BTC
ETH
HTX
SOL
BNB
Xem thị trường
简中
繁中
English
日本語
한국어
ภาษาไทย
Tiếng Việt
Trang chủ
Tin nhanh
Phân tích sâu
Bài viết
Tin nóng
Chuyên đề
Hoạt động
Quan điểm
Công cụ
Tải Xuống
Cài đặt
API
Theme Switch
Đăng nhập

Nói chuyện với công ty bảo vệ hàng đầu, tại sao những người bị thương luôn xuyên qua cầu?

Azuma
Odaily资深作者
@azuma_eth
2021-08-16 09:06
Bài viết này có khoảng 3567 từ, đọc toàn bộ bài viết mất khoảng 6 phút
Tình hình bảo mật ngày càng tồi tệ, các bên dự án và người dùng nên làm gì?
Tóm tắt AI
Mở rộng
Tình hình bảo mật ngày càng tồi tệ, các bên dự án và người dùng nên làm gì?

Vào tối ngày 10 tháng 8, Poly Network, một dự án tương tác xuyên chuỗi, bất ngờ bị tin tặc tấn công, dẫn đến thiệt hại 610 triệu đô la Mỹ. Nếu tính theo giá thị trường của các tài sản liên quan tại thời điểm xảy ra vụ việc, đây không chỉ là vụ hack có số lượng liên quan lớn nhất trong lịch sử DeFi, mà còn là vụ hack có số lượng liên quan lớn nhất trong toàn bộ lịch sử của tiền điện tử.

Bất chấp những nỗ lực liên tục của tất cả các bên, hacker cuối cùng đã chọn trả lại toàn bộ số tiền bị đánh cắp là 610 triệu đô la Mỹ, nhưng là một vụ án gây chấn động được ghi vào lịch sử tiền điện tử, chúng tôi sẽ xem xét và giải quyết vụ việc. và các xu hướng liên quan của nó Vẫn có ý nghĩa cảnh báo lớn hơn.

Nhìn lại sự cố này, các phương thức tấn công của hacker về cơ bản đã được phân tích, SlowMist chỉ ra rằng nguyên nhân của sự cố này là do người giữ hợp đồng EthCrossChainData có thể bị sửa đổi bởi hợp đồng EthCrossChainManager và chức năng verifyHeaderAndExecuteTx của hợp đồng EthCrossChainManager có thể bị thay đổi. được sửa đổi bởi _ Hàm execCrossChainTx thực thi dữ liệu do người dùng truyền vào.

Nếu bạn thoát khỏi các trường hợp riêng lẻ và khám phá các xu hướng vĩ mô cấp cao hơn, thì trường hợp Poly Network một lần nữa chứng minh rằng cộng đồng tin tặc đã tập trung vào hướng đi mới nổi của các giao thức chuỗi chéo.Theo thống kê của PeckShield, tính đến ngày 12 tháng 8, có tổng cộng 19 sự cố bảo mật DeFi đã xảy ra trong quý 3 năm 2021, trong đó các giao thức liên quan đến chuỗi chéo đã bị tấn công 6 lần, ngoài Poly Network còn có ChainSwap, AnySwap, THORChain, v.v. Xét về số lượng, ngay cả khi không bao gồm sự cố Poly Network, tổng thiệt hại tài chính lên tới 32,8 triệu đô la Mỹ, cao hơn tất cả các hạng mục khác.

Lý do là hacker của sự cố Poly Network đã đề cập đến động cơ của cuộc tấn công thông qua thông tin bổ sung của việc chuyển giao - bởi vì các cuộc tấn công xuyên chuỗi đang rất "nóng"!

Để tiếp tục mở rộng chủ đề: tại sao các giao thức liên quan đến chuỗi chéo lại dễ bị tấn công như vậy? Cầu nối chuỗi chéo nên cân bằng hiệu quả và bảo mật như thế nào? Khi tình hình bảo mật ngày càng trở nên nghiêm trọng, các vai trò khác nhau như các bên dự án và người dùng nên chú ý đến điều gì? Nếu một tai nạn nghiêm trọng xảy ra, phương tiện bồi thường hiệu quả là gì?

