CHA:對話頭部安全公司，為什么受傷的總是跨鏈橋？_blockchain安全嗎

8月10日晚間，跨鏈互操作性項目PolyNetwork突遭黑客攻擊，損失金額高達6.1億美元。如果按照事件發生時相關資產的市場價格計算，這不僅僅是DeFi歷史上涉案金額最大的黑客事件，更是整個加密貨幣歷史上涉案金額最大的黑客事件。

盡管在各方的持續努力之下，黑客最終選擇了歸還全部6.1億美元贓款，但作為一起注定會被記入加密貨幣歷史的驚天大案，針對該事件本身及其相關趨勢進行復盤和梳理仍有著較大的警示意義。

回顧本次事件，黑客的攻擊手法基本已被刨析完畢，慢霧方面指出，釀成本次事件的禍因在于EthCrossChainData合約的keeper可由EthCrossChainManager合約進行修改，而EthCrossChainManager合約的verifyHeaderAndExecuteTx函數又可以通過_executeCrossChainTx函數執行用戶傳入的數據。

如果跳出個體案件，去探尋更高層級的宏觀趨勢，PolyNetwork一案再次佐證了黑客群體已將目光聚焦在了跨鏈協議這一新興賽道之上。根據PeckShield的統計，截至?8月12日，2021年第三季度共計發生了?19?起DeFi?安全事件，其中跨鏈相關協議共六次被黑，除了?PolyNetwork外，還有ChainSwap、AnySwap、THORChain等。從數額上看，即便是不計入數額爆表的PolyNetwork事件，資金損失總額也高達3280萬美元，高于其他所有類別。

Ripple高管：公司正與20多家央行就CBDC進行對話:3月1日消息，Ripple中東地區董事總經理Brooks Entwistle在采訪中談到了該公司在央行數字貨幣（CBDC）領域的努力和目標，并透露了一些細節。這位高管解釋說，與世界各地監管機構的互動是“無價的”。與美國不同，“新加坡、東京、瑞士和英國”的監管機構歡迎對話，并參與圓桌討論。

據此前報道，CBDC是Ripple在2023年的重點，Entwistle重申了這一點，并將公司介紹為央行和當局可以尋求助力的解決方案提供商。

雖然一些國家在這方面已經很先進，但還有許多新興市場規模較小，資源較少，并且還有其他問題，Ripple可以在這些問題上發揮重要作用。在這種情況下，Entwistle透露，Ripple已經與20多家央行進行了對話。（Bitcoinist）[2023/3/1 12:36:34]

究其原因，PolyNetwork事件的黑客曾通過轉賬附加信息提到攻擊動機——因為跨鏈攻擊很“火”！

對話題進一步延伸：為什么跨鏈相關協議如此容易遭到攻擊？跨鏈橋到底該如何平衡效率與安全性？在安全形勢愈發嚴峻的當下，項目方、用戶等不同角色需要注意些什么？倘若真的發生了極端事故，又有哪些行之有效的彌補手段？

OpenAI CEO：ChatGPT已突破百萬用戶，對話費用平均只有幾美分:12月5日，OpenAI 首席執行官 Sam Altman 在社交媒體上發文表示，OpenAI 訓練的大型語言模型 ChatGPT 于上周三推出，截至今日已突破 100 萬用戶。并在回復推特首席執行官馬斯克時表示“每次對話的平均費用可能只有幾美分”，正試圖找出更精確的測量方法并壓縮費用。[2022/12/5 21:23:50]

為了找到這些問題的答案，Odaily星球日報特采訪PeckShield、BlockSec等知名安全公司。作為深耕DeFi安全的專業人員，他們會給出什么樣的答案？

Q1

Odaily星球日報：為什么跨鏈相關協議頻繁被黑？是因為當前的技術方案尚不成熟？或是此類合約的潛在隱患難以偵測嗎？

PeckShield：跨鏈協議是個新興領域，它打破了鏈與鏈之間信息孤島的壁壘，但仍需要經受時間的考驗。ChainSwap協議遭遇攻擊是因為合約本身存在漏洞，向AnySwap被攻擊則是因為跨鏈的私鑰管理出了問題，PolyNetwork被攻擊也是因為合約漏洞。這給了所有跨鏈協議一個警示，需要提升對合約的查缺補漏和以及私鑰管理授權安全的重視。

火幣論壇對話Kai Keller：中國在探索央行數字貨幣這一領域進程很快:新加坡時間12月30日下午，世界經濟論壇金融科技創新項目負責人Kai Keller做客火幣論壇，以“回顧與展望，從疫情到復蘇”為主題，與火幣商務副總裁Ciara探討在疫情的持續影響下，企業該如何進行數字化轉型。

