วิเคราะห์เชิงลึก: เหตุใดสะพานข้ามโซ่จึงกลับมาไขว้กันอีกครั้ง

ในเช้าวันที่ 2 สิงหาคม ตามเวลาปักกิ่ง ในที่สุด Nomad ซึ่งเป็นโซลูชันข้ามเชนก็ถูกแฮ็ก จากการวิเคราะห์เบื้องต้น Nomad สูญเสียไปประมาณ 190 ล้านดอลลาร์สหรัฐ สาเหตุหลักของการโจรกรรมครั้งนี้คือข้อผิดพลาดเกิดขึ้นเมื่อ Nomad อัปเกรดสัญญาอัจฉริยะอย่างเป็นทางการ

ไม่เพียงแค่นั้น เนื่องจากการเพิ่มการล็อกเวลาในการอัปเกรดสัญญา Nomad ล้มเหลวในการตอบสนองทันเวลาที่แฮ็กเกอร์โอนทรัพย์สิน และยังถูก "ปล้นโดยไฟ" โดยผู้ใช้จำนวนมาก ทำให้ทรัพย์สินที่เหลืออยู่จำนวนมากหายไป

การโจมตีสะพานข้ามโซ่ไม่ใช่เรื่องใหม่สำหรับผู้ปฏิบัติงาน ตั้งแต่ครึ่งหลังของปี 2564 มีมากกว่า 10 กรณี เนื่องจากคุณสมบัติพิเศษของสะพานข้ามโซ่ที่มีทรัพย์สินจำนวนมาก เหตุการณ์เหล่านี้ส่วนใหญ่ได้รับความเดือดร้อนอย่างหนัก ไม่นานมานี้ในเดือนมิถุนายน วันที่ 24 สะพานข้ามโซ่ Horizon ที่พัฒนาโดย Harmony ถูกโจมตีและการสูญเสียก็สูงถึง 100 ล้านดอลลาร์สหรัฐเช่นกัน ปีที่แล้ว Poly Network ถูกโจมตีและสูญเสียเงินไป 610 ล้านดอลลาร์สหรัฐในคราวเดียว ทำให้เป็นเหตุการณ์แฮ็กที่ใหญ่ที่สุดในประวัติศาสตร์ของฟิลด์ DeFi (แฮ็กเกอร์ได้คืนทรัพย์สินส่วนใหญ่ไปแล้ว)

เหตุใดโปรโตคอลที่เกี่ยวข้องกับการข้ามสายโซ่จึงเสี่ยงต่อการถูกโจมตี สะพานข้ามโซ่ควรสมดุลระหว่างประสิทธิภาพและความปลอดภัยอย่างไร? เมื่อสถานการณ์ด้านความปลอดภัยทวีความรุนแรงมากขึ้น บทบาทต่างๆ เช่น ฝ่ายโครงการและผู้ใช้ควรใส่ใจในเรื่องใด หากเกิดอุบัติเหตุรุนแรงมีวิธีชดเชยอย่างไรจึงจะได้ผล?

ชื่อเรื่องรอง

Q1

Odaily: เหตุใดโปรโตคอลที่เกี่ยวข้องกับการข้ามสายโซ่จึงถูกแฮ็กบ่อย เป็นเพราะโซลูชันทางเทคนิคในปัจจุบันยังไม่เต็มที่ใช่หรือไม่ หรืออันตรายที่ซ่อนอยู่ของสัญญาดังกล่าวยากที่จะตรวจจับ?

PeckShield: โปรโตคอลข้ามเชนเป็นฟิลด์ที่เกิดขึ้นใหม่ ซึ่งทำลายอุปสรรคของเกาะข้อมูลระหว่างเชน แต่ก็ยังต้องผ่านการทดสอบของเวลา โปรโตคอล ChainSwap ถูกโจมตีเนื่องจากช่องโหว่ในสัญญา ส่วน AnySwap ถูกโจมตีเนื่องจากปัญหาเกี่ยวกับการจัดการคีย์ส่วนตัวแบบข้ามสายโซ่ และ Poly Network ถูกโจมตีเนื่องจากช่องโหว่ของสัญญา นี่เป็นคำเตือนสำหรับโปรโตคอลข้ามสายโซ่ทั้งหมดว่าจำเป็นต้องให้ความสำคัญกับการตรวจสอบสัญญาและความปลอดภัยของการจัดการคีย์ส่วนตัวและการอนุญาต