Để tìm câu trả lời cho những câu hỏi này, Odaily đã phỏng vấn các công ty bảo mật nổi tiếng như PeckShield và BlockSec. Là những chuyên gia tham gia sâu vào bảo mật DeFi, họ sẽ đưa ra câu trả lời gì?

Q1

Odaily :Tại sao các giao thức liên quan đến chuỗi chéo thường xuyên bị tấn công? Có phải vì các giải pháp kỹ thuật hiện tại chưa hoàn thiện? Hay những nguy hiểm tiềm ẩn của những hợp đồng như vậy rất khó phát hiện?

PeckShield:Giao thức xuyên chuỗi là một lĩnh vực mới nổi, phá vỡ các rào cản của các đảo thông tin giữa các chuỗi, nhưng nó vẫn cần phải đứng trước thử thách của thời gian. Giao thức ChainSwap đã bị tấn công do các lỗ hổng trong chính hợp đồng, AnySwap đã bị tấn công do các vấn đề với quản lý khóa riêng giữa các chuỗi và Poly Network đã bị tấn công do các lỗ hổng trong hợp đồng. Đây là một cảnh báo cho tất cả các giao thức chuỗi chéo rằng cần phải chú ý nhiều hơn đến việc kiểm tra hợp đồng và tính bảo mật của quản lý và ủy quyền khóa riêng.

BlockSec (người được phỏng vấn là Zhou Yajin, người đồng sáng lập BlockSec và là giáo sư tại Trường An ninh Không gian mạng, Đại học Chiết Giang):Tôi nghĩ rằng có nhiều lý do. Cái đầu tiên là có lãi. Vì thường có một số lượng lớn tài sản kỹ thuật số trong cầu nối chuỗi chéo, nên nó đã trở thành mục yêu thích trong mắt những kẻ tấn công. Thứ hai là toàn bộ quá trình của cầu nối chuỗi tương đối phức tạp, liên quan đến sự tương tác giữa nhiều chuỗi và nhiều hợp đồng, và việc giám sát các rủi ro bảo mật này yêu cầu đánh giá và phân tích bảo mật tổng thể của cầu nối chuỗi. Việc kiểm tra và phân tích một mô-đun nhất định không thể bao gồm đầy đủ các rủi ro bảo mật của toàn bộ liên kết và cần phải có một số ý tưởng và giải pháp bảo mật mới.

Q2

Odaily :Trong trường hợp của Poly Network, trọng tâm chính của những nghi ngờ của cộng đồng là liệu có phải chỉ có một Keeper trong hợp đồng hay không.Mặc dù sau đó nó đã được chứng minh là không chính xác, nhưng sự cân bằng giữa hiệu quả và tập trung hóa vẫn đáng để cân nhắc. Trong các dịch vụ liên quan đến chuỗi chéo, điều đó có nghĩa là hiệu quả thực thi chuỗi chéo càng cao thì càng tập trung? Là tập trung và mất an ninh đánh đồng?

PeckShield:Giao thức chuỗi chéo được xây dựng dựa trên công nghệ cơ bản của chuỗi khối, có nghĩa là nó sẽ không chỉ có các đặc điểm của công nghệ chuỗi khối mà còn mang "tam giác bất khả thi" của chính công nghệ đó, đó là nó không thể lấy tính đến "phân cấp" cùng một lúc , "Bảo mật", "Hiệu suất xử lý giao dịch" ba tính năng này.

BlockSec:Ban đầu, việc chuyển tài sản giữa các chuỗi bị cô lập về cơ bản được thực hiện thông qua trao đổi tập trung.Hashimoto chuỗi chéo là để cải thiện hiệu quả phân cấp và thực thi của các tài sản chuỗi chéo thông qua việc áp dụng các chuỗi bên.Những nỗ lực kỹ thuật của ngành nhằm từ bỏ sự tập trung hóa tuyệt đối.