Kai Keller認為區塊鏈和加密貨幣行業將在金融領域發揮領先作用，以比特幣為主的加密貨幣具有對沖通脹的潛力，這將是未來發展的重要領域。

作為支付手段而言，Kai Keller認為除了比特幣以外，人們會采用各種不同的支付策略，比如央行數字貨幣（CBDC），今年越來越多國家都在研究央行數字貨幣，幾乎所有國際的央行都在關注這一領域，而且采用了截然不同的模式。Kai Keller認為中國研究的央行數字貨幣模式與歐洲的完全不同，并且中國在央行數字貨幣這一領域發展很快。[2020/12/31 16:09:13]

BlockSec：我覺得有多個原因。第一個是有利可圖。由于跨鏈橋中往往存在大量的數字資產，因此成為攻擊者眼中的香餑餑。第二個是跨鏈橋的整個流程比較復雜，涉及到多條鏈和多個合約之間的交互，而這些安全風險的監測需要通過對跨鏈橋做整體安全評估分析。對某一個模塊的審計和分析并不能完整覆蓋全鏈路的安全風險，需要一些新的安全思路和解決方案。

火幣“DeFi預言家”項目對話：Terra基于費用模型搭建網絡生態:8月25日，火幣全球站“DeFi預言家”活動正式啟動，邀請到活動中四個DeFi項目線上對話。來自Terra項目生態發展負責人Daniel Hwang表示，Terra的運行基于費用模型，其生態系統網及絡基于費用模型有很大的優勢。Daniel在分享中介紹，目前Terra的累計交易收入排名第三，僅次于比特幣和以太坊，迄今為止已超過430萬美元。其中Terra驗證者獲得的獎勵超過了80萬美元。相比于通貨膨脹模型，Terra基于費用模型的重要之處在于它呈現的是客觀估值。從CHAI應用程序來看，實際消費者對商家購買的真實外部價值可以在區塊鏈上呈現。這些真實的交易費用對實際估值和網絡安全至關重要。[2020/8/26]

Q2

Odaily星球日報：在PolyNetwork一案中，社區質疑的一大焦點為其合約是否只有一名Keeper，盡管事后已經證明了該說法并不準確，但關于效率及中心化的平衡仍值得我們深思。在跨鏈相關服務中，是不是說跨鏈執行效力越高就會越中心化？中心化與不安全是劃等號的嗎？

動態 | UKDE參加中國商務部\"開發區對話500強\"系列活動:11月26日訊，近日，英國金融科技公司UKDE參加由商務部投資促進事務局、重慶市商務委員會、重慶經開區管委會聯合舉辦的“第七屆開發區對話500強”系列活動。UKDE代表在500強圓桌對話會環節分享了UKDE聯合中國與新加坡合作伙伴，共同打造中新國際供應鏈集成共享服務平臺的實踐。在供應鏈“商流、物流、資金流”等信息集成流轉基礎上，集聚中國及新加坡等東南亞國家主要金融機構為供應鏈企業提供基于區塊鏈的清算、結算和支付服務。

UKDE是一家位于英國倫敦的金融科技公司，致力于在全球范圍內提供安全、便捷、高效的區塊鏈數字金融服務。UKDE獲權使用英國金融行為監管局（FCA）電子貨幣牌照EMI，可面向全球用戶提供法定貨幣和數字資產存取、交易與支付結算服務，并與全球主流發卡機構Visa、MasterCard和銀聯合作，在線開設個人資金賬戶與借記卡，實時鏈接數字貨幣。[2019/11/26]

PeckShield：跨鏈協議是基于區塊鏈底層技術構建的，這就意味著它不僅會帶有區塊鏈技術的特性，也會攜帶技術本身的“不可能三角”，即不能同時兼顧“去中心化”、“安全性”、“交易處理性能”這三個特性。

BlockSec：原先孤鏈之間資產轉移基本是通過中心化交易所來實現，跨鏈橋本就是通過側鏈的應用來提升資產跨鏈的去中心化和執行效率，就技術而言是一種進步，也是業界為了摒棄絕對中心化而做的技術努力。

跨鏈執行效率和中心化并不存在因果邏輯關系，而跨鏈橋的中心化和不安全更沒有直接關系了，中心化是否安全主要取決于中心化實體的安全性。從壞的方面來說，存在單點安全威脅問題，但是從好的方面來說，只要中心實體的安全保障做的高，那么安全性是可以得到保障的。

總體來說，還是取決于項目方的安全防御舉措是否到位，尤其在安全公司參與審計時，需要判斷審核，服務供應商是否存在超高權限及其進行RugPull的可能性，因為這樣的操作權限設置，很可能在供應商私鑰被盜或者遺失的情況下，造成大量資金的非法轉移。