BlockSec (ผู้ให้สัมภาษณ์คือ Zhou Yajin ผู้ร่วมก่อตั้ง BlockSec และอาจารย์ที่ School of Cyberspace Security of Zhejiang University): ฉันคิดว่ามีหลายสาเหตุ คนแรกมีกำไร เนื่องจากมีสินทรัพย์ดิจิทัลจำนวนมากในสะพานข้ามโซ่ จึงกลายเป็นที่ชื่นชอบในสายตาของผู้โจมตี ประการที่สองคือกระบวนการทั้งหมดของสะพานข้ามโซ่นั้นค่อนข้างซับซ้อน ซึ่งเกี่ยวข้องกับการโต้ตอบระหว่างหลายโซ่และหลายสัญญา และการตรวจสอบความเสี่ยงด้านความปลอดภัยเหล่านี้จำเป็นต้องมีการประเมินและวิเคราะห์ความปลอดภัยโดยรวมของสะพานข้ามโซ่ การตรวจสอบและวิเคราะห์โมดูลบางโมดูลไม่สามารถครอบคลุมความเสี่ยงด้านความปลอดภัยของลิงก์ทั้งหมดได้อย่างสมบูรณ์ และจำเป็นต้องมีแนวคิดและโซลูชันด้านความปลอดภัยใหม่ๆ

Q2

Odaily: ในกรณีของ Poly Network หนึ่งในประเด็นหลักที่ชุมชนตั้งคำถามคือมี Keeper เพียงคนเดียวในสัญญาหรือไม่ แม้ว่าจะได้รับการพิสูจน์แล้วว่าข้อความนี้ไม่ถูกต้อง แต่ความสมดุลระหว่างประสิทธิภาพและการรวมศูนย์ยังคงคู่ควร การพิจารณาของเรา ในบริการที่เกี่ยวข้องกับ cross-chain หมายความว่ายิ่งประสิทธิภาพของ cross-chain operation สูงเท่าไร ก็จะยิ่งรวมศูนย์มากขึ้นเท่านั้น การรวมศูนย์และความไม่มั่นคงถูกบรรจุไว้หรือไม่?

PeckShield: โปรโตคอล cross-chain สร้างขึ้นจากเทคโนโลยีพื้นฐานของ blockchain ซึ่งหมายความว่าจะไม่เพียงมีคุณลักษณะของเทคโนโลยี blockchain เท่านั้น แต่ยังมี "สามเหลี่ยมที่เป็นไปไม่ได้" ของตัวเทคโนโลยีด้วย กล่าวคือ มันไม่สามารถรับ คำนึงถึง "การกระจายอำนาจ" พร้อมกัน ลักษณะสามประการของ "การปรับแต่ง" "ความปลอดภัย" และ "ประสิทธิภาพการประมวลผลธุรกรรม"

BlockSec: เดิมที การถ่ายโอนสินทรัพย์ระหว่างเชนที่แยกได้นั้นรับรู้โดยพื้นฐานผ่านการแลกเปลี่ยนแบบรวมศูนย์ Cross-chain Hashimoto คือการปรับปรุงการกระจายอำนาจและประสิทธิภาพการดำเนินการของสินทรัพย์ข้ามเชนผ่านการประยุกต์ใช้ side chains เป็นความก้าวหน้าชนิดหนึ่งในแง่ของเทคโนโลยี นอกจากนี้ยังเป็นความพยายามทางเทคนิคของอุตสาหกรรมที่จะละทิ้งการรวมศูนย์อย่างแท้จริง

ไม่มีความสัมพันธ์เชิงสาเหตุเชิงตรรกะระหว่างประสิทธิภาพของการดำเนินการข้ามสายโซ่และการรวมศูนย์ และไม่มีความสัมพันธ์โดยตรงระหว่างการรวมศูนย์และความไม่ปลอดภัยของสะพานข้ามสาย ความปลอดภัยของการรวมศูนย์ขึ้นอยู่กับความปลอดภัยของหน่วยงานส่วนกลางเป็นหลัก จากมุมมองที่ไม่ดี มีภัยคุกคามความปลอดภัยจุดเดียว แต่จากมุมมองที่ดี ตราบใดที่ความปลอดภัยของหน่วยงานกลางสูง ก็สามารถรับประกันความปลอดภัยได้

