駭客事件頻發的背後:DeFi和跨鏈橋是否足夠安全?我們又該吸取哪些教訓?
作者|道爾吉
來源|鏈得得
電影《社交網路》中,扎克伯格入侵了大學校園網系統,盜取了全校女生的資料後,並製作名為“Facemash”的網站供同學們對辣妹評分,這樣的瘋狂舉動一度令哈佛大學的伺服器幾近崩潰。
在面對學校董事會審訊質問時,扎克伯格卻難以置信的要求學校對其預先警告了校園網路安全設計漏洞的行為表示感謝。
而在前不久,同樣魔幻的事情再度上演。8月10日,Poly Network平臺遭遇駭客攻擊,以太坊、BSC、Polygon三條網路上的資產被轉移。
在34分鐘的時間裡造成了超6.1億美元的虛擬貨幣被盜事件。這也是迄今為止區塊鏈歷史上最嚴重的安全事故。
整個事件在經歷了跌宕起伏的轉折之後,也在最近迎來了最終的尾聲,駭客退還了全部代幣,上演了一出“白帽駭客”的大戲,Poly Network也表示願意贈送50萬代幣以表感謝,雖然被駭客拒絕。
Poly Network也無意追究駭客法律責任,並表示為鼓勵駭客繼續與Poly Network共同為區塊鏈世界的安全進步做出貢獻,邀請白帽駭客擔任Poly Network的首席安全顧問。
8月26日,Poly Network在推特上宣佈,已完成“Poly Network被盜幣事件”中受影響使用者資產的恢復。
這樣一場由頂級駭客帶來的頂級真人秀,其實也為我們帶來了一些思考,DeFi的安全性問題如何解決、跨鏈橋是否足夠安全以及我們到底應該如何面對區塊鏈的安全性問題。
就在Poly Network駭客攻擊事件後不久,日本加密貨幣交易所Liquid遭駭客入侵,被盜9400萬美元的加密資產。毫無疑問,連續不斷的駭客事件必然會對加密貨幣市場帶來技術安全問題的考驗。
—1—
Poly Network被盜幣事件:一場頂級真人秀
區塊鏈的歷史,一直就是與安全問題抗爭的歷時,著名的The DAO專案被盜事件,最終就導致了以太坊的分叉。
包括Mt.Gox事件中,就有744408枚比特幣被盜,當時總價值約4億美元。而在2018年的Coincheck案中,有當時總價值約5.34億美元的代幣被盜,每一次盜幣都是慘痛的安全事故。
交易所被盜幣事件一直是過去區塊鏈安全問題的主要戰場,而現在DeFi卻吸引了駭客更多的目光所在。
“Poly Network被盜幣事件”最終能夠完美解決,是幸運的。一方面有著多方努力推動的結果,例如Tether等公司及時對駭客錢包中3300萬USDT的凍結,例如安全審計公司的技術全力支援等。
一方面也是駭客本身自詡“白帽駭客”(Mr. White Hat)的幸運所在,最終願意全額退還代幣。
公開資料顯示,Poly Network是由Neo、Ontology、Switcheo共同推出的異構跨鏈協議,分佈科技為其技術提供方。
在2020年8月上線主網後,目前已支援包含比特幣、以太坊、Neo、Ontology、Heco、BSC、OKExChain、Polygon等11條主流區塊鏈網路,使用者基數超過20萬。
這次的安全事故也對映出了人們對於跨鏈橋的安全性擔憂,畢竟,最近的跨鏈橋安全事故有些頻發。
據慢霧對“Poly Network被盜幣事件”的分析,慢霧認為:由於EthCrossChainManager合約中的驗證和執行交易功能可以完成某些特定的跨鏈交易。
同時EthCrossChainManager可以透過呼叫EthCrossChainData合約來修改合約Keeper地址,白帽/駭客 用 EthCrossChainManager contract 的 verifyHeaderAndExecuteTx function 傳入一個編寫好的資料去改變Keeper的地址構建交易,從而將資產提到以太坊等三個網路。
