Phân tích sâu: Tại sao cầu chéo lại bắt chéo kép?

Vào sáng ngày 2 tháng 8 theo giờ Bắc Kinh, giải pháp xuyên chuỗi Nomad cuối cùng đã bị hack, theo phân tích sơ bộ, thiệt hại của Nomad là khoảng 190 triệu đô la Mỹ. Nguyên nhân sâu xa của vụ trộm lần này là do một lỗi xảy ra khi Nomad chính thức nâng cấp hợp đồng thông minh.

Không chỉ vậy, do thêm khóa thời gian khi nâng cấp hợp đồng, Nomad đã không kịp phản ứng khi hacker chuyển tài sản, đồng thời bị nhiều người dùng “tẩu hỏa nhập ma” lấy đi rất nhiều tài sản còn sót lại.

Các vụ tấn công cầu xuyên chuỗi không có gì mới đối với những người hành nghề, kể từ nửa cuối năm 2021 đã xảy ra hơn 10 vụ, do tính chất đặc biệt của cầu xuyên chuỗi chuyên chở một lượng lớn tài sản nên hầu hết các vụ này đều bị thiệt hại nặng nề. Cách đây không lâu, vào ngày 24 tháng 6, cây cầu xuyên chuỗi tài sản Horizon do Harmony phát triển đã bị tấn công và thiệt hại cũng lên tới 100 triệu đô la Mỹ. Năm ngoái, Poly Network đã bị tấn công và mất 610 triệu đô la Mỹ cùng một lúc, đây là sự kiện hack lớn nhất trong lịch sử của lĩnh vực DeFi (hacker đã trả lại phần lớn tài sản).

Tại sao các giao thức liên quan đến chuỗi chéo rất dễ bị tấn công? Cầu nối chuỗi chéo nên cân bằng hiệu quả và bảo mật như thế nào? Khi tình hình bảo mật ngày càng trở nên nghiêm trọng, các vai trò khác nhau như các bên dự án và người dùng nên chú ý đến điều gì? Nếu một tai nạn nghiêm trọng xảy ra, phương tiện bồi thường hiệu quả là gì?

tiêu đề phụ

Q1

Odaily: Tại sao các giao thức liên quan đến chuỗi chéo thường xuyên bị tấn công? Có phải vì các giải pháp kỹ thuật hiện tại chưa hoàn thiện? Hay những nguy hiểm tiềm ẩn của những hợp đồng như vậy rất khó phát hiện?

PeckShield: Giao thức xuyên chuỗi là một lĩnh vực mới nổi, phá vỡ các rào cản của các đảo thông tin giữa các chuỗi, nhưng nó vẫn cần phải đứng trước thử thách của thời gian. Giao thức ChainSwap đã bị tấn công do các lỗ hổng trong chính hợp đồng, AnySwap đã bị tấn công do các vấn đề với quản lý khóa riêng giữa các chuỗi và Poly Network đã bị tấn công do các lỗ hổng trong hợp đồng. Đây là một cảnh báo cho tất cả các giao thức chuỗi chéo rằng cần phải chú ý nhiều hơn đến việc kiểm tra hợp đồng và tính bảo mật của quản lý và ủy quyền khóa riêng.

BlockSec (người được phỏng vấn là Zhou Yajin, người đồng sáng lập BlockSec và là giáo sư tại Trường An ninh Không gian mạng của Đại học Chiết Giang): Tôi nghĩ có nhiều lý do. Cái đầu tiên là có lãi. Vì thường có một số lượng lớn tài sản kỹ thuật số trong cầu nối chuỗi chéo, nên nó đã trở thành mục yêu thích trong mắt những kẻ tấn công. Thứ hai là toàn bộ quá trình của cầu nối chuỗi tương đối phức tạp, liên quan đến sự tương tác giữa nhiều chuỗi và nhiều hợp đồng, và việc giám sát các rủi ro bảo mật này yêu cầu đánh giá và phân tích bảo mật tổng thể của cầu nối chuỗi. Việc kiểm tra và phân tích một mô-đun nhất định không thể bao gồm đầy đủ các rủi ro bảo mật của toàn bộ liên kết và cần phải có một số ý tưởng và giải pháp bảo mật mới.

Q2

Odaily: Trong trường hợp của Poly Network, một trong những điểm chính khiến cộng đồng đặt câu hỏi là liệu có phải chỉ có một Keeper trong hợp đồng hay không. xem xét của chúng tôi. Trong các dịch vụ liên quan đến chuỗi chéo, điều đó có nghĩa là hiệu quả thực thi chuỗi chéo càng cao thì càng tập trung? Là tập trung và mất an ninh đánh đồng?

PeckShield: Giao thức chuỗi chéo được xây dựng dựa trên công nghệ cơ bản của chuỗi khối, có nghĩa là nó sẽ không chỉ có các đặc điểm của công nghệ chuỗi khối mà còn mang "tam giác bất khả thi" của chính công nghệ đó, tức là nó không thể lấy tính đến "phân cấp" cùng một lúc. Ba đặc điểm của "tùy chỉnh", "bảo mật" và "hiệu suất xử lý giao dịch".

