Chainalysis发布的数据显示,单单2022年跨链桥掠夺事件所带来的损失就多达20亿美元。跨链桥安全问题层出不穷,每一次的攻击事件,都引发了行业的关注。对于产品安全问题,跨链桥项目Multichain安全负责人XChang近日就针对该项目的产品安全机制进行了详细的披露,希望借此机会与业内友商和关注跨链桥生态的观察人士分享Multichain的经历。
据XChang,Multichain的安全策略以攻击事件为时间点分为三阶,即:发生前,发生时,发生后。每个阶段都有对应的应对步骤与策略。
受Curve Finance攻击事件影响,UNI永续期货交易溢价接近20%:金色财经报道,Curve Finance价值数百万美元的利用让交易者转向Uniswap的UNI代币。据加密服务提供商Matrixport跟踪的数据,在该漏洞发生后,与UNI相关的永续期货的融资利率已飙升至年化 19%。Matrixport研究与策略主管Markus Thielen表示,UNI 代币(永续合约)的交易溢价近 20%,因为交易员预计 Uniswap 在 CRV 漏洞利用后将获得更多市场份额。[2023/7/31 16:08:38]
1.发生前:
火必已联合Gala Games将对pGALA增发攻击事件受损用户进行赔偿:4月3日消息,火必发布官方公告,宣布已与Gala Games协商完成pGALA增发攻击事件受损用户赔偿计划,赔偿金额达5000万美金。公告显示,本次赔付将由火必与Gala Games共同承担,其中火必为受损用户提供2500万美金等额现金和权益作为补偿,包括:1500万USDT及1000万等值权益补偿;同样,Gala Games将为受损用户提供2500万美金等值的节点补偿,上述赔偿计划将于本周内启动。
据悉,pGALA事件源于pNetwork协同黑客在BSC链上利用跨链桥漏洞增发10亿美金等值的天量pGALA,并从流动池内抛售并提现,累计获利预计超千万美金。受链上币价大跌及pNetwork故意隐瞒该信息恶意套利的影响,致使Gala Games及火必在内的诸多第三方蒙受巨大损失。除上述赔偿计划,目前火必已与Gala Games达成共识,将通过法律途径对pNetwork进行联合起诉追缴。[2023/4/3 13:41:37]
项目通过内部和外部审计方式来排除任何安全隐患。同时,也通过漏洞悬赏调动业内专家帮助发现漏洞,避免造成损失。另外,Multichain也希望通过即将推出的MultiDAO来对产品安全做另一次预防性把关。除此之外,Multichain也利用主要媒体平台的关键词舆论监测来观察业内跨链桥安全问题相关的动态,从中进行自省,监测其他事件的影响是否波及到Multichain的资产。对于大额度的交易,Multichain也实施了跨链金额限制及链资金流量和总量限制,以避免类似Horizon的事件重蹈覆辙。
Balancer:约1190万美元资金受Euler攻击事件影响,其他流动性池安全:金色财经报道,去中心化交易协议 Balancer 发推表示,在 Euler Finance 攻击事件中,约 1190 万美元从 bbeUSD 流动性池中被发送给 Eule,占了整个该流动性池 TVL 的 65%,bbeUSD 代币也被存入了其他 4 个流动性池:wstETH/bbeUSD、rETH/bbeUSD、TEMPLE/bbeUSD、DOLA/bbeUSD,所有其他的 Balancer 流动性池都是安全的。
由于采取了保护剩余资金的措施,UI 目前不支持现有 LP 退出这些 bbeUSD 池中的头寸,但不存在资金进一步损失的风险,bbeUSD 池用户可以使用 UI 按比例提取代币和 bbeUSD,但在 Euler 恢复 eTokens(例如 eDAI/DAI)的可转让性之前,无法从 bbeUSD 撤回资金。[2023/3/14 13:02:28]
2.发生时:
攻击事件发生时,关键在于及时拉响警钟,让平台能迅速采取行动。Multichain设置了检测Watchdogs,能够及时反应异常现象。同时,项目也调动DAO的力量,对发现漏洞以及及时将异常现象通报平台的成员发放奖励。
3.发生后:
Mutichain将会暂停产品的使用,以先止损,后修复的形式去应对黑客事件。同时,该项目也进行演习,并在智能合约上设置暂停功能。此外,Multichain也从项目利润中挪出了一部分资金作为安全基金,补偿用户在类似事件中的损失。
ChangX也阐明了多方安全计算的特征能够确保更强的去中心化以及控制成本,而且MPC私钥分片会定期更新作废,进一步防范黑客行为。与此同时,Multichain也与网络基础设置提供商合作,力求营造更安全的产品环境。至于Multichain即将发布的MPC+HSM方案,它能够确保在服务器被攻击的情况下,仍旧遏制黑客获取私钥分片。
本文转载自
https://medium.com/multichainorg/multichain-安全策略-详细披露-3c38360bfd0b
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。