當駭客盜幣事件發生之後,就在各方開始緊張的對被盜事件進行緊急處理時,駭客開始了鏈上自問自答的直播式留言。
最開始他挑釁稱:沒有全部帶走協議裡的資產已經手下留情。如果轉移了剩餘的代幣,將是十億美金級別的攻擊。
最開始駭客一邊對代幣進行資產轉移,一邊對外聲稱對金錢不太感興趣,考慮歸還一些代幣,或者將它們留下。隨後僅相隔半天,駭客的態度開始進一步轉變,準備歸還資產,需要Poly Network團隊提供多籤錢包。
Poly Network隨後提供了一個由Poly Network控制的公開多籤錢包。駭客開始陸續歸還代幣,並在8月23日將私鑰公佈。
至此,Poly Network被盜幣事件所有被盜資產全部歸還,Poly Network也在8月26日宣佈,已完成“Poly Network被盜幣事件”中受影響使用者資產的恢復。
在整個過程中,由於駭客幾乎每天都會在區塊鏈上釋出“自問自答”,本次事件中的受害者反而稱呼其為駭客的“小作文”,在維權群中每天都會轉發駭客的最進動態。
駭客在“小作文”中對自己的行為進行了詳細的解釋:
很少有駭客能理解 DdeFi 安全的情況。你看到很多駭客,但他們中的大多數並不像一個真正的駭客那樣令人愉快。一些愚蠢的程式碼導致了大量的損失,但這並不具有挑戰性。這就像與一個青少年對抗。
我承認,Poly 駭客並不像你想象的那樣花哨,但我確實從這個專案中體驗到了新的東西。我想說的是,找出 Poly network 結構中的盲點將是我人生中最美好的時刻之一。
隨著加密世界的發展,我已經有了足夠的錢。我一直在探索生命的意義,已經好一段時間了。我希望我的生活可以由獨特的冒險組成,所以我喜歡學習和破解一切,以便與命運抗爭。命運在我心中。
說實話,我確實有一些自私的動機,想透過利用巨大的基金來做一些很酷但不有害的事情,比如 DAO。然後我意識到,成為道德領袖將是我可以達成的最酷的事情!
並且,駭客最後還安撫了所有的受害者,並不是說 Poly 團隊不值得信任,但你們沒有機會挑戰他們的程式碼,因為程式碼應該是法律。別擔心,你們不是真正的受害者。
對於為什麼選擇退還虛擬貨幣的問題,他表示:“我對金錢不是很感興趣!我知道人們受到攻擊時會很痛苦,但他們不應該從這些駭客中學到一些東西嗎?”
白帽駭客也在這個過程中向外界透露了自己的一部分身份:“非英語母語者,一直從事安全行業,對錢不感興趣。
並且向全網發起挑戰:如果任何駭客能夠在一個月內找到我的社交身份,我願意把私人禮物送給他,並表示:“即使我被確認了身份,我仍然為自己的正直感到自豪。”
這也足夠體現駭客對於自己隱蔽性和技術的信心。
整個事件過程中,駭客一直在表達足夠的善意態度,一方面,他會對被盜幣的普通使用者表示歉意,並表示他們並不是最終的受害者,一方面他也願意積極與專案方溝通。
不過也可以看出,駭客一開始存在想做 DAO的想法,退幣並非從始至終唯一的選擇。事件中,多方努力的結果也影響了駭客的最終選擇。
本次事件折射出一個很重要的安全問題:如何更安全的保護鏈上資產的安全。
—2—
不安全的跨鏈橋和DeFi:安全性任重道遠
DeFi現在已經成了駭客攻擊重災區,DeFi領域在近一個半月的時間裡發生了超過11起重大安全事件,而其中有接近一半發生在跨鏈協議中,例如AnySwap、ChainSwap、THORChain、Never Network。
而在2020年,全年DeFi行業共計發生60餘起攻擊事件,損失總和約為2.5億美元。
所以,對於鏈上資產的保護,就集中在了法律層面的保護和技術安全層面的保護兩個方向。
在相關的法律檔案中,最高人民法院聯合國家發改委共同釋出《關於為新時代加快完善社會主義市場經濟體制提供司法服務和保障的意見》。
在第六條中明確了要加強對數字貨幣、網路虛擬財產、資料等新型權益的保護,充分發揮司法裁判對產權保護的價值引領作用。
