คุยกับบริษัท รปภ.ชั้นนำ ทำไมคนเจ็บถึงขึ้นสะพานข้ามแยกเสมอ?

ในตอนเย็นของวันที่ 10 สิงหาคม Poly Network ซึ่งเป็นโครงการการทำงานร่วมกันข้ามสายโซ่ถูกแฮ็กเกอร์โจมตีอย่างกะทันหัน ทำให้สูญเสียเงินไป 610 ล้านดอลลาร์สหรัฐ หากคำนวณตามราคาตลาดของสินทรัพย์ที่เกี่ยวข้อง ณ เวลาที่เกิดเหตุการณ์ นี่ไม่ใช่แค่เหตุการณ์การแฮ็กที่เกี่ยวข้องกับจำนวนเงินมากที่สุดในประวัติศาสตร์ของ DeFi เท่านั้น แต่ยังเป็นเหตุการณ์การแฮ็กที่เกี่ยวข้องกับจำนวนเงินที่มากที่สุดในประวัติศาสตร์ทั้งหมดด้วย ของสกุลเงินดิจิทัล

แม้จะมีความพยายามอย่างต่อเนื่องของทุกฝ่าย ในที่สุดแฮ็กเกอร์ก็เลือกที่จะคืนเงินที่ถูกขโมยไปทั้งหมด 610 ล้านดอลลาร์สหรัฐ แต่ในฐานะคดีที่น่าตกใจซึ่งถูกกำหนดให้บันทึกไว้ในประวัติศาสตร์ของ cryptocurrency เราจะตรวจสอบและแยกแยะเหตุการณ์ที่เกิดขึ้นเอง และแนวโน้มที่เกี่ยวข้องยังคงมีนัยสำคัญเตือนมากขึ้น

วิธีโจมตีของแฮ็กเกอร์ได้รับการวิเคราะห์โดยพื้นฐานแล้ว SlowMist ชี้ให้เห็นว่าสาเหตุของเหตุการณ์นี้คือการรักษาสัญญา EthCrossChainData สามารถแก้ไขได้โดยสัญญา EthCrossChainManager และฟังก์ชันการ แก้ไขโดย _ ฟังก์ชัน executeCrossChainTx เรียกใช้ข้อมูลที่ผู้ใช้ส่งผ่าน

หากคุณข้ามจากกรณีแต่ละกรณีและสำรวจแนวโน้มมาโครในระดับที่สูงขึ้น กรณีของ Poly Network จะพิสูจน์ให้เห็นอีกครั้งว่าชุมชนแฮ็กเกอร์ได้มุ่งเน้นไปที่เส้นทางใหม่ของโปรโตคอลข้ามสายโซ่จากสถิติของ PeckShield ณ วันที่ 12 สิงหาคม เหตุการณ์ด้านความปลอดภัย DeFi ทั้งหมด 19 ครั้งเกิดขึ้นในไตรมาสที่สามของปี 2021 ซึ่งโปรโตคอลที่เกี่ยวข้องกับการข้ามสายโซ่ถูกแฮ็กถึง 6 ครั้ง นอกจาก Poly Network แล้ว ยังมี ChainSwap, AnySwap, ธอร์เชน ฯลฯ ในแง่ของจำนวนเงินแม้ว่าจะไม่นับรวมเหตุการณ์ Poly Network ความเสียหายทางการเงินทั้งหมดสูงถึง 32.8 ล้านเหรียญสหรัฐซึ่งสูงกว่าหมวดอื่น ๆ ทั้งหมด

เหตุผลก็คือแฮ็กเกอร์ของเหตุการณ์ Poly Network กล่าวถึงแรงจูงใจของการโจมตีผ่านข้อมูลเพิ่มเติมของการถ่ายโอน - เนื่องจากการโจมตีข้ามเครือข่ายนั้น "ร้อนแรง" มาก!

หากต้องการขยายหัวข้อเพิ่มเติม: เหตุใดโปรโตคอลที่เกี่ยวข้องกับการข้ามสายโซ่จึงเสี่ยงต่อการถูกโจมตี สะพานข้ามโซ่ควรสมดุลระหว่างประสิทธิภาพและความปลอดภัยอย่างไร? เมื่อสถานการณ์ด้านความปลอดภัยทวีความรุนแรงมากขึ้น บทบาทต่างๆ เช่น ฝ่ายโครงการและผู้ใช้ควรใส่ใจในเรื่องใด หากเกิดอุบัติเหตุรุนแรงมีวิธีชดเชยอย่างไรจึงจะได้ผล?