Q3

Odaily星球日報：在項目接連出事的大背景下，項目方應該怎么辦？可以采取哪些措施來規避風險？

PeckShield：跨鏈橋生態的愈發多樣化、豐富化，使得在其之上進行的交易、資金量也會隨之大幅增長。例如PolyNetwork在遭受攻擊之前，跨鏈資產轉移的規模已經超過100億美元，使用該跨鏈服務的地址數量也超過了22萬個，這也就吸引了黑客對于跨鏈協議的關注，再加上跨鏈橋本身就是黑客資金出逃的重要環節，因此也會成為黑客攻擊的目標。

對于項目方來說，首先尋求專業機構有效地排查出已知的漏洞，為協議的安全筑建第一道防線。

其次，還要注意排查與其他DeFi產品進行組合時的業務邏輯漏洞，避免出現跨合約的邏輯兼容性漏洞。

再然后，還要設計一定的風控熔斷機制，引入第三方安全公司的威脅感知情報和數據態勢情報服務，在DeFi安全事件發生時，能夠做到第一時間響應安全風險，及時排查封堵安全攻擊，避免造成更多的損失。

最后，應聯動行業各方力量，搭建一套完善的資產追蹤機制，實時監控相關虛擬貨幣的流轉情況。運維安全。

BlockSec：

將安全引進設計中也就是我們通常說的securitybydesign，而不只是安全審計。應該在設計階段引入第三方安全公司來一起評估安全風險。

項目技術代碼開源從長周期看也是化解未知風險的一種必要性。

對鏈上情況保持持續監控，能及時感知鏈上異常事件，從而在損失擴大之前及時阻斷。

Q4

Odaily星球日報：跨鏈的需求一直存在，且勢必會越來越旺盛，對于用戶來說，他們應該怎么辦？怎樣選擇安全且合適的跨鏈橋？

PeckShield：需要說明的是，在發生此類安全事件時，損失最大的往往是為跨鏈提供資金流動性的LPs，我們的建議是做好項目背調，不要輕易將資產投入到沒有審計過的項目中，包括正在進行審計但尚未完成的項目。再者，就是對于跨合約的協議，不要過度授權，包括項目相關方對跨鏈協議也不要過度授權。

Q5

Odaily星球日報：當發生極端安全事故后，有哪些行之有效的彌補手段？

PeckShield：當發生極端安全事故后，首先是項目方和相關方聯動啟動一級響應，追溯事故根源，同時追蹤被盜資產流轉情況，及時排查封堵安全攻擊，避免造成更多的損失；實時監控相關虛擬貨幣的流轉情況，聯動中心化機構攔截、圍堵被盜資產，盡可能挽回部分被盜資產；事后要準備完備的補償方案，彌補用戶損失；或者，設置比較可靠的保險方案。

BlockSec：

協同上下游業內資源，及時追蹤被盜資產流向，并挽回損失，尤其是占據大多數流通性的交易所或穩定幣方面，能在贓款風控上更有效阻斷。

評估項目的整體安全性，引入第三方安全公司從安全視角整體審視項目設計，考慮到跨鏈項目的復雜性，應加大安全審計力度。

小結

PeckShield和BlockSec的回答為我們大致揭露了跨鏈相關協議當前所面臨的安全挑戰。

綜合來看，跨鏈相關協議之所以容易屢遭攻擊，大致可分為三層原因，一是隨著賽道的高速發展，其承載的資金量也在快速膨脹；二是賽道仍處于新興階段，各項細節仍待優化；三是跨鏈相關協議往往涉及到多條鏈和多個合約之間的交互，流程上相對復雜，風險點較多。

對于普通用戶來說，現在所面臨的情況在某種程度上和去年DeFi起步之初有些類似，在權衡收益及風險需要更加慎重，優先選擇審計狀況更為完善、業務順利運行更久的協議。

而對于身處一線的項目方來說，一方面要吸收過往事件的經驗，針對性地查漏補缺；另一方面也要主動進行安全升級，方法包括但不限于委托更多安全公司進行審計，及時跟進底層公鏈的升級和變化，整合Lossless等衍生安全方案，尋求與?NexusMutual等保險協議的合作，像cBridge那樣探尋非合約型流動性鎖定方式等等……

最后，我們想要呼吁所有相關從業人員，包括ChainSwap、AnySwap、THORChain、PolyNetwork等受害項目方不要喪失信心，新興賽道的起步初期總是會伴隨著陣痛，隨著多鏈格局的日漸穩固，跨鏈勢必會愈發蓬勃，黑客的“青睞”已側面證明了這條賽道的價值，希望各位不要因為這顆絆腳石而停下了前進的腳步。

Tags：CHAHAIEFIORKblockchain安全嗎0chainEarn DeFi CoinHertz Network

SHIB最新價格