新2手机代理管理端

www.x2w0000.com)实时更新发布最新最快的新2手机代理管理端、新2会员线路、新2备用登录网址、新2手机管理端、新2手机版登录网址、新2皇冠登录网址。

,

8 月 10 日晚间,跨链互操作性项目 Poly Network 突遭黑客攻击,损失金额高达 6.1 亿美元。若是根据事宜发生时相关资产的市场价钱盘算,这不仅仅是 DeFi 历史上涉案金额最大的黑客事宜,更是整个加密钱币历史上涉案金额最大的黑客事宜。

只管在各方的连续起劲之下,黑客最终选择了送还所有 6.1 亿美元赃款,但作为一起注定会被记入加密钱币历史的惊天大案,针对该事宜自己及其相关趋势举行复盘和梳理仍有着较大的警示意义。

回首本次事宜,黑客的攻击手法基本已被刨析完毕,慢雾方面指出,酿成本次事宜的祸因在于 EthCrossChainData 合约的 keeper 可由 EthCrossChainManager 合约举行修改,而 EthCrossChainManager 合约的 verifyHeaderAndExecuteTx 函数又可以通过 _executeCrossChainTx 函数执行用户传入的数据。

若是跳出个体案件,去探寻更高层级的宏观趋势,Poly Network 一案再次佐证了黑客群体已将眼光聚焦在了跨链协议这一新兴赛道之上。凭证 PeckShield 的统计,住手 8 月 12 日,2021年第三季度共计发生了 19 起 DeFi 平安事宜,其中跨链相关协议共六次被黑,除了 Poly Network 外,另有 ChainSwap、AnySwap、THORChain 等。从数额上看,即即是不计入数额爆表的 Poly Network 事宜,资金损失总额也高达 3280 万美元,高于其他所有种别。

究其缘故原由,Poly Network 事宜的黑客曾通过转账附加信息提到攻击念头——由于跨链攻击很“火”!

对话题进一步延伸:为什么跨链相关协议云云容易遭到攻击?跨链桥到底该若何平衡效率与平安性?在平安形势愈发严重的当下,项目方、用户等差异角色需要注重些什么?倘若真的发生了极端事故,又有哪些行之有用的填补手段?

为了找到这些问题的谜底,Odaily 星球日报特采访 PeckShield、BlockSec 等着名平安公司。作为深耕 DeFi 平安的专业职员,他们会给出什么样的谜底?

Odaily 星球日报:为什么跨链相关协议频仍被黑?是由于当前的手艺方案尚不成熟?或是此类合约的潜在隐灾祸以侦测吗?

PeckShield:跨链协议是个新兴领域,它打破了链与链之间信息孤岛的壁垒,但仍需要经受时间的磨练。ChainSwap 协议遭遇攻击是由于合约自己存在破绽,向 AnySwap 被攻击则是由于跨链的私钥治理出了问题,Poly Network 被攻击也是由于合约破绽。这给了所有跨链协议一个警示,需要提升对合约的查缺补漏和以及私钥治理授权平安的重视。

BlockSec(受访者为 BlockSec 团结首创人、浙江大学网络空间平安学院教授周亚金):我以为有多个缘故原由。第一个是有利可图。由于跨链桥中往往存在大量的数字资产,因此成为攻击者眼中的香饽饽。第二个是跨链桥的整个流程对照庞大,涉及到多条链和多个合约之间的交互,而这些平安风险的监测需要通过对跨链桥做整体平安评估剖析。对某一个模块的审计和剖析并不能完整笼罩全链路的平安风险,需要一些新的平安思绪息争决方案。

Odaily 星球日报:在 Poly Network 一案中,社区质疑的一大焦点为其合约是否只有一名 Keeper,只管事后已经证实晰该说法并禁绝确,但关于效率及中央化的平衡仍值得我们深思。在跨链相关服务中,是不是说跨链执行效力越高就会越中央化?中央化与不平安是划等号的吗?

PeckShield:跨链协议是基于区块链底层手艺构建的,这就意味着它不仅会带有区块链手艺的特征,也会携带手艺自己的“不能能三角”,即不能同时兼顾“去中央化”、“平安性”、“生意处置性能”这三个特征。

BlockSec:原先孤链之间资产转移基本是通过中央化生意所来实现,跨链桥本就是通过侧链的应用来提升资产跨链的去中央化和执行效率,就手艺而言是一种提高,也是业界为了摒弃绝对中央化而做的手艺起劲。

跨链执行效率和中央化并不存在因果逻辑关系,而跨链桥的中央化和不平安更没有直接关系了,中央化是否平安主要取决于中央化实体的平安性。从坏的方面来说,存在单点平安威胁问题,然则从好的方面来说,只要中央实体的平安保障做的高,那么平安性是可以获得保障的。

总体来说,照样取决于项目方的平安防御行动是否到位,尤其在平安公司介入审计时,需要判断审核,服务供应商是否存在(无需审核的转移资金权限)超高权限及其举行 Rug Pull 的可能性,由于这样的操作权限设置,很可能在供应商私钥被盗或者遗失的情形下,造成大量资金的非法转移。

2022世界杯预选赛赛程欧洲www.9cx.net)实时更新比分2022世界杯预选赛赛程欧洲数据,2022世界杯预选赛赛程欧洲全程高清免费不卡顿,100%原生直播,2022世界杯预选赛赛程欧洲这里都有。给你一个完美的观赛体验。

Odaily 星球日报:在项目接连失事的大靠山下,项目方应该怎么办?可以接纳哪些措施来规避风险?