เพื่อหาคำตอบสำหรับคำถามเหล่านี้ Odaily ได้สัมภาษณ์บริษัทรักษาความปลอดภัยที่มีชื่อเสียง เช่น PeckShield และ BlockSec ในฐานะมืออาชีพที่มีส่วนร่วมอย่างลึกซึ้งในการรักษาความปลอดภัย DeFi พวกเขาจะให้คำตอบแบบไหน?

Q1

Odaily ：เหตุใดโปรโตคอลที่เกี่ยวข้องกับ cross-chain จึงถูกแฮ็กบ่อย เป็นเพราะโซลูชันทางเทคนิคในปัจจุบันยังไม่เต็มที่ใช่หรือไม่ หรืออันตรายที่ซ่อนอยู่ของสัญญาดังกล่าวยากที่จะตรวจจับ?

PeckShield：โปรโตคอลข้ามสายเป็นฟิลด์ที่เกิดขึ้นใหม่ซึ่งทำลายอุปสรรคของเกาะข้อมูลระหว่างโซ่ แต่ก็ยังต้องผ่านการทดสอบของเวลา โปรโตคอล ChainSwap ถูกโจมตีเนื่องจากช่องโหว่ในสัญญา ส่วน AnySwap ถูกโจมตีเนื่องจากปัญหาเกี่ยวกับการจัดการคีย์ส่วนตัวแบบข้ามสายโซ่ และ Poly Network ถูกโจมตีเนื่องจากช่องโหว่ของสัญญา นี่เป็นคำเตือนสำหรับโปรโตคอลข้ามสายโซ่ทั้งหมดว่าจำเป็นต้องให้ความสำคัญกับการตรวจสอบสัญญาและความปลอดภัยของการจัดการคีย์ส่วนตัวและการอนุญาต

BlockSec (ผู้ให้สัมภาษณ์คือ Zhou Yajin ผู้ร่วมก่อตั้ง BlockSec และเป็นศาสตราจารย์ที่ School of Cyberspace Security, Zhejiang University):ฉันคิดว่ามีหลายสาเหตุ คนแรกมีกำไร เนื่องจากมีสินทรัพย์ดิจิทัลจำนวนมากในสะพานข้ามโซ่ จึงกลายเป็นที่ชื่นชอบในสายตาของผู้โจมตี ประการที่สองคือกระบวนการทั้งหมดของสะพานข้ามโซ่นั้นค่อนข้างซับซ้อน ซึ่งเกี่ยวข้องกับการโต้ตอบระหว่างหลายโซ่และหลายสัญญา และการตรวจสอบความเสี่ยงด้านความปลอดภัยเหล่านี้จำเป็นต้องมีการประเมินและวิเคราะห์ความปลอดภัยโดยรวมของสะพานข้ามโซ่ การตรวจสอบและวิเคราะห์โมดูลบางโมดูลไม่สามารถครอบคลุมความเสี่ยงด้านความปลอดภัยของลิงก์ทั้งหมดได้อย่างสมบูรณ์ และจำเป็นต้องมีแนวคิดและโซลูชันด้านความปลอดภัยใหม่ๆ

Q2

Odaily ：ในกรณีของ Poly Network จุดสนใจหลักของข้อสงสัยของชุมชนคือมี Keeper เพียงคนเดียวในสัญญาหรือไม่ แม้ว่าภายหลัง จะได้รับการพิสูจน์ว่าไม่ถูกต้อง แต่ความสมดุล ระหว่างประสิทธิภาพและการรวมศูนย์ยังคงคุ้มค่าที่จะพิจารณา ในบริการที่เกี่ยวข้องกับ cross-chain หมายความว่ายิ่งประสิทธิภาพของ cross-chain operation สูงเท่าไร ก็จะยิ่งรวมศูนย์มากขึ้นเท่านั้น การรวมศูนย์และความไม่มั่นคงถูกบรรจุไว้หรือไม่?

