합니까?

PeckShield: 교차 체인 프로토콜은 블록체인의 기본 기술을 기반으로 구축되었습니다. 즉, 블록체인 기술의 특성을 가질 뿐만 아니라 기술 자체의 "불가능한 삼각형"을 수행합니다. 동시에 "탈 중앙화"를 고려 "맞춤화", "보안"및 "거래 처리 성능"의 세 가지 특성.

BlockSec: 원래 격리된 체인 간의 자산 이동은 기본적으로 중앙 집중식 교환을 통해 실현되었습니다. 절대적인 중앙화를 포기하려는 업계의 기술적 노력이기도 하다.

교차 체인 실행의 효율성과 중앙 집중화 사이에는 인과 관계가 없으며 교차 체인 브리지의 중앙 집중화와 불안정성 사이에는 직접적인 관계가 없으며 중앙 집중화의 안전성은 주로 중앙 집중식 엔터티의 보안에 달려 있습니다. 나쁜 관점에서는 단일 지점 보안 위협이 있지만 좋은 관점에서는 중앙 엔터티의 보안이 높으면 보안이 보장될 수 있습니다.

일반적으로 말해서 여전히 프로젝트 당사자의 보안 방어 조치가 있는지 여부에 달려 있으며, 특히 보안 회사가 감사에 참여하는 경우 감사가 존재하는지 여부, 서비스 제공자가 초고권한 권한을 가지고 있는지 여부를 판단해야 합니다. 감사 없이 자금을 이체할 수 있는 권한) 및 Rug Pull Possibility를 수행할 수 있는 권한, 이러한 운영 권한 설정으로 인해 공급자의 개인 키를 도난당하거나 분실할 경우 대규모 자금의 불법 이체가 발생할 가능성이 있습니다.

Q3

오데일리: 프로젝트에서 잇따른 사고를 배경으로 프로젝트 당사자는 어떻게 해야 할까요? 위험을 피하기 위해 어떤 조치를 취할 수 있습니까?

PeckShield: 점점 더 다양해지고 풍부해진 교차 체인 브리지 생태계는 거래 및 자금의 양을 크게 증가시킬 것입니다. 예를 들어, Poly Network가 공격을 받기 전에는 크로스체인 자산 이전 규모가 100억 달러를 넘어섰고, 크로스체인 서비스를 사용하는 주소의 수가 22만 개를 넘어 해커들의 크로스체인 프로토콜에 대한 관심도 끌었습니다. 크로스 체인 브리지 자체는 해커가 자금을 탈출하는 중요한 링크이므로 해커의 대상이 되기도 합니다.

프로젝트 당사자는 알려진 허점을 효과적으로 식별하고 프로토콜 보안을 위한 1차 방어선을 구축할 수 있는 전문 기관을 찾아야 합니다.

둘째, 교차 계약 로직 호환성 허점을 피하기 위해 다른 DeFi 제품과 결합할 때 비즈니스 로직 허점을 해결하는 데에도 주의를 기울여야 합니다.

그런 다음 특정 위험 제어 융합 메커니즘을 설계하고 타사 보안 회사의 위협 인식 인텔리전스 및 데이터 상황 인텔리전스 서비스를 도입하여 DeFi 보안 사고 발생 시 보안 위험에 최대한 빨리 대응하고 확인 적시에 보안을 차단하고 추가 피해를 방지하기 위해 공격합니다.

마지막으로 업계의 모든 당사자가 연결되어 관련 가상화폐의 유통을 실시간으로 모니터링할 수 있는 포괄적인 자산 추적 메커니즘을 구축해야 합니다. 운영 및 유지 보수 보안.

BlockSec：

설계에 보안을 도입하는 것은 단순히 보안 감사가 아니라 일반적으로 설계에 의한 보안이라고 부르는 것입니다. 설계 단계에서 타사 보안 회사를 도입하여 보안 위험을 함께 평가해야 합니다.

장기적인 관점에서 볼 때 프로젝트 기술 코드의 오픈 소스는 알려지지 않은 위험을 해결하는 데에도 필요합니다.