BlockSec: Ban đầu, việc chuyển tài sản giữa các chuỗi bị cô lập về cơ bản được thực hiện thông qua các sàn giao dịch tập trung. Hashimoto chuỗi chéo là để cải thiện hiệu quả phân cấp và thực thi của các tài sản chuỗi chéo thông qua việc áp dụng các chuỗi bên. Đó là một loại tiến bộ về mặt công nghệ Đó cũng là một nỗ lực kỹ thuật của ngành nhằm từ bỏ sự tập trung hóa tuyệt đối.

Không có mối quan hệ logic nhân quả giữa hiệu quả của việc thực thi chuỗi chéo và tập trung hóa, cũng như không có mối quan hệ trực tiếp giữa tập trung hóa và sự không an toàn của các cầu nối chuỗi chéo. Sự an toàn của việc tập trung hóa chủ yếu phụ thuộc vào tính bảo mật của các thực thể tập trung. Theo quan điểm xấu, có một mối đe dọa an ninh tại một điểm, nhưng theo quan điểm tốt, miễn là tính bảo mật của thực thể trung tâm cao, thì an ninh có thể được đảm bảo.

Nói chung, nó vẫn phụ thuộc vào việc các biện pháp bảo vệ an ninh của bên dự án có được áp dụng hay không, đặc biệt là khi công ty bảo mật tham gia kiểm toán, cần phải đánh giá xem kiểm toán có tồn tại hay không, nhà cung cấp dịch vụ có quyền hạn siêu cao hay không ( quyền chuyển tiền mà không cần kiểm toán) và khả năng thực hiện Rug Pull Khả năng, do cài đặt quyền hoạt động như vậy, có khả năng gây ra chuyển khoản bất hợp pháp một lượng lớn tiền khi khóa riêng của nhà cung cấp bị đánh cắp hoặc bị mất.

Q3

Odaily: Dưới bối cảnh dự án liên tiếp xảy ra tai nạn, bên dự án nên làm gì? Những biện pháp nào có thể được thực hiện để tránh rủi ro?

PeckShield: Hệ sinh thái cầu nối chuỗi chéo ngày càng đa dạng và phong phú sẽ dẫn đến sự gia tăng đáng kể về số lượng giao dịch và tiền được thực hiện trên đó. Ví dụ: trước khi Poly Network bị tấn công, quy mô chuyển tài sản xuyên chuỗi đã vượt quá 10 tỷ đô la Mỹ và số lượng địa chỉ sử dụng dịch vụ xuyên chuỗi vượt quá 220.000, điều này cũng thu hút sự chú ý của tin tặc đối với các giao thức xuyên chuỗi. bản thân cầu nối chéo là một liên kết quan trọng để tin tặc trốn thoát tiền, vì vậy nó cũng sẽ trở thành mục tiêu của tin tặc.

Đối với bên dự án, cần tìm kiếm các tổ chức chuyên nghiệp để xác định hiệu quả các lỗ hổng đã biết và xây dựng tuyến phòng thủ đầu tiên để bảo mật giao thức.

Thứ hai, chúng ta cũng phải chú ý đến việc khắc phục các lỗ hổng logic nghiệp vụ khi kết hợp với các sản phẩm DeFi khác để tránh các lỗ hổng tương thích logic giữa các hợp đồng.

Sau đó, cần phải thiết kế một cơ chế hợp nhất kiểm soát rủi ro nhất định và giới thiệu các dịch vụ tình báo tình hình dữ liệu và nhận thức mối đe dọa từ các công ty bảo mật bên thứ ba. và chặn bảo mật kịp thời.tấn công để tránh thiệt hại thêm.

Cuối cùng, tất cả các bên trong ngành nên được liên kết để xây dựng một cơ chế theo dõi tài sản toàn diện nhằm giám sát việc lưu thông các loại tiền ảo có liên quan trong thời gian thực. An ninh vận hành và bảo dưỡng.

BlockSec：

Đưa bảo mật vào thiết kế là cái mà chúng ta thường gọi là bảo mật theo thiết kế, không chỉ kiểm tra bảo mật. Các công ty bảo mật bên thứ ba nên được giới thiệu trong giai đoạn thiết kế để cùng nhau đánh giá rủi ro bảo mật.

Từ quan điểm dài hạn, mã nguồn mở của mã kỹ thuật dự án cũng là một điều cần thiết để giải quyết các rủi ro chưa biết.

Duy trì giám sát liên tục tình hình trên chuỗi và có thể kịp thời cảm nhận được các sự kiện bất thường trên chuỗi để ngăn chặn chúng kịp thời trước khi tổn thất lan rộng.