Không có mối quan hệ logic nhân quả giữa hiệu quả của việc thực thi chuỗi chéo và tập trung hóa, cũng như không có mối quan hệ trực tiếp giữa tập trung hóa và sự không an toàn của các cầu nối chuỗi chéo. Sự an toàn của việc tập trung hóa chủ yếu phụ thuộc vào tính bảo mật của các thực thể tập trung. Theo quan điểm xấu, có một mối đe dọa an ninh tại một điểm, nhưng theo quan điểm tốt, miễn là tính bảo mật của thực thể trung tâm cao, thì an ninh có thể được đảm bảo.

Nói chung, nó vẫn phụ thuộc vào việc các biện pháp bảo vệ an ninh của bên dự án có được áp dụng hay không, đặc biệt là khi công ty bảo mật tham gia kiểm toán, cần phải đánh giá xem kiểm toán có tồn tại hay không, nhà cung cấp dịch vụ có quyền hạn siêu cao hay không ( quyền chuyển tiền mà không cần kiểm toán) và khả năng thực hiện Rug Pull Khả năng, do cài đặt quyền hoạt động như vậy, có khả năng gây ra chuyển khoản bất hợp pháp một lượng lớn tiền khi khóa riêng của nhà cung cấp bị đánh cắp hoặc bị mất.

Q3

Odaily :Dưới bối cảnh các vụ tai nạn liên tiếp trong dự án, bên dự án nên làm gì? Những biện pháp nào có thể được thực hiện để tránh rủi ro?

PeckShield:Hệ sinh thái cầu nối chuỗi chéo ngày càng đa dạng và phong phú sẽ dẫn đến sự gia tăng đáng kể về số lượng giao dịch và tiền được thực hiện trên đó. Ví dụ: trước khi Poly Network bị tấn công, quy mô chuyển tài sản xuyên chuỗi đã vượt quá 10 tỷ đô la Mỹ và số lượng địa chỉ sử dụng dịch vụ xuyên chuỗi vượt quá 220.000, điều này cũng thu hút sự chú ý của tin tặc đối với các giao thức xuyên chuỗi. bản thân cầu nối chéo là một liên kết quan trọng để tin tặc trốn thoát tiền, vì vậy nó cũng sẽ trở thành mục tiêu của tin tặc.

  1. Đối với bên dự án, cần tìm kiếm các tổ chức chuyên nghiệp để xác định hiệu quả các lỗ hổng đã biết và xây dựng tuyến phòng thủ đầu tiên để bảo mật giao thức.

  2. Thứ hai, chúng ta cũng phải chú ý đến việc khắc phục các lỗ hổng logic nghiệp vụ khi kết hợp với các sản phẩm DeFi khác để tránh các lỗ hổng tương thích logic giữa các hợp đồng.

  3. Sau đó, cần phải thiết kế một cơ chế hợp nhất kiểm soát rủi ro nhất định và giới thiệu các dịch vụ tình báo tình hình dữ liệu và nhận thức mối đe dọa từ các công ty bảo mật bên thứ ba. và chặn bảo mật kịp thời.tấn công để tránh thiệt hại thêm.

  4. Cuối cùng, tất cả các bên trong ngành nên được liên kết để xây dựng một cơ chế theo dõi tài sản toàn diện nhằm giám sát việc lưu thông các loại tiền ảo có liên quan trong thời gian thực. An ninh vận hành và bảo dưỡng.

BlockSec:

  1. Đưa bảo mật vào thiết kế là cái mà chúng ta thường gọi là bảo mật theo thiết kế, không chỉ kiểm tra bảo mật. Các công ty bảo mật bên thứ ba nên được giới thiệu trong giai đoạn thiết kế để cùng nhau đánh giá rủi ro bảo mật.

  2. Từ quan điểm dài hạn, mã nguồn mở của mã kỹ thuật dự án cũng là một điều cần thiết để giải quyết các rủi ro chưa biết.

  3. Duy trì giám sát liên tục tình hình trên chuỗi và có thể kịp thời cảm nhận được các sự kiện bất thường trên chuỗi để ngăn chặn chúng kịp thời trước khi tổn thất lan rộng.