โดยทั่วไปแล้ว ยังขึ้นอยู่กับว่ามีมาตรการป้องกันความปลอดภัยของฝ่ายโครงการหรือไม่ โดยเฉพาะอย่างยิ่งเมื่อบริษัทรักษาความปลอดภัยเข้าร่วมในการตรวจสอบ จำเป็นต้องตัดสินว่ามีการตรวจสอบหรือไม่ ผู้ให้บริการมีอำนาจสูงสุดหรือไม่ ( อำนาจในการโอนเงินโดยไม่มีการตรวจสอบ) และความสามารถในการดำเนินการ Rug Pull Possibility เนื่องจากการตั้งค่าการอนุญาตการดำเนินการดังกล่าว จึงมีแนวโน้มที่จะทำให้เกิดการโอนเงินจำนวนมากอย่างผิดกฎหมายเมื่อคีย์ส่วนตัวของซัพพลายเออร์ถูกขโมยหรือสูญหาย

Q3

Odaily: ภายใต้เบื้องหลังของอุบัติเหตุต่อเนื่องในโครงการ ฝ่ายโครงการควรทำอย่างไร? มาตรการใดที่สามารถหลีกเลี่ยงความเสี่ยงได้?

PeckShield: ระบบนิเวศของสะพานข้ามโซ่ที่หลากหลายและสมบูรณ์มากขึ้นจะนำไปสู่การเพิ่มจำนวนธุรกรรมและเงินทุนที่ดำเนินการเพิ่มขึ้นอย่างมาก ตัวอย่างเช่น ก่อนที่ Poly Network จะถูกโจมตี ขนาดของการโอนสินทรัพย์ข้ามสายโซ่เกินกว่า 10 พันล้านเหรียญสหรัฐ และจำนวนที่อยู่ที่ใช้บริการข้ามสายโซ่เกิน 220,000 ซึ่งดึงดูดความสนใจของแฮ็กเกอร์ต่อโปรโตคอลข้ามสาย สะพานข้ามโซ่เป็นตัวเชื่อมสำคัญสำหรับแฮ็กเกอร์ในการหลบหนีเงิน ดังนั้นมันจึงกลายเป็นเป้าหมายของแฮ็กเกอร์ด้วย

สำหรับฝ่ายโครงการ จำเป็นต้องแสวงหาสถาบันมืออาชีพเพื่อระบุช่องโหว่ที่ทราบอย่างมีประสิทธิภาพและสร้างแนวป้องกันแรกสำหรับความปลอดภัยของโปรโตคอล

ประการที่สอง เราต้องใส่ใจกับการแก้ปัญหาช่องโหว่ของตรรกะทางธุรกิจเมื่อรวมกับผลิตภัณฑ์ DeFi อื่นๆ เพื่อหลีกเลี่ยงช่องโหว่ความเข้ากันได้ของตรรกะข้ามสัญญา

จากนั้นจึงจำเป็นต้องออกแบบกลไกการหลอมรวมการควบคุมความเสี่ยงบางอย่างและแนะนำบริการข่าวกรองการรับรู้ภัยคุกคามและบริการข่าวกรองสถานการณ์ข้อมูลจากบริษัทรักษาความปลอดภัยภายนอกเมื่อเกิดเหตุการณ์ด้านความปลอดภัย DeFi จะสามารถตอบสนองต่อความเสี่ยงด้านความปลอดภัยโดยเร็วที่สุดและตรวจสอบ และสกัดกั้นการรักษาความปลอดภัยอย่างทันท่วงที โจมตี เพื่อหลีกเลี่ยงความเสียหายเพิ่มเติม

