一文探討5個消息跨鏈項目的安全機制

星球君的朋友们

Odaily资深作者

2023-05-05 09:10

本文約7256字，閱讀全文需要約11分鐘

跨鏈安全的道路任重而道遠

AI總結

展開

跨鏈安全的道路任重而道遠

原文作者：Ailsa

圖片描述

圖1 損失金額排名前10 的跨鏈項目

通常情況下跨鏈項目匯集了大量資產，所擁有的TVL（Total Value Locked，總鎖倉價值）遠遠超過一般的區塊鏈協議，這就使得跨鏈項目很容易成為黑客攻擊的首選目標。跨鏈的安全性至關重要。

一級標題

圖片描述

二級標題

1.Axelar

圖片描述

圖2 Axelar 技術堆棧圖

二級標題

2.Celer IM

二級標題

Celer IM 是Celer Network 面向開發者的工具和基礎設施，cBridge 可以看作是建立在Celer IM 上的資產橋樑。

Celer 為所有用戶設置了雙重安全保障。

首先是cBridge 的安全由State Guardian Network（簡稱SGN）保障。 SGN 是一個基於tendermint 的PoS 區塊鏈，Celer Network 旗下的其他產品，包括cBridge 和Celer IM，在跨鏈交易中都高度利用了SGN 的PoS 安全性、快速確認和低成本的特徵。

圖片描述

二級標題

3.Layerzero

圖片描述

二級標題

4.Multichain anyCall

二級標題

圖片描述

二級標題

5.Wormhole

圖片描述

一級標題

二、安全事件應對政策

跨鏈項目自身的跨鏈解決方案不意味著可以規避所有的風險，為積極防範和應對安全風險需要增加其他安全政策。安全政策的設計可以為用戶提供更加強大的安全保障，安全政策應貫穿安全事件發生前、發生中和發生後。

二級標題

1.Axelar

二級標題

Axelar 的安全事件應對政策主要集中在安全事件發生前，主要要措施包括進行安全審計，開啟漏洞賞金、頻繁的密鑰輪換和進行速率限制。https://github.com/axelarnetwork/audits。

（1 ）安全審計。目前Axelar 的安全審計覆蓋涵蓋其核心協議、智能合約、密碼庫、前端和後端代碼等，從2021 年8 月到2022 年8 月，Axelar 已進行27 餘次審計，審計機構包括Ackee Blockchain、Chaintroopers 、Certik 等。詳見https://immunefi.com/bounty/axelarnetwork/（2 ）漏洞賞金。自2022 年3 月10 日開始，Axelar 與Immunefi 的合作，設立了最高225 萬美元的賞金計劃，詳見security@axelar.network。 Axelar 還在其官方文檔中，明確了提交漏洞的方式，但是通過提交至https://docs.axelar.dev/bug-bounty。

二級標題

2.Celer Network

二級標題

Celer Network 的安全事件應對政策主要集中在安全事件發生前和安全事件發生中。

安全事件發生前Celer 的主要要措施包括進行安全審計、開啟漏洞賞金、搭建風控系統、應用層限流、 24 小時監控和主動前端和DNS 完整性檢查。（1 ）安全審計。針對Cbridge，Celer 目前只進行了3 次審計，合作的審計機構為CertiK、PeckShield 和SlowMist。詳見https://cbridge-docs.celer.network/reference/audit-reports。針對Celerhttps://im-docs.celer.network/audit-reports。

IM，Celer 目前進行了2 次審計，合作的審計機構為PeckShield 和SlowMist。詳見https://immunefi.com/bounty/celer/。

（2 ）漏洞賞金。自2021 年11 月18 日，Celer 與Immunefi 的合作，設立了最高200 萬美元的賞金計劃。詳見

（3 ）搭建風控系統。通過風控系統可以監控橋的整體流動性，資產信息以及變化。

（4 ）限流功能。 Celer 在應用層設置的安全屏障，使單位時間內不能超過某一個特定的閾值，超過了會順延時遞。

二級標題

二級標題https://mp.weixin.qq.com/s/SInU_o 3 Ct-7 A 6 pFbKLqzHQ。

3.Layerzero

二級標題

Layerzero 的安全事件應對政策主要集中在安全事件發生前，主要要措施包括進行安全審計和開啟漏洞賞金。https://github.com/LayerZero-Labs/Audits。

二級標題https://layerzero.gitbook.io/docs/bug-bounty/bug-bounty-program。

二級標題

4.Multichain

二級標題

2022 年8 月，Multichain 算法&安全官X Chang 曾在其官方博客中明確提到Multichain 的安全策略，以黑客攻擊事件發生的時間點分為三個階段，即：發生前，發生時，發生後，且每個階段都有對應的應對步驟與策略。