Q4

Odaily :Nhu cầu về chuỗi chéo luôn tồn tại và chắc chắn sẽ ngày càng trở nên mạnh mẽ, đối với người dùng, họ nên làm gì? Làm thế nào để chọn một cây cầu chéo an toàn và phù hợp?

PeckShield:Cần lưu ý rằng khi các sự cố bảo mật như vậy xảy ra, thiệt hại lớn nhất thường là các LP cung cấp tính thanh khoản cho các quỹ liên chuỗi. Đề xuất của chúng tôi là làm tốt công việc theo dõi ngược dự án và không dễ dàng đầu tư tài sản vào các dự án chưa được kiểm chứng. được kiểm toán, kể cả dự án đang được kiểm toán nhưng chưa hoàn thành. Hơn nữa, đối với các thỏa thuận hợp đồng chéo, không ủy quyền quá mức, bao gồm cả các bên liên quan của dự án và không ủy quyền quá mức cho các thỏa thuận chuỗi chéo.

Q5

Odaily :Khi xảy ra sự cố mất an toàn nghiêm trọng, biện pháp bồi thường hiệu quả là gì?

PeckShield:Khi xảy ra sự cố bảo mật nghiêm trọng, trước tiên, bên dự án và các bên liên quan sẽ cùng nhau thực hiện phản ứng cấp một để truy tìm nguyên nhân gốc rễ của sự cố, đồng thời theo dõi sự luân chuyển của tài sản bị đánh cắp, kiểm tra và ngăn chặn kịp thời các cuộc tấn công bảo mật để tránh tổn thất nhiều hơn; giám sát thời gian thực ảo có liên quan Đối với việc lưu thông tiền tệ, tổ chức tập trung liên kết chặn và chặn tài sản bị đánh cắp và thu hồi một số tài sản bị đánh cắp càng nhiều càng tốt; sau sự kiện, nên chuẩn bị một kế hoạch bồi thường hoàn chỉnh để bù đắp cho sự mất mát của người dùng, hoặc, nên thiết lập một kế hoạch bảo hiểm tương đối đáng tin cậy.

BlockSec:

  1. Phối hợp với các nguồn lực của ngành thượng nguồn và hạ nguồn để kịp thời theo dõi dòng tài sản bị đánh cắp và thu hồi các khoản lỗ, đặc biệt là về trao đổi hoặc stablecoin (rửa tiền) chiếm phần lớn thanh khoản, có thể ngăn chặn rủi ro tiền bị đánh cắp hiệu quả hơn .

  2. bản tóm tắt

bản tóm tắt

Các câu trả lời từ PeckShield và BlockSec đã tiết lộ đại khái những thách thức bảo mật hiện tại mà các giao thức liên quan đến chuỗi chéo phải đối mặt.

Nhìn chung, lý do tại sao các giao thức liên quan đến chuỗi chéo dễ bị tấn công lặp đi lặp lại có thể được chia thành ba lý do: Thứ nhất, với sự phát triển nhanh chóng của đường đua, lượng tiền mà nó mang theo cũng tăng lên nhanh chóng; thứ hai, đường đua vẫn đang phát triển.giai đoạn, các chi tiết khác nhau vẫn cần được tối ưu hóa, thứ ba, các thỏa thuận liên quan đến chuỗi chéo thường liên quan đến sự tương tác giữa nhiều chuỗi và nhiều hợp đồng, quá trình này tương đối phức tạp và có nhiều điểm rủi ro.

Đối với người dùng thông thường (chủ yếu đề cập đến các nhà cung cấp thanh khoản kiếm thu nhập thông qua cầu nối chuỗi chéo), tình huống họ đang gặp phải hiện tại có phần giống với thời điểm bắt đầu DeFi vào năm ngoái và họ cần thận trọng hơn trong việc cân nhắc lợi ích và rủi ro .Ưu tiên các thỏa thuận có tình trạng kiểm toán đầy đủ hơn và hoạt động kinh doanh suôn sẻ trong thời gian dài hơn.