สุดท้าย ทุกฝ่ายในอุตสาหกรรมควรเชื่อมโยงกันเพื่อสร้างกลไกการติดตามสินทรัพย์ที่ครอบคลุมเพื่อตรวจสอบการหมุนเวียนของสกุลเงินเสมือนที่เกี่ยวข้องแบบเรียลไทม์ ความปลอดภัยในการดำเนินงานและการบำรุงรักษา

BlockSec：

การแนะนำการรักษาความปลอดภัยในการออกแบบคือสิ่งที่เรามักเรียกว่าการรักษาความปลอดภัยโดยการออกแบบ ไม่ใช่แค่การตรวจสอบความปลอดภัยเท่านั้น ควรแนะนำบริษัทรักษาความปลอดภัยบุคคลที่สามในขั้นตอนการออกแบบเพื่อประเมินความเสี่ยงด้านความปลอดภัยร่วมกัน

จากมุมมองระยะยาว โอเพ่นซอร์สของรหัสทางเทคนิคของโครงการยังเป็นสิ่งจำเป็นในการแก้ไขความเสี่ยงที่ไม่รู้จัก

ติดตามสถานการณ์บนห่วงโซ่อย่างต่อเนื่องและสามารถรับรู้ถึงเหตุการณ์ผิดปกติบนห่วงโซ่ได้อย่างทันท่วงทีเพื่อสกัดกั้นเหตุการณ์เหล่านั้นได้ทันท่วงทีก่อนที่ความสูญเสียจะขยายวงกว้างออกไป

Q4

Odaily: ความต้องการ cross-chain นั้นมีอยู่เสมอ และมันจะต้องแข็งแกร่งมากขึ้นเรื่อยๆ สำหรับผู้ใช้ พวกเขาควรทำอย่างไร? จะเลือกสะพานข้ามแยกอย่างไรให้ปลอดภัยและเหมาะสม?

PeckShield: จำเป็นต้องอธิบายว่าเมื่อเกิดเหตุการณ์ด้านความปลอดภัยดังกล่าว การสูญเสียที่ใหญ่ที่สุดมักจะเป็น LPs ที่ให้สภาพคล่องของเงินทุนข้ามเชน คำแนะนำของเราคือการทำงานที่ดีของพื้นหลังโครงการ และอย่าลงทุนสินทรัพย์อย่างง่ายดายในโครงการที่ไม่ผ่านการตรวจสอบ รวมถึงโครงการที่อยู่ระหว่างการตรวจสอบแต่ยังไม่แล้วเสร็จ นอกจากนี้ สำหรับข้อตกลงข้ามสัญญา ห้ามให้สิทธิ์มากเกินไป รวมถึงผู้มีส่วนได้เสียในโครงการ และอย่าให้สิทธิ์มากเกินไปสำหรับข้อตกลงข้ามสาย

Q5

Odaily: เมื่อเกิดเหตุการณ์ด้านความปลอดภัยขั้นรุนแรง วิธีการชดเชยที่มีประสิทธิภาพคืออะไร?

PeckShield: เมื่อเกิดเหตุการณ์ด้านความปลอดภัยขั้นรุนแรง ขั้นแรก ฝ่ายโครงการและผู้เกี่ยวข้องจะร่วมกันเริ่มต้นการตอบสนองระดับแรกเพื่อติดตามต้นตอของเหตุการณ์ และในขณะเดียวกันก็ติดตามการไหลเวียนของทรัพย์สินที่ถูกขโมย ตรวจสอบและบล็อกอย่างทันท่วงที การโจมตีด้านความปลอดภัยและหลีกเลี่ยงการสูญเสียที่มากขึ้น การตรวจสอบตามเวลาจริง เกี่ยวกับการไหลเวียนของสกุลเงินเสมือน องค์กรส่วนกลางที่เชื่อมโยงจะสกัดกั้นและบล็อกทรัพย์สินที่ถูกขโมย และกู้คืนทรัพย์สินบางส่วนที่ถูกขโมยให้มากที่สุด หลังจากเหตุการณ์ แผนการชดเชยที่สมบูรณ์ควรเป็น เตรียมพร้อมเพื่อชดเชยการสูญเสียของผู้ใช้ หรือ ควรมีแผนประกันที่ค่อนข้างน่าเชื่อถือ

BlockSec：

ร่วมมือกับทรัพยากรในอุตสาหกรรมต้นน้ำและปลายน้ำเพื่อติดตามการไหลของสินทรัพย์ที่ถูกขโมยในเวลาที่เหมาะสมและกู้คืนความเสียหาย โดยเฉพาะอย่างยิ่งในแง่ของการแลกเปลี่ยนหรือ Stablecoins (การฟอกเงิน) ที่ครอบครองสภาพคล่องส่วนใหญ่ ซึ่งสามารถป้องกันความเสี่ยงของเงินที่ถูกขโมยได้อย่างมีประสิทธิภาพมากขึ้น .

