独家 | 跨链进攻给业界带来了新的安详挑战

从6月底到此刻,一个月不到的时间,业界产生了多起较为重大的进攻事件:

6月29日,THORChain受到恶意进攻,损失预计达14万美元。

7月3日,跨链项目Chainswap合约遭到进攻,部门用户代币被主动从与 ChainSwap 交互的钱包中取出,总损失约为80万美元,跨链桥暂停利用。

7月11日,跨链项目Chainswap宣布推文暗示再次遭到黑客进攻,在该跨链桥陈设智能合约的超20个项目代币都遭遇黑客偷取,总损失代价400万美元。

7月12日,跨链项目Anyswap新推出的V3跨链活动性池也遭到黑客进攻,总计损失高出787万美元。

7月16日,THORChain再次受到进攻,损失约为1.3万ETH,代价约为2500万美元。

从上面这些案例,我们明明发明这些进攻事件表示出四个光鲜的特点:

1.都是针对跨链项目展开的进攻。

2.多个项目在一个月内重复受到进攻。

3.项目因进攻受到的损失金额越来越大。

4.不只被进攻项目自己的运作受到影响,并且陈设在跨链项目标其它项目方的运作也受到影响。

纵观这些被进攻的项目,绝大大都都是因为在资产跨链的进程中,缺乏对资产、签名等的验证导致黑客抓住了个中的裂痕对项目举办进攻。

这些问题中有一类(好比通过沟通的签名可以或许反推出私钥)是圈内早已知晓的问题,但在跨链这个新场景下,缺乏先例,导致开拓团队大概会因为疏忽而漏掉对这类问题的排查。另一类则是因为跨链应用涉及的场景巨大导致团队在代码逻辑的设计中稍有不慎就会漏掉一些对要害点的查抄。

任何一个新应用登场,项目方都要必需面临这样的挑战。

另外,跨链项目受进攻还给业界带来了一个新的安详挑战:以往项目受到进攻时,受损失的仅仅是项目方本身;而在跨链规模,由于跨链应用自己成为了平台,它会承载其它的应用,因此一旦跨链应用自己受到进攻,则连带受到损失的就不只仅是跨链项目自己并且还包罗跨链应用承载的项目了。

在这些进攻案例中,Chainswap第二次受到进攻时,就导致陈设在上面的高出20个项目连带受到损失并不得不从头陈设合约。恐怕这一点是此前许多项目方都没有意识到的新动向和新问题。

这说明安详隐患涉及的问题无论在广度照旧在深度上都上升到了一个前所未有的高度。

我们相信这个问题只会越来越显现:因为区块链生态的富厚一定导致跨链应用成为刚需,成为一个无法否决的趋势。这意味着将来跨链应用只会越来越多,同时也意味着资产跨链也会越来越频繁,因此将来的项目方也在陈设应用时不行能仅仅只思量某个区块链而要思量应用的跨链场景。由此带来的状况就是安详问题一定越来越突出,攻防抵牾越来越厉害。

面临这个新形势,从应用的角度看:不只跨链应用项目方自己要高度重视项目代码的安详,对代码的审查要比以往越发重视,并且陈设在跨链应用上的第三方项目方将来除了注重项目自身的安详以外也也必需重视跨链应用的安详。

从代码的角度看:跨链项目标代码为了因应新的安详挑战一定越来越巨大;陈设在跨链应用上的项目也一定会越来越巨大,好比要增加处理惩罚紧张状况的成果和接口,以便在事发的第一时间实时提取其陈设在差异区块链上的活动性。

从项目方的角度看:将来面临越发巨大的应用场景和更高的代码难度,对代码的审计一定要越发重视。

从用户的角度看:必然要越发慎重地对本身投资可能有意向投资的项目举办具体的审查,重点审阅项目方的审计陈诉。

从审计公司的角度看:面临越来越巨大的系统,审计的难度也将越来越大,审计的要求也会越来越高。对此作为从业者的灵踪安详不只将一如既往地在审计进程中做好代码的审计,更已经筹备好全面的保驾护航方案,随时应对项目方受到进攻后在事发的第一时间为项目方提供完备的调停法子和全面的改造方案。

关于灵踪安详:

灵踪安详科技有限公司是一家专注区块链生态安详的公司。灵踪安详科技主要通过“代码风险检测+逻辑风险检测“的一体化综合方案处事了诸多新兴知名项目。公司创立于2021年01月,团队由一支拥有富厚智能合约编程履历及网络安详履历的团队建设。

团队成员参加提倡并提交了以太坊规模的多项尺度草案,包罗ERC-1646、ERC-2569、ERC-2794,个中ERC-2569 被以太坊团队正式收入。

团队参加了多项以太坊项目标提倡及构建,包罗区块链平台、DAO组织、链上数据存储、去中心化生意业务所等项目, 并参加了多个项目标安详审计事情,在此基本上基于团队富厚的履历构建了完善的裂痕追踪及安详防御系统。


免责声明:数字资产交易涉及重大风险,本资料不应作为投资决策依据,亦不应被解释为从事投资交易的建议。请确保充分了解所涉及的风险并谨慎投资。OKEx资讯站仅提供信息参考,不构成任何投资建议,用户一切投资行为与本站无关。