PeckShield：โปรโตคอล cross-chain สร้างขึ้นจากเทคโนโลยีพื้นฐานของ blockchain ซึ่งหมายความว่าจะไม่เพียง แต่มีลักษณะเฉพาะของเทคโนโลยี blockchain เท่านั้น แต่ยังมี "สามเหลี่ยมที่เป็นไปไม่ได้" ของเทคโนโลยีด้วย นั่นคือ ไม่สามารถใช้ ในบัญชี "การกระจายอำนาจ" ในเวลาเดียวกัน , "ความปลอดภัย", "ประสิทธิภาพการประมวลผลธุรกรรม" คุณสมบัติทั้งสามนี้

BlockSec：เดิมที การถ่ายโอนสินทรัพย์ระหว่างเชนที่แยกได้โดยทั่วไปรับรู้ผ่านการแลกเปลี่ยนแบบรวมศูนย์ Cross-chain Hashimoto คือการปรับปรุงการกระจายอำนาจและประสิทธิภาพการดำเนินการของสินทรัพย์ข้ามเชนผ่านการประยุกต์ใช้ side chains ความพยายามทางเทคนิคของอุตสาหกรรมที่จะละทิ้งการรวมศูนย์แบบสัมบูรณ์

ไม่มีความสัมพันธ์เชิงสาเหตุเชิงตรรกะระหว่างประสิทธิภาพของการดำเนินการข้ามสายโซ่และการรวมศูนย์ และไม่มีความสัมพันธ์โดยตรงระหว่างการรวมศูนย์และความไม่ปลอดภัยของสะพานข้ามสาย ความปลอดภัยของการรวมศูนย์ขึ้นอยู่กับความปลอดภัยของหน่วยงานส่วนกลางเป็นหลัก จากมุมมองที่ไม่ดี มีภัยคุกคามความปลอดภัยจุดเดียว แต่จากมุมมองที่ดี ตราบใดที่ความปลอดภัยของหน่วยงานกลางสูง ก็สามารถรับประกันความปลอดภัยได้

โดยทั่วไปแล้ว ยังขึ้นอยู่กับว่ามีมาตรการป้องกันความปลอดภัยของฝ่ายโครงการหรือไม่ โดยเฉพาะอย่างยิ่งเมื่อบริษัทรักษาความปลอดภัยเข้าร่วมในการตรวจสอบ จำเป็นต้องตัดสินว่ามีการตรวจสอบหรือไม่ ผู้ให้บริการมีอำนาจสูงสุดหรือไม่ ( อำนาจในการโอนเงินโดยไม่มีการตรวจสอบ) และความสามารถในการดำเนินการ Rug Pull Possibility เนื่องจากการตั้งค่าการอนุญาตการดำเนินการดังกล่าว จึงมีแนวโน้มที่จะทำให้เกิดการโอนเงินจำนวนมากอย่างผิดกฎหมายเมื่อคีย์ส่วนตัวของซัพพลายเออร์ถูกขโมยหรือสูญหาย

Q3

Odaily ：ภายใต้เบื้องหลังของอุบัติเหตุต่อเนื่องในโครงการ ฝ่ายโครงการควรทำอย่างไร? มาตรการใดที่สามารถหลีกเลี่ยงความเสี่ยงได้?

PeckShield：ระบบนิเวศสะพานข้ามโซ่ที่หลากหลายและสมบูรณ์มากขึ้นจะนำไปสู่การเพิ่มขึ้นอย่างมากของปริมาณธุรกรรมและเงินทุนที่ดำเนินการ ตัวอย่างเช่น ก่อนที่ Poly Network จะถูกโจมตี ขนาดของการโอนสินทรัพย์ข้ามสายโซ่เกินกว่า 10 พันล้านเหรียญสหรัฐ และจำนวนที่อยู่ที่ใช้บริการข้ามสายโซ่เกิน 220,000 ซึ่งดึงดูดความสนใจของแฮ็กเกอร์ต่อโปรโตคอลข้ามสาย สะพานข้ามโซ่เป็นตัวเชื่อมสำคัญสำหรับแฮ็กเกอร์ในการหลบหนีเงิน ดังนั้นมันจึงกลายเป็นเป้าหมายของแฮ็กเกอร์ด้วย

1. สำหรับฝ่ายโครงการ จำเป็นต้องแสวงหาสถาบันมืออาชีพเพื่อระบุช่องโหว่ที่ทราบอย่างมีประสิทธิภาพและสร้างแนวป้องกันแรกสำหรับความปลอดภัยของโปรโตคอล

2. ประการที่สอง เราต้องใส่ใจกับการแก้ปัญหาช่องโหว่ของตรรกะทางธุรกิจเมื่อรวมกับผลิตภัณฑ์ DeFi อื่นๆ เพื่อหลีกเลี่ยงช่องโหว่ความเข้ากันได้ของตรรกะข้ามสัญญา