隨著駭客事件的頻出,鏈上資產安全的問題日益受到考驗的當下,上海申浩律師事務所合夥人孫俊律師認為:鏈上資產是受到法律保護的,駭客無論出於何種目的,對於資產的盜取行為本身已經觸犯法律。
而在使用者維權的時候,專案方應該承擔相應的法律責任,來保障使用者資產的安全。
在查閱過往案例的的審判內容中作者發現,例如在國內首例比特幣侵權糾紛案件中,法院認定比特幣具有財產作為權利客體需具備的價值性、稀缺性、可支配性,應認定其虛擬財產屬性。
所以,在面對鏈上資產收到侵害的問題時,即使尋求法律援助和報案,是保護資產安全最有效的途徑,畢竟,不能指望每一位駭客都是白帽駭客。
當然,因為技術手段的問題,交易的全球化市場問題,以及駭客的隱秘性的手段,加密貨幣被盜背後的追回路徑必然比普通事件的路徑要漫長,所以技術手段上的防禦肯定是更加重要的選擇。
在跨鏈橋的安全問題到底是單一專案方的問題還是具備普遍性問題上,鏈得得采訪了歐科雲鏈研究院高階研究員王海峰,他認為目前還很難下定論,但跨鏈橋技術的早期確實具有不確定性。
根據歐科雲鏈鏈上大師半年報的資料,今年上半年,DeFi領域至少發生了50起安全事件,平均每3.6天就有一起。
Poly盜幣事件,因為涉及資金巨大,引起了行業的重視,更能暴露DeFi世界的共性問題,引起我們一些思考。
鏈得得采訪慢霧安全團隊也表示,目前來看這是單一專案方的合約程式碼的問題,但不排除其它專案方有類似被攻擊的可能。
隨著DeFi世界的持續繁榮,合約協議和機制設計越來越複雜,無可避免會出現更多的安全漏洞,一旦發生Poly類的盜幣事件,雖然對專案方帶來打擊,但直接受害者是廣大的使用者。
所以歐科雲鏈研究院高階研究員王海峰建議:在篩選DeFi專案時,需要認真瞭解專案白皮書,注意智慧合約是否透過權威機構的審計。
而一旦發生了盜幣事件,歐科雲鏈具有處理區塊鏈安全案件的專業研判團隊,可以協助警方偵破、追回被盜資產。
隨著DeFi世界的持續繁榮,合約協議和機制設計必然越來越複雜,無可避免會出現更多的安全漏洞,而從頻發的安全事故之中,想要避免類似的攻擊性事件,提高行業安全性,需要全行業的共同努力。社羣和團隊需要分配更多精力在前期的合約開發搭建上,搭建好“地基”。
王海峰表示歐科雲鏈也一直在思考,如何提高行業的對區塊鏈安全事件的反制能力,並推出了歐科雲鏈鏈上大師、鏈上天眼等區塊鏈大資料產品。
鏈上大師來幫組DeFi參與者藉助資料指標,更理智和量化的評估DeFi協議,鏈上天眼幫助使用者規避洗錢、盜幣等安全風險。
慢霧安全團隊對於下一步提高行業的安全性問題的建議是:
1. 需要專案方在技術層面保證程式碼的可用性和完整性,需要在上線前做好測試,包含單元測試及迴歸測試等;
2. 在上線前,做好安全審計工作,包括但不限於合約安全審計、前端安全審計、服務端安全測試等。
Poly Network事件對於被盜幣事件反應速度較慢,這給到了我們一個很好的安全預警機制問題。
慢霧安全團隊認為:針對目標專案的智慧合約做異常監測目前個很成熟的技術,尤其是涉及資金安全的操作。
但很多時候監測到應急響應會有時間差,這個時間差很多時候很絕望,等反應過來資金可能已經被盜走了,如果要做到完全自動化來阻攔,又會涉及到智慧合約許可權過大問題,這是一個需要權衡的點。
所以慢霧安全團隊認為,更現實的辦法是:監控及時預警,然後人工儘快介入來動用各種“受限許可權”進行止損,並啟動攻擊/漏洞原因分析,及後續的追蹤溯源分析工作。
攻擊/漏洞原因分析是為了明確問題點,追蹤溯源分析是為了描繪駭客畫像,為之後定位駭客並聯系駭客提供足夠依據。
毫無疑問,在未來的一段時間之內,駭客的目光肯定會鎖定在DeFi和跨鏈橋之上,而安全性問題也將在不短的時間範圍內一直影響區塊鏈的安全問題。
而人類進步的階梯,就是我們對於過往經驗的總結和思考。