安全事件發生前的安全措施包括安全公司審計與內部開發者審計、開啟漏洞賞金、安全事件輿論監測和跨鏈金額限制及鏈資金流量和總量限制。（1 ）全公司審計與內部開發者審計。截至目前，Multichain 累計進行了大量外部審計，外部審計的合作夥伴包括BlockSec、Certik、Dedaub、PeckShield、SlowMist、TrailofBits、Verichain 等多家知名機構。 Multichain 上線的anyCall、Router V 7、VeMulti、Multichain V 6、Threshold-DSA、 V 5 ERC 20、Cross Chain-Bridge 等產品都經歷了嚴格的外部審計。詳見

https://github.com/anyswap/Anyswap-Audit/。同時Multichain 團隊設置了周期性的內部審計會議，至少為每月1 次。（2 ）漏洞賞金。 Multichain 運行著兩個漏洞賞金計劃，首先是自2022 年3 月16 日起，Multichain 正式與Immunefi 建立合作，設立了最高200 萬美元的賞金計劃，且根據提交漏洞的嚴重程度具體分析，賞金上不封頂。詳見https://immunefi.com/bounty/multichain/。此外Multichain 還提供了一個可選擇的漏洞賞金方案，Multichainhttps://docs.multichain.org/getting-started/security/bug-bounty-alternative。

將為符合條件的漏洞發現提供最高100 萬美元的獎勵。詳見

（3 ）安全事件輿論監測。通過設置關鍵詞在主要媒體平台進行輿論監測，以期第一時間能夠獲取到行業內最新發生的安全事件，並舉一反三，反思Multichain 產品是否存在有類似的問題，及時作出事件應對反應。

（4 ）跨鏈金額限制及鏈資金流量和總量限制。對於大額資金的跨鏈交易，平台採取延遲到賬的規則。對於新開發鍊或安全評級略低的鏈，限定在某一時間段內，跨入或跨出的總量限制在一定範圍內。

安全事件發生中的安全措施包括鏈上異常情況監測和調動社區、DAO的力量，反饋平台產品的異常行為。

（1 ）鏈上異常情況監測。通過設置了一系列鏈上監測策略Watchdogs，希望及時監測到數據異常行為。

（2 ）調動社區、DAO 的力量，反饋平台產品的異常行為。分調用社區用戶、DAO 的力量，對Multichain 產品的異常情況進行反饋，團隊在分析異常行為驗證後做出及時響應措施。

二級標題

二級標題https://medium.com/multichainorg/detailed-disclosure-of-multichain-security-policy-bde 0397 accf 5 。

5.Wormhole

二級標題

Wormhole 的安全事件應對政策主要集中在安全事件發生前和安全事件發生後。安全事件發生前的安全措施包括安全審計、開啟漏洞賞金、社交媒體監控、設置異構監控策略和推出Governor 功能。https://medium.com/@wormholecrypto/wormhole-security-program-end-of-year-update-212116 ecfb 91 。

（1 ）安全審計。 Wormhole 也非常重視安全審計，與Certik，Coinspect，Hacken，Halborn，Kudelski，Neodyme，OtterSec，Trail of Bits，Zellic 展開安全審計方面的合作。詳見（2 ）漏洞賞金。 Wormhole 項目也運行兩個漏洞賞金計劃，首先是自2022 年2 月11 日開始與Immunefi 的合作，設立了最高250 萬美元的賞金計劃。詳見https://immunefi.com/bounty/wormhole/。另外也可在其官網上瀏覽相關信息並提交報告。詳見https://wormhole.com/bounty/。另外Wormhole 提供了使用

Wormhole 的策略列表，這可以降低白帽黑客在Wormhole 中發現安全漏洞的門檻。

（3 ）社交媒體監控。 Wormhole 維護著一個社交媒體監控程序，以便Wormhole 項目獲悉依賴項中的漏洞可能會對Wormhole、其用戶或Wormhole 所連接的鏈產生負面影響。

（4 ）設置異構監控策略。 Wormhole 在Guardian 中設置異構監控策略，增加檢測欺詐活動的可能性。 Wormhole 期望所有守護者都開發和維護自己的安全監控策略。

（5 ）推出Governor 功能。創建和部署此功能的核心原因是幫助防範智能合約或L1 妥協的存在風險。此功能允許Wormhole Guardians 具有可選功能，可以在每條鏈的基礎上對任何已註冊的資產的名義價值流量進行速率限制。

Wormhole 在安全事件發生中的安全措施不明確，但是在2022 年2 月的Wormhole 攻擊事件是蟲洞網絡貢獻者在例行檢查中註意到未償資金的差異，並立即開展調查確定的漏洞。

安全事件發生後的安全措施包括建立事件響應機制和緊急暫停。

一級標題

圖片描述

一級標題

三、更去信任化的方案探索

目前跨鏈市場上驗證方式可以分為三種，即原生驗證、本地驗證和外部驗證。這三類驗證方式都有自身的局限性，難以兼顧去信任化、可拓展性和通用性。

外部驗證方案是通用性非常高且可擴展的跨鏈計算方案，可以支持更複雜的跨鏈應用。本文中所提到的Axelar、Celer Network、Layerzero、Multichain 和Wormhole 都屬於外部驗證者一類，他們可以在鏈下完成驗證，可拓展性較高，能覆蓋不同技術架構的區塊鏈，並且可以實現通用的消息跨鏈。但是由於用戶必須信任這一組外部節點構成的中繼網絡，其在安全程度上要弱於無需信任的本地驗證和原生驗證方案。

圖片描述