체인의 상황을 지속적으로 모니터링하고 적시에 체인의 비정상적인 이벤트를 감지하여 손실이 확대되기 전에 적시에 차단할 수 있습니다.

Q4

Odaily: 크로스 체인에 대한 수요는 항상 존재했고 점점 더 활발해질 것입니다.사용자는 어떻게 해야 합니까? 안전하고 적합한 교차 체인 브리지를 선택하는 방법은 무엇입니까?

PeckShield: 이러한 보안 사고가 발생할 때 가장 큰 손실은 종종 교차 체인 자본 유동성을 제공하는 LP라는 점을 설명해야 합니다.우리의 제안은 프로젝트 배경을 잘 수행하고 감사되지 않은 프로젝트에 자산을 쉽게 투자하지 않는 것입니다. 감사 중이지만 아직 완료되지 않은 프로젝트를 포함합니다. 또한 교차 계약 계약의 경우 프로젝트 이해 관계자를 포함하여 초과 권한을 부여하지 말고 교차 체인 계약을 초과 권한 부여하지 마십시오.

Q5

오데일리: 극단적인 보안 사고가 발생했을 때 효과적인 보상 수단은?

PeckShield: 극단적인 보안 사고가 발생하면 먼저 프로젝트 당사자와 관련 당사자가 공동으로 1차 대응을 시작하여 사고의 근본 원인을 추적하는 동시에 도난 자산의 순환을 추적하고 적시에 확인 및 차단합니다. 보안 공격 및 더 많은 손실 방지, 실시간 모니터링 가상 화폐의 유통과 관련하여 연계 중앙 조직은 도난 자산을 가로 채고 차단하고 가능한 한 일부 도난 자산을 복구합니다. 이벤트 후 완전한 보상 계획은 사용자의 손실을 만회할 준비를 하거나 상대적으로 신뢰할 수 있는 보험 계획을 세워야 합니다.

BlockSec：

업스트림 및 다운스트림 산업 리소스와 협력하여 적시에 도난 자산의 흐름을 추적하고 특히 유동성의 대부분을 차지하는 교환 또는 스테이블 코인(자금 세탁) 측면에서 손실을 복구하여 도난 위험을 보다 효과적으로 차단할 수 있습니다. .

요약

요약

PeckShield 및 BlockSec의 답변은 교차 체인 관련 프로토콜이 직면한 현재 보안 문제를 대략적으로 보여주었습니다.

전반적으로 크로스체인 관련 프로토콜이 반복적인 공격에 취약한 이유는 크게 세 가지로 나눌 수 있는데, 첫째는 트랙의 급속한 발전과 함께 보유 자금도 빠르게 확대되고 있고, 둘째는 트랙이 단계, 다양한 세부 사항은 여전히 ​​최적화되어야 하며, 셋째, 크로스 체인 관련 계약은 종종 여러 체인과 여러 계약 간의 상호 작용을 포함하고 프로세스가 상대적으로 복잡하며 많은 위험 지점이 있습니다.

일반 사용자(주로 크로스체인 브리지를 통해 수익을 얻는 유동성 공급자를 가리킴)의 경우 현재 직면한 상황은 작년 DeFi 초기와 다소 유사하며 이점과 위험을 저울질하는 데 더 신중해야 합니다. .보다 완전한 감사 상태와 장기간의 원활한 비즈니스 운영을 위한 계약을 우선합니다.

일선 프로젝트 당사자의 경우 한편으로는 과거 이벤트의 경험을 흡수하고 목표 방식으로 격차를 찾아 메울 필요가 있습니다. 방식, Lossless 등 파생 보안 솔루션 통합, Nexus Mutual 등 보험계약 협력 모색, cBridge 등 탐색비계약적 유동성 잠금 방식등……

마지막으로 모든 관련 실무자들에게 자신감을 잃지 마시기를 당부 드립니다. 신흥 트랙의 초기 단계에는 항상 고통이 따르기 마련입니다. and hackers are "favored" 이미 이 트랙의 가치를 증명했고, 이 걸림돌 때문에 여러분의 진행을 멈추지 않기를 바랍니다.