3. จากนั้นจึงจำเป็นต้องออกแบบกลไกการหลอมรวมการควบคุมความเสี่ยงบางอย่างและแนะนำบริการข่าวกรองการรับรู้ภัยคุกคามและบริการข่าวกรองสถานการณ์ข้อมูลจากบริษัทรักษาความปลอดภัยภายนอกเมื่อเกิดเหตุการณ์ด้านความปลอดภัย DeFi จะสามารถตอบสนองต่อความเสี่ยงด้านความปลอดภัยโดยเร็วที่สุดและตรวจสอบ และสกัดกั้นการรักษาความปลอดภัยอย่างทันท่วงที โจมตี เพื่อหลีกเลี่ยงความเสียหายเพิ่มเติม

4. สุดท้าย ทุกฝ่ายในอุตสาหกรรมควรเชื่อมโยงกันเพื่อสร้างกลไกการติดตามสินทรัพย์ที่ครอบคลุมเพื่อตรวจสอบการหมุนเวียนของสกุลเงินเสมือนที่เกี่ยวข้องแบบเรียลไทม์ ความปลอดภัยในการดำเนินงานและการบำรุงรักษา

BlockSec：

1. การแนะนำการรักษาความปลอดภัยในการออกแบบคือสิ่งที่เรามักเรียกว่าการรักษาความปลอดภัยโดยการออกแบบ ไม่ใช่แค่การตรวจสอบความปลอดภัยเท่านั้น ควรแนะนำบริษัทรักษาความปลอดภัยบุคคลที่สามในขั้นตอนการออกแบบเพื่อประเมินความเสี่ยงด้านความปลอดภัยร่วมกัน

2. จากมุมมองระยะยาว โอเพ่นซอร์สของรหัสทางเทคนิคของโครงการยังเป็นสิ่งจำเป็นในการแก้ไขความเสี่ยงที่ไม่รู้จัก

3. ติดตามสถานการณ์บนห่วงโซ่อย่างต่อเนื่องและสามารถรับรู้ถึงเหตุการณ์ผิดปกติบนห่วงโซ่ได้อย่างทันท่วงทีเพื่อสกัดกั้นเหตุการณ์เหล่านั้นได้ทันท่วงทีก่อนที่ความสูญเสียจะขยายวงกว้างออกไป

Q4

Odaily ：ความต้องการสำหรับ cross-chain นั้นมีอยู่เสมอและมันจะต้องแข็งแกร่งขึ้นเรื่อย ๆ สำหรับผู้ใช้ พวกเขาควรทำอย่างไร? จะเลือกสะพานข้ามแยกอย่างไรให้ปลอดภัยและเหมาะสม?

PeckShield：ควรสังเกตว่าเมื่อเหตุการณ์ด้านความปลอดภัยเกิดขึ้นการสูญเสียที่ใหญ่ที่สุดมักจะเป็น LPs ที่ให้สภาพคล่องสำหรับกองทุนข้ามเครือข่าย คำแนะนำของเรา คือ การติดตามย้อนกลับโครงการที่ดีและไม่ลงทุนสินทรัพย์ในโครงการที่ยังไม่ผ่าน ตรวจสอบแล้ว รวมถึงโครงการที่อยู่ระหว่างการตรวจสอบแต่ยังไม่แล้วเสร็จ นอกจากนี้ สำหรับข้อตกลงข้ามสัญญา ห้ามให้สิทธิ์มากเกินไป รวมถึงผู้มีส่วนได้เสียในโครงการ และอย่าให้สิทธิ์มากเกินไปสำหรับข้อตกลงข้ามสาย

Q5

Odaily ：เมื่อเกิดอุบัติเหตุด้านความปลอดภัยขั้นรุนแรง วิธีการชดเชยที่มีประสิทธิภาพคืออะไร?

PeckShield：เมื่อเกิดเหตุการณ์ด้านความปลอดภัยขั้นรุนแรง ขั้นแรก ฝ่ายโครงการและผู้ที่เกี่ยวข้องจะร่วมกันเริ่มต้นการตอบสนองระดับแรกเพื่อติดตามต้นตอของเหตุการณ์ และในขณะเดียวกันก็ติดตามการไหลเวียนของทรัพย์สินที่ถูกขโมย ตรวจสอบและบล็อกการโจมตีด้านความปลอดภัยอย่างทันท่วงที เพื่อหลีกเลี่ยงการสูญเสียมากขึ้น การตรวจสอบตามเวลาจริงของเสมือนที่เกี่ยวข้อง สำหรับการไหลเวียนของสกุลเงิน องค์กรส่วนกลางที่เชื่อมโยงจะสกัดกั้นและบล็อกทรัพย์สินที่ถูกขโมย และกู้คืนทรัพย์สินบางส่วนที่ถูกขโมยให้มากที่สุด หลังจากเหตุการณ์ ควรเตรียมแผนการชดเชยที่สมบูรณ์ เพื่อชดเชยการสูญเสียของผู้ใช้ หรือ ควรจัดทำแผนประกันที่ค่อนข้างน่าเชื่อถือ