Q4

Odaily: Nhu cầu về chuỗi chéo luôn tồn tại và nó chắc chắn sẽ ngày càng trở nên mạnh mẽ, đối với người dùng, họ nên làm gì? Làm thế nào để chọn một cây cầu chéo an toàn và phù hợp?

PeckShield: Cần phải giải thích rằng khi các sự cố bảo mật như vậy xảy ra, tổn thất lớn nhất thường là các LP cung cấp tính thanh khoản vốn xuyên chuỗi. Đề xuất của chúng tôi là làm tốt nền tảng dự án và không dễ dàng đầu tư tài sản vào các Dự án chưa được kiểm toán, kể cả các dự án đang được kiểm toán nhưng chưa hoàn thành. Hơn nữa, đối với các thỏa thuận hợp đồng chéo, không ủy quyền quá mức, bao gồm cả các bên liên quan của dự án và không ủy quyền quá mức cho các thỏa thuận chuỗi chéo.

Q5

Odaily: Khi xảy ra sự cố bảo mật nghiêm trọng, biện pháp bồi thường hiệu quả là gì?

PeckShield: Khi xảy ra sự cố bảo mật nghiêm trọng, trước tiên, bên dự án và các bên liên quan sẽ cùng nhau khởi xướng ứng phó cấp một để truy tìm nguyên nhân gốc rễ của sự cố, đồng thời theo dõi quá trình luân chuyển tài sản bị đánh cắp, kiểm tra và ngăn chặn kịp thời các cuộc tấn công bảo mật và tránh tổn thất nhiều hơn; giám sát thời gian thực Về việc lưu thông tiền ảo, tổ chức tập trung liên kết chặn và chặn tài sản bị đánh cắp và thu hồi một số tài sản bị đánh cắp càng nhiều càng tốt; sau sự kiện, nên có một kế hoạch bồi thường đầy đủ sẵn sàng bù đắp cho những tổn thất của người sử dụng, hoặc, nên thiết lập một kế hoạch bảo hiểm tương đối đáng tin cậy.

BlockSec：

Phối hợp với các nguồn lực của ngành thượng nguồn và hạ nguồn để kịp thời theo dõi dòng tài sản bị đánh cắp và thu hồi các khoản lỗ, đặc biệt là về trao đổi hoặc stablecoin (rửa tiền) chiếm phần lớn thanh khoản, có thể ngăn chặn rủi ro tiền bị đánh cắp hiệu quả hơn .

bản tóm tắt

bản tóm tắt

Các câu trả lời từ PeckShield và BlockSec đã tiết lộ đại khái những thách thức bảo mật hiện tại mà các giao thức liên quan đến chuỗi chéo phải đối mặt.

Nhìn chung, lý do tại sao các giao thức liên quan đến chuỗi chéo dễ bị tấn công lặp đi lặp lại có thể được chia thành ba lý do: Thứ nhất, với sự phát triển nhanh chóng của đường đua, lượng tiền mà nó mang theo cũng tăng lên nhanh chóng; thứ hai, đường đua vẫn đang phát triển.giai đoạn, các chi tiết khác nhau vẫn cần được tối ưu hóa, thứ ba, các thỏa thuận liên quan đến chuỗi chéo thường liên quan đến sự tương tác giữa nhiều chuỗi và nhiều hợp đồng, quá trình này tương đối phức tạp và có nhiều điểm rủi ro.

Đối với người dùng thông thường (chủ yếu đề cập đến các nhà cung cấp thanh khoản kiếm thu nhập thông qua cầu nối chuỗi chéo), tình huống họ đang gặp phải hiện tại có phần giống với thời điểm bắt đầu DeFi vào năm ngoái và họ cần thận trọng hơn trong việc cân nhắc lợi ích và rủi ro .Ưu tiên các thỏa thuận có tình trạng kiểm toán đầy đủ hơn và hoạt động kinh doanh suôn sẻ trong thời gian dài hơn.

Đối với các bên dự án tuyến đầu, một mặt, cần tiếp thu kinh nghiệm của các sự kiện trong quá khứ, đồng thời tìm và lấp đầy các khoảng trống một cách có mục tiêu; Theo dõi kịp thời các nâng cấp và thay đổi của chuỗi công khai cơ bản tích hợp các giải pháp bảo mật phái sinh như Lossless, tìm kiếm sự hợp tác với các thỏa thuận bảo hiểm như Nexus Mutual và khám phá như cBridgePhương thức khóa thanh khoản ngoài hợp đồngvân vân……

Cuối cùng, chúng tôi muốn kêu gọi tất cả các học viên có liên quan đừng mất niềm tin. Giai đoạn đầu của một con đường mới nổi sẽ luôn đi kèm với những khó khăn. Khi cấu trúc đa chuỗi trở nên ổn định hơn, chuỗi chéo nhất định sẽ trở nên thịnh vượng hơn, và hacker được “ưu ái” Điều đó đã chứng minh giá trị của đường đua này, và tôi hy vọng bạn sẽ không dừng bước tiến của mình vì cú vấp này.