DeFi 跨链协议接连被进攻,该如何防御?

除了制止呈现跨合约的逻辑兼容性裂痕,安详机构还发起在安详事件产生时实时排查封堵安详进攻,制止造成更多的损失。

克日,两个跨链桥项目接连遭遇黑客,总计损失约 1600 万,激发了行业震动。

个中 ChainSwap 进攻事件导致高出 20 个项目代币连续被黑客「惠顾」,波及范畴之广,放眼整个 DeFi 规模实属稀有。

在此之前,跨链进攻事件凤毛麟角。但在短短半个月内,已呈现 5 起安详事件,损失高出 1700 万美元。跨链进攻明明增多,这是否意味着黑客正在对准跨链协议生态?

跨链协议接连产生进攻事件

7 月 11 日破晓,跨链资产桥项目 ChainSwap (ASAP)因其智能合约的一个要害裂痕遭遇黑客进攻,损失约 800 万美元。

ChainSwap 是一个用于智能链的跨链资产桥和应用措施中心,答允项目在以太坊(ETH)、币安智能链(BSC)和火币生态链(HECO)之间实现无缝桥接。

因此,很多与其相助在以太坊和币安智能链之间毗连代币的项目都受到了波及。据相识,高出 20 个项目连续被黑客「惠顾」,包罗 OptionRoom、RAI Finance、Umbrella Network、DAOventures、DAFI Protocol、FM Gallery、Fei protocol、Fair Game、Antimatter、Unido、Unifarm、Wilder Worlds、Nord Finance、Razor 、Dafi Finance、Oropocket、Rocks、 Peri Finance 等。

按照部门项目已披露的损失数据,链上鼓励协议 DAFI Protocol 被出售了 20 万美元的 DAFI,波卡生态预言机和预测协议 OptionRoom 被黑客窃取 1230 万枚 ROOM 代币,DeFi 预言机 Umbrella 损失了超 300 万枚 UMB 代币,以及 DeFi 资产打点平台 DAOventures 被偷取 30 万枚 DVG 代币等。

严格来说,此次进攻的资金损失放在所有 DeFi 安详事件中并不算多,但其波及项目标范畴之广,却实属稀有。

那么,ChainSwap 到底存在什么裂痕,让黑客有机可乘?

「ChainSwap 在代币跨链配额代码中存在裂痕。原本跨链桥配额由签名节点自动增加,旨在无需人工节制的环境下实现去中心化。然而,由于代码中存在一个逻辑缺陷,即跨链资产只需要一个签名,而非多签,使得未被列入白名单的地点可自动增加额度。」PeckShield「派盾」汇报巴比特。

简而言之,Chainswap 被进攻是因为发放的签名数量和提取时的需要的签名数量纷歧致,用户在申请跨链操纵时获得的签名数量为多个,而提取时只需要一个签名便可通过验证。

成都链安指出,Chainswap 进攻事件中,进攻者首先在一条链上申请跨链操纵,然后在得到多个签名后,多次操作单个签名挪用另一条链上的 receive 函数举办提取,从而得到多倍的代币。

「实际上,这种进攻手法很简朴,进攻者只是简朴地举办跨链申请和提取操纵。」成都链安汇报巴比特。

而 Chainswap 上 20 多个项目都被进攻,正是因为它们都利用了 Chainswap 存在裂痕的 factory 合约的设置。

事件产生之后,ChainSwap 暗示,已经冻结 BSC 映射代币地点以过滤掉黑客地点,将对进攻前的 ASAP 持有者和 LPs 空投 1:1 的新 ASAP 代币,并将对受影响的代币实施赔偿打算。

合法我们觉得此事临时告一段落时,风浪回复,另一起进攻事件的产生将跨链生态推向了风口浪尖。

7 月 12 日破晓 1 点,去中心化跨链生意业务协议 Anyswap 官方发推声称,Anyswap 多链路由 v3 版本遭到进攻。

据相识,Anyswap 是一个基于 FusionDCRM 技能的去中心化的跨链互换协议,也是今朝 DeFi 用户最常用的跨链东西之一。

差异于 ChainSwap,Anyswap 只是单个项目受到进攻,可是在资金损失方面,却是不遑多让。据称,V3 跨链资金池受影响,损失约 240 万 USDC 和 551 万 MIM,总计约 800 万美元。

成都链安暗示,Anyswap 被进攻的最主要原因是签名利用了反复的 R 值。假如该同一账户签名的生意业务拥有沟通的 rsv 签名的 R 值,则黑客可以反向推导出该账户的私钥。

在进攻进程中,进攻者正是操作了这一点,通过同一账户签名的两笔拥有沟通的 rsv 签名的 R 值的生意业务,反向推导出该账户的私钥,进而偷取该账户的资金。由于该账户在 BSC、ETH 和 FTM 上可以复用,故该账户多条链上资产被盗。

「事实上,这种进攻手法需要必然的技妙手段才气完成,对比 Chainswap 进攻事件更为高级。」成都链安说。

黑客开始对准跨链生态?

接连两起跨链规模进攻事件的产生,或者并非偶尔。

因为在此之前,产生在跨链协议规模的安详事件并不多见。


免责声明:数字资产交易涉及重大风险,本资料不应作为投资决策依据,亦不应被解释为从事投资交易的建议。请确保充分了解所涉及的风险并谨慎投资。OKEx资讯站仅提供信息参考,不构成任何投资建议,用户一切投资行为与本站无关。