BlockSec：

1. ร่วมมือกับทรัพยากรในอุตสาหกรรมต้นน้ำและปลายน้ำเพื่อติดตามการไหลของสินทรัพย์ที่ถูกขโมยในเวลาที่เหมาะสมและกู้คืนความเสียหาย โดยเฉพาะอย่างยิ่งในแง่ของการแลกเปลี่ยนหรือ Stablecoins (การฟอกเงิน) ที่ครอบครองสภาพคล่องส่วนใหญ่ ซึ่งสามารถป้องกันความเสี่ยงของเงินที่ถูกขโมยได้อย่างมีประสิทธิภาพมากขึ้น .

2. สรุป

สรุป

คำตอบจาก PeckShield และ BlockSec เปิดเผยคร่าวๆ ถึงความท้าทายด้านความปลอดภัยในปัจจุบันที่ต้องเผชิญกับโปรโตคอลที่เกี่ยวข้องกับการข้ามเครือข่าย

โดยรวมแล้ว สาเหตุที่โปรโตคอลที่เกี่ยวข้องกับ cross-chain มีแนวโน้มที่จะถูกโจมตีซ้ำสามารถแบ่งออกได้เป็น 3 เหตุผลด้วยกัน ประการแรก ด้วยการพัฒนาอย่างรวดเร็วของ track จำนวนเงินทุนที่ดำเนินการก็ขยายตัวอย่างรวดเร็วเช่นกัน ประการที่สอง track ยังคงเกิดขึ้น ขั้น รายละเอียดต่าง ๆ ยังคงต้องได้รับการปรับปรุง ประการที่สาม ข้อตกลงที่เกี่ยวข้องกับข้ามโซ่มักจะเกี่ยวข้องกับปฏิสัมพันธ์ระหว่างหลายห่วงโซ่และหลายสัญญา กระบวนการค่อนข้างซับซ้อนและมีจุดเสี่ยงมากมาย

สำหรับผู้ใช้ทั่วไป (ส่วนใหญ่หมายถึงผู้ให้บริการสภาพคล่องที่ได้รับรายได้ผ่านสะพานข้ามโซ่) สถานการณ์ที่พวกเขาเผชิญอยู่ตอนนี้ค่อนข้างคล้ายกับเมื่อเริ่มต้น DeFi ปีที่แล้ว และพวกเขาจำเป็นต้องระมัดระวังมากขึ้นในการชั่งน้ำหนักผลประโยชน์และความเสี่ยง ให้ความสำคัญกับข้อตกลงที่มีสถานะการตรวจสอบที่สมบูรณ์มากขึ้นและการดำเนินธุรกิจที่ราบรื่นเป็นระยะเวลานานขึ้น

สำหรับฝ่ายโครงการระดับแนวหน้า ในด้านหนึ่ง จำเป็นต้องซึมซับประสบการณ์ของเหตุการณ์ที่ผ่านมา และค้นหาและเติมช่องว่างในลักษณะที่เป็นเป้าหมาย ติดตามการอัปเกรดและการเปลี่ยนแปลงของห่วงโซ่สาธารณะที่เกี่ยวข้องอย่างทันท่วงที รวมโซลูชันการรักษาความปลอดภัยอนุพันธ์เช่น Lossless ขอความร่วมมือกับข้อตกลงการประกันเช่น Nexus Mutual และสำรวจเช่น cBridgeวิธีการล็อคสภาพคล่องแบบไม่ผูกมัดฯลฯ……

สุดท้ายนี้ เราขอวิงวอนให้ผู้ปฏิบัติงานที่เกี่ยวข้องทั้งหมดรวมถึงโครงการที่ได้รับผลกระทบ เช่น ChainSwap, AnySwap, THORChain, Poly Network เป็นต้น อย่าเสียความมั่นใจ ช่วงแรกของ Track ที่เกิดขึ้นใหม่จะมาพร้อมกับความเจ็บปวดเสมอ โครงสร้างแบบหลายห่วงโซ่มีเสถียรภาพมากขึ้นเรื่อย ๆ Cross-chain มีความเจริญรุ่งเรืองมากขึ้นเรื่อย ๆ "ความโปรดปราน" ของแฮ็กเกอร์ได้พิสูจน์คุณค่าของเส้นทางนี้ ฉันหวังว่าคุณจะไม่หยุดความก้าวหน้าของคุณเพราะสิ่งกีดขวางนี้ .