Chainalysis发布的数据显示,单单2022年跨链桥掠夺事件所带来的损失就多达20亿美元。跨链桥安全问题层出不穷,每一次的攻击事件,都引发了行业的关注。对于产品安全问题,跨链桥项目Multichain安全负责人XChang近日就针对该项目的产品安全机制进行了详细的披露,希望借此机会与业内友商和关注跨链桥生态的观察人士分享Multichain的经历。
据XChang,Multichain的安全策略以攻击事件为时间点分为三阶,即:发生前,发生时,发生后。每个阶段都有对应的应对步骤与策略。
Beosin:SheepFarm项目遭受攻击事件简析:金色财经报道,根据区块链安全审计公司Beosin旗下Beosin EagleEye 安全风险监控、预警与阻断平台监测显示,BNB链上的SheepFarm项目遭受漏洞攻击,Beosin分析发现由于SheepFarm合约的register函数可以多次调用,导致攻击者0x2131c67ed7b6aa01b7aa308c71991ef5baedd049多次利用register函数增大自身的gems,再利用upgradeVillage函数在消耗gems的同时累加yield属性,最后调用sellVillage方法把yield转换为money后再提款。本次攻击导致项目损失了约262个BNB,约7.2万美元。Beosin Trace追踪发现被盗金额仍在攻击者账户,将持续关注资金走向。[2022/11/16 13:10:39]
1.发生前:
UXD Protocol在Mango攻击事件中受影响资金近2千万美元:10月12日消息,据官方消息,Solana生态算稳协议UXD Protocol在Mango攻击事件中受影响资金总额为19,986,134.9037美元。UXD Protocol表示:“我们的保险基金足以弥补损失。UXD是完全受安全保障的,一旦Mango Markets从漏洞利用中恢复,用户将可以赎回。保险基金总额为53,527,304.7757美元。UXD Protocol已暂停UXD铸造以达到风险最小化。一旦我们确认Mango Markets的问题得到解决,将重新启用铸币功能。同时,用户可以在Jupiter Exchange将UXD换为USDC。对UXD持有者而言,有足够流动性以面值(par value)兑换USDC。”[2022/10/12 10:32:12]
项目通过内部和外部审计方式来排除任何安全隐患。同时,也通过漏洞悬赏调动业内专家帮助发现漏洞,避免造成损失。另外,Multichain也希望通过即将推出的MultiDAO来对产品安全做另一次预防性把关。除此之外,Multichain也利用主要媒体平台的关键词舆论监测来观察业内跨链桥安全问题相关的动态,从中进行自省,监测其他事件的影响是否波及到Multichain的资产。对于大额度的交易,Multichain也实施了跨链金额限制及链资金流量和总量限制,以避免类似Horizon的事件重蹈覆辙。
研究:2022年Q1共发生78起黑客攻击事件,损失约13亿美元:4月27日消息,根据Atlas VPN团队的新研究,区块链黑客在2022年第一季度的78起攻击事件中窃取了约13亿美元。此外,针对以太坊和Solana生态系统的黑客攻击仅在本季度就造成了超过10亿美元的损失。这些数据来自Slowmist Hacked,该网站收集了公开承认的对区块链项目的攻击信息。
具体而言,在2022年第一季度,以太坊生态系统被黑客攻击了18次,导致近6.36亿美元的损失。本季度最严重的攻击发生在3月底,当时Axie Infinity侧链Ronin Network被黑客攻击,损失高达6.1亿美元。同期,Solana生态系统被黑客攻击了五次,造成3.97亿美元的损失。(Bitcoinist)[2022/4/27 5:14:41]
观点:推特采取的措施不足以防止再次发生黑客攻击事件:针对推特发生的大规模攻击事件,恶意软件实验室Emsisoft的威胁分析师Brett Callow表示,Twitter随后采取的安全措施可能还不足以防止将来再次发生此类事件。
他说:“毫无疑问,尽管Twitter将致力于改善其安全性,但事实是,还没有一种完全确定的方法来防止帐户被接管,并且类似的事件几乎肯定会再次发生。”(Cointelegraph)[2020/7/21]
2.发生时:
攻击事件发生时,关键在于及时拉响警钟,让平台能迅速采取行动。Multichain设置了检测Watchdogs,能够及时反应异常现象。同时,项目也调动DAO的力量,对发现漏洞以及及时将异常现象通报平台的成员发放奖励。
3.发生后:
Mutichain将会暂停产品的使用,以先止损,后修复的形式去应对黑客事件。同时,该项目也进行演习,并在智能合约上设置暂停功能。此外,Multichain也从项目利润中挪出了一部分资金作为安全基金,补偿用户在类似事件中的损失。
ChangX也阐明了多方安全计算的特征能够确保更强的去中心化以及控制成本,而且MPC私钥分片会定期更新作废,进一步防范黑客行为。与此同时,Multichain也与网络基础设置提供商合作,力求营造更安全的产品环境。至于Multichain即将发布的MPC+HSM方案,它能够确保在服务器被攻击的情况下,仍旧遏制黑客获取私钥分片。
本文转载自
https://medium.com/multichainorg/multichain-安全策略-详细披露-3c38360bfd0b
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。