Đối với các bên dự án tuyến đầu, một mặt, cần tiếp thu kinh nghiệm của các sự kiện trong quá khứ, đồng thời tìm và lấp đầy các khoảng trống một cách có mục tiêu; Theo dõi kịp thời các nâng cấp và thay đổi của chuỗi công khai cơ bản tích hợp các giải pháp bảo mật phái sinh như Lossless, tìm kiếm sự hợp tác với các thỏa thuận bảo hiểm như Nexus Mutual và khám phá như cBridgePhương thức khóa thanh khoản ngoài hợp đồngvân vân……

Cuối cùng, chúng tôi muốn kêu gọi tất cả các học viên có liên quan, bao gồm cả những dự án bị ảnh hưởng như ChainSwap, AnySwap, THORChain, Poly Network, v.v., đừng mất niềm tin. Giai đoạn đầu của một con đường mới sẽ luôn đi kèm với những khó khăn. cấu trúc multi-chain ngày càng ổn định, Cross-chain nhất định ngày càng thịnh vượng, sự "ưu ái" của hacker đã chứng minh giá trị của đường đua này, mong các bạn sẽ không vì vấp ngã này mà dừng bước tiến của mình .

Sự an toàn
chuỗi chéo
Chào mừng tham gia cộng đồng chính thức của Odaily
Nhóm đăng ký
https://t.me/Odaily_News
Nhóm trò chuyện
https://t.me/Odaily_CryptoPunk
Tài khoản chính thức
https://twitter.com/OdailyChina
Nhóm trò chuyện
https://t.me/Odaily_CryptoPunk
Tìm kiếm
Mục lục bài viết
Thư viện tác giả
Azuma
@azuma_eth
Trong cơn khủng hoảng thị trường, ai đã kiếm được hàng trăm triệu đô la nhờ vượt qua đợt suy giảm mạnh? Cơ hội làm giàu nào đang chờ đón bạn?
Podcast dài 10.000 từ của người sáng lập Wintermute: Thị trường cần phải giới thiệu một cơ chế ngắt mạch và sẽ không có thị trường sao chép trong ngắn hạn
Những điều cần chú ý trong tuần tới | Aster Genesis Giai đoạn 2 hoàn tất; Binance Alpha ra mắt LYN và KGEN (6-12 tháng 10)
Bảng xếp hạng bài viết nóng
Daily
Weekly
Kalshi đã tập hợp một liên minh thị trường dự đoán với Coinbase, Robinhood và những công ty khác, nhằm mục đích chấm dứt "lý thuyết sòng bạc".
Kalshi đã tập hợp một liên minh thị trường dự đoán với Coinbase, Robinhood và những công ty khác, nhằm mục đích chấm dứt "lý thuyết sòng bạc".
Axe Compute [NASDAQ: AGPU] hoàn tất tái cấu trúc doanh nghiệp (trước đây là POAI), và Aethir, một nền tảng điện toán GPU phi tập trung cấp doanh nghiệp, chính thức gia nhập thị trường chính thống.
Web3 không cần cụm từ ghi nhớ: AA × Passkey, liệu nó sẽ định hình thập kỷ tiếp theo của Crypto như thế nào?
Vụ cá cược triệu đô vào đêm trước lễ trao giải TGA: Ai đã dự đoán đúng trò chơi của năm?
Metaplanet có ý định gì khi tạm ngừng nắm giữ Bitcoin?
Tải ứng dụng Odaily Nhật Báo Hành Tinh
Hãy để một số người hiểu Web3.0 trước
IOS
Android
Về chúng tôi
Liên hệ với chúng tôi
Tham gia với chúng tôi
Liên kết hữu nghị
Hợp tác quảng cáo
Thỏa thuận người dùng
Chính sách bảo mật
Tuyên bố miễn trừ trách nhiệm
Bộ Tài Liệu Truyền Thông
Công ty TNHH Truyền thông Văn hóa Modi tỉnh Hải Nam
琼ICP备 2022000863号