สรุป

สรุป

คำตอบจาก PeckShield และ BlockSec เปิดเผยคร่าวๆ ถึงความท้าทายด้านความปลอดภัยในปัจจุบันที่ต้องเผชิญกับโปรโตคอลที่เกี่ยวข้องกับการข้ามเครือข่าย

โดยรวมแล้ว สาเหตุที่โปรโตคอลที่เกี่ยวข้องกับ cross-chain มีแนวโน้มที่จะถูกโจมตีซ้ำสามารถแบ่งออกได้เป็น 3 เหตุผลด้วยกัน ประการแรก ด้วยการพัฒนาอย่างรวดเร็วของ track จำนวนเงินทุนที่ดำเนินการก็ขยายตัวอย่างรวดเร็วเช่นกัน ประการที่สอง track ยังคงเกิดขึ้น ขั้น รายละเอียดต่าง ๆ ยังคงต้องได้รับการปรับปรุง ประการที่สาม ข้อตกลงที่เกี่ยวข้องกับข้ามโซ่มักจะเกี่ยวข้องกับปฏิสัมพันธ์ระหว่างหลายห่วงโซ่และหลายสัญญา กระบวนการค่อนข้างซับซ้อนและมีจุดเสี่ยงมากมาย

สำหรับผู้ใช้ทั่วไป (ส่วนใหญ่หมายถึงผู้ให้บริการสภาพคล่องที่ได้รับรายได้ผ่านสะพานข้ามโซ่) สถานการณ์ที่พวกเขาเผชิญอยู่ตอนนี้ค่อนข้างคล้ายกับเมื่อเริ่มต้น DeFi ปีที่แล้ว และพวกเขาจำเป็นต้องระมัดระวังมากขึ้นในการชั่งน้ำหนักผลประโยชน์และความเสี่ยง ให้ความสำคัญกับข้อตกลงที่มีสถานะการตรวจสอบที่สมบูรณ์มากขึ้นและการดำเนินธุรกิจที่ราบรื่นเป็นระยะเวลานานขึ้น

สำหรับฝ่ายโครงการระดับแนวหน้า ในด้านหนึ่ง จำเป็นต้องซึมซับประสบการณ์ของเหตุการณ์ที่ผ่านมา และค้นหาและเติมช่องว่างในลักษณะที่เป็นเป้าหมาย ติดตามการอัปเกรดและการเปลี่ยนแปลงของห่วงโซ่สาธารณะที่เกี่ยวข้องอย่างทันท่วงที รวมโซลูชันการรักษาความปลอดภัยอนุพันธ์เช่น Lossless ขอความร่วมมือกับข้อตกลงการประกันเช่น Nexus Mutual และสำรวจเช่น cBridgeวิธีการล็อคสภาพคล่องแบบไม่ผูกมัดฯลฯ……

สุดท้ายนี้ เราขอวิงวอนให้ผู้ปฏิบัติงานที่เกี่ยวข้องทุกคนอย่าสูญเสียความมั่นใจ ระยะเริ่มต้นของเส้นทางที่เกิดขึ้นใหม่มักจะมาพร้อมกับความเจ็บปวด เมื่อโครงสร้างแบบหลายห่วงโซ่มีเสถียรภาพมากขึ้น ห่วงโซ่ข้ามก็จะมั่งคั่งมากขึ้น และแฮ็กเกอร์เป็น "ที่ชื่นชอบ" ซึ่งได้พิสูจน์คุณค่าของเส้นทางนี้แล้ว และฉันหวังว่าคุณจะไม่หยุดความก้าวหน้าของคุณเพราะสิ่งกีดขวางนี้