PeckShield:跨链桥生态的愈发多样化、厚实化,使得在其之上举行的生意、资金量也会随之大幅增进。例如 Poly Network 在遭受攻击之前,跨链资产转移的规模已经跨越 100 亿美元,使用该跨链服务的地址数目也跨越了 22 万个,这也就吸引了黑客对于跨链协议的关注,再加上跨链桥自己就是黑客资金出逃的主要环节, 因此也会成为黑客攻击的目的。

  1. 其次,还要注重排查与其他 DeFi 产物举行组适时的营业逻辑破绽,阻止泛起跨合约的逻辑兼容性破绽。

  2. 再然后,还要设计一定的风控熔断机制,引入第三方平安公司的威胁感知情报和数据态势情报服务,在 DeFi 平安事宜发生时,能够做到第一时间响应平安风险,实时排查封堵平安攻击,阻止造成更多的损失。

  3. 最后,应联动行业各方气力,搭建一套完善的资产追踪机制,实时监控相关虚拟钱币的流转情形。运维平安。

BlockSec:

  1. 将平安引进设计中也就是我们通常说的 security by design,而不只是平安审计。应该在设计阶段引入第三方平安公司来一起评估平安风险。

  2. 项目手艺代码开源从长周期看也是化解未知风险的一种需要性。

  3. 对链上情形保持连续监控,能实时感知链上异常事宜,从而在损失扩大之前实时阻断。

Odaily 星球日报:跨链的需求一直存在,且势必会越来越兴旺,对于用户来说,他们应该怎么办?怎样选择平安且合适的跨链桥?

PeckShield:需要说明的是,在发生此类平安事宜时,损失最大的往往是为跨链提供资金流动性的 LPs,我们的建议是做好项目背调,不要容易将资产投入到没有审计过的项目中,包罗正在举行审计但尚未完成的项目。再者,就是对于跨合约的协议,不要太过授权,包罗项目相关方对跨链协议也不要太过授权。

Odaily 星球日报:当发生极端平安事故后,有哪些行之有用的填补手段?

PeckShield:当发生极端平安事故后,首先是项目方和相关方联动启动一级响应,追溯事故泉源,同时追踪被盗资产流转情形,实时排查封堵平安攻击,阻止造成更多的损失;实时监控相关虚拟钱币的流转情形,联动中央化机构阻挡、围堵被盗资产,尽可能挽回部门被盗资产;事后要准备完整的抵偿方案,填补用户损失;或者,设置对照可靠的保险方案。

BlockSec:

  1. 协同上下游业内资源,实时追踪被盗资产流向,并挽回损失,尤其是占有大多数流通性的生意所或稳固币方面(洗钱),能在赃款风控上更有用阻断。

  2. 评估项目的整体平安性,引入第三方平安公司从平安视角整体审阅项目设计,思量到跨链项目的庞大性,应加大平安审计力度。

小结

PeckShield 和 BlockSec 的回覆为我们大致揭破了跨链相关协议当前所面临的平安挑战。

综合来看,跨链相关协议之以是容易屡遭攻击,大致可分为三层缘故原由,一是随着赛道的高速生长,其承载的资金量也在快速膨胀;二是赛道仍处于新兴阶段,各项细节仍待优化;三是跨链相关协议往往涉及到多条链和多个合约之间的交互,流程上相对庞大,风险点较多。

对于通俗用户(主要指通过跨链桥赚取收益的流动性提供者)来说,现在所面临的情形在某种水平上和去年 DeFi 起步之初有些类似,在权衡收益及风险需要加倍稳重,优先选择审计状态更为完善、营业顺遂运行更久的协议。

而对于身处一线的项目方来说,一方面要吸收过往事宜的履历,针对性地查漏补缺;另一方面也要自动举行平安升级,方式包罗但不限于委托更多平安公司举行审计,实时跟进底层公链的升级和转变,整合 Lossless 等衍生平安方案,追求与 Nexus Mutual 等保险协议的互助,像 cBridge 那样探索非合约型流动性锁定方式等等……

最后,我们想要呼吁所有相关从业职员,包罗 ChainSwap、AnySwap、THORChain、Poly Network 等受害项目方不要损失约心,新兴赛道的起步初期总是会随同着阵痛,随着多链名目的日渐稳固,跨链势必会愈发蓬勃,黑客的“青睐”已侧面证实晰这条赛道的价值,希望列位不要由于这颗绊脚石而停下了前进的脚步。

查看更多 环球UG官网声明:该文看法仅代表作者自己,与本平台无关。转载请注明:敲响DeFi平安警钟 为什么受伤的总是跨链桥?
发布评论

分享到:

未来元宇宙将若何转变
你是第一个吃螃蟹的人
发表评论

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。