敲响DeFi安详警钟,为什么跨链相关协议如此容易遭到进攻?

8 月 10 日晚间,跨链互操纵性项目 Poly Network 突遭黑客进攻,损失金额高达 6.1 亿美元。假如凭据事件产生时相关资产的市场价值计较,这不只仅是 DeFi 汗青上涉案金额最大的黑客事件,更是整个加密钱币汗青上涉案金额最大的黑客事件。

尽量在各方的一连尽力之下,黑客最终选择了偿还全部 6.1 亿美元赃款,但作为一起注定会被记入加密钱币汗青的惊天大案,针对该事件自己及其相关趋势举办复盘和梳理仍有着较大的警示意义。

回首本次事件,黑客的进攻手法根基已被刨析完毕,慢雾方面指出,变本钱次事件的祸因在于 EthCrossChainData 合约的 keeper 可由 EthCrossChainManager 合约举办修改,而 EthCrossChainManager 合约的 verifyHeaderAndExecuteTx 函数又可以通过 _executeCrossChainTx 函数执行用户传入的数据。

假如跳出个别案件,去探寻更高层级的宏观趋势,Poly Network 一案再次佐证了黑客群体已将眼光聚焦在了跨链协议这一新兴赛道之上。按照 PeckShield 的统计,停止 8 月 12 日,2021年第三季度共计产生了 19 起 DeFi 安详事件,个中跨链相关协议共六次被黑,除了 Poly Network 外,尚有 ChainSwap、AnySwap、THORChain 等。从数额上看,即即是不计入数额爆表的 Poly Network 事件,资金损失总额也高达 3280 万美元,高于其他所有种别。

究其原因,Poly Network 事件的黑客曾通过转账附加信息提到进攻念头——因为跨链进攻很“火”!

对话题进一步延伸:为什么跨链相关协议如此容易遭到进攻?跨链桥到底该如何均衡效率与安详性?在安详形势愈发严峻的当下,项目方、用户等差异脚色需要留意些什么?倘若真的产生了极度变乱,又有哪些行之有效的补充手段?

为了找到这些问题的谜底,Odaily 星球日报特采访 PeckShield、BlockSec 等知名安详公司。作为深耕 DeFi 安详的专业人员,他们会给出什么样的谜底?

Q1

Odaily 星球日报:为什么跨链相关协议频繁被黑?是因为当前的技能方案尚不成熟?或是此类合约的潜在隐魔难以侦测吗?

PeckShield:跨链协议是个新兴规模,它冲破了链与链之间信息孤岛的壁垒,但仍需要担那时间的检验。ChainSwap 协议遭遇进攻是因为合约自己存在裂痕,向 AnySwap 被进攻则是因为跨链的私钥打点出了问题,Poly Network 被进攻也是因为合约裂痕。这给了所有跨链协议一个警示,需要晋升对合约的查缺补漏和以及私钥打点授权安详的重视。



BlockSec(受访者为 BlockSec 连系首创人、浙江大学网络空间安详学院传授周亚金):我以为有多个原因。第一个是有利可图。由于跨链桥中往往存在大量的数字资产,因此成为进攻者眼中的香饽饽。第二个是跨链桥的整个流程较量巨大,涉及到多条链和多个合约之间的交互,而这些安详风险的监测需要通过对跨链桥做整体安详评估阐明。对某一个模块的审计和阐明并不能完整包围全链路的安详风险,需要一些新的安详思路息争决方案。

Q2

Odaily 星球日报:在 Poly Network 一案中,社区质疑的一大核心为其合约是否只有一名 Keeper,尽量过后已经证明白该说法并禁绝确,但关于效率及中心化的均衡仍值得我们深思。在跨链相关处事中,是不是说跨链执行效力越高就会越中心化?中心化与不安详是划等号的吗?

PeckShield:跨链协议是基于区块链底层技能构建的,这就意味着它不只会带有区块链技能的特性,也会携带技能自己的“不行能三角”,即不能同时分身“去中心化”、“安详性”、“生意业务处理惩罚机能”这三个特性。

BlockSec:原先孤链之间资产转移根基是通过中心化生意业务所来实现,跨链桥本就是通过侧链的应用来晋升资产跨链的去中心化和执行效率,就技能而言是一种进步,也是业界为了摒弃绝对中心化而做的技能尽力。

跨链执行效率和中心化并不存在因果逻辑干系,而跨链桥的中心化和不安详更没有直接干系了,中心化是否安详主要取决于中心化实体的安详性。从坏的方面来说,存在单点安详威胁问题,可是从好的方面来说,只要中心实体的安详保障做的高,那么安详性是可以获得保障的。

总体来说,照旧取决于项目方的安详防止办法是否到位,尤其在安详公司参加审计时,需要判定审核,处事供给商是否存在(无需审核的转移资金权限)超高权限及其举办 Rug Pull 的大概性,因为这样的操纵权限配置,很大概在供给商私钥被盗可能遗失的环境下,造成大量资金的犯科转移。

Q3

Odaily 星球日报:在项目接连失事的大配景下,项目方应该怎么办?可以采纳哪些法子来规避风险?


免责声明:数字资产交易涉及重大风险,本资料不应作为投资决策依据,亦不应被解释为从事投资交易的建议。请确保充分了解所涉及的风险并谨慎投资。OKEx资讯站仅提供信息参考,不构成任何投资建议,用户一切投资行为与本站无关。