DEFI:对话头部安全公司，为什么受伤的总是跨链桥？_SEC

8月10日晚间，跨链互操作性项目PolyNetwork突遭黑客攻击，损失金额高达6.1亿美元。如果按照事件发生时相关资产的市场价格计算，这不仅仅是DeFi历史上涉案金额最大的黑客事件，更是整个加密货币历史上涉案金额最大的黑客事件。

尽管在各方的持续努力之下，黑客最终选择了归还全部6.1亿美元赃款，但作为一起注定会被记入加密货币历史的惊天大案，针对该事件本身及其相关趋势进行复盘和梳理仍有着较大的警示意义。回顾本次事件，黑客的攻击手法基本已被刨析完毕，慢雾方面指出，酿成本次事件的祸因在于EthCrossChainData合约的keeper可由EthCrossChainManager合约进行修改，而EthCrossChainManager合约的verifyHeaderAndExecuteTx函数又可以通过_executeCrossChainTx函数执行用户传入的数据。如果跳出个体案件，去探寻更高层级的宏观趋势，PolyNetwork一案再次佐证了黑客群体已将目光聚焦在了跨链协议这一新兴赛道之上。根据PeckShield的统计，截至8月12日，2021年第三季度共计发生了19起DeFi安全事件，其中跨链相关协议共六次被黑，除了PolyNetwork外，还有ChainSwap、AnySwap、THORChain等。从数额上看，即便是不计入数额爆表的PolyNetwork事件，资金损失总额也高达3280万美元，高于其他所有类别。

谷歌计划在其旗舰搜索引擎中添加对话式人工智能功能:金色财经报道，谷歌CEO桑达尔·皮查伊表示，谷歌计划在其旗舰搜索引擎中添加对话式人工智能功能，以引导这家科技公司应对来自ChatGPT等聊天机器人的竞争以及更广泛的商业压力。[2023/4/6 13:48:36]

究其原因，PolyNetwork事件的黑客曾通过转账附加信息提到攻击动机——因为跨链攻击很“火”！

对话题进一步延伸：为什么跨链相关协议如此容易遭到攻击？跨链桥到底该如何平衡效率与安全性？在安全形势愈发严峻的当下，项目方、用户等不同角色需要注意些什么？倘若真的发生了极端事故，又有哪些行之有效的弥补手段？为了找到这些问题的答案，Odaily星球日报特采访PeckShield、BlockSec等知名安全公司。作为深耕DeFi安全的专业人员，他们会给出什么样的答案？Q1

Ripple高管：公司正与20多家央行就CBDC进行对话:3月1日消息，Ripple中东地区董事总经理Brooks Entwistle在采访中谈到了该公司在央行数字货币（CBDC）领域的努力和目标，并透露了一些细节。这位高管解释说，与世界各地监管机构的互动是“无价的”。与美国不同，“新加坡、东京、瑞士和英国”的监管机构欢迎对话，并参与圆桌讨论。

据此前报道，CBDC是Ripple在2023年的重点，Entwistle重申了这一点，并将公司介绍为央行和当局可以寻求助力的解决方案提供商。

虽然一些国家在这方面已经很先进，但还有许多新兴市场规模较小，资源较少，并且还有其他问题，Ripple可以在这些问题上发挥重要作用。在这种情况下，Entwistle透露，Ripple已经与20多家央行进行了对话。（Bitcoinist）[2023/3/1 12:36:34]

Odaily星球日报：为什么跨链相关协议频繁被黑？是因为当前的技术方案尚不成熟？或是此类合约的潜在隐患难以侦测吗？PeckShield：跨链协议是个新兴领域，它打破了链与链之间信息孤岛的壁垒，但仍需要经受时间的考验。ChainSwap协议遭遇攻击是因为合约本身存在漏洞，向AnySwap被攻击则是因为跨链的私钥管理出了问题，PolyNetwork被攻击也是因为合约漏洞。这给了所有跨链协议一个警示，需要提升对合约的查缺补漏和以及私钥管理授权安全的重视。

币信对话Nic Carter：区块链更像是批发网络 而不是零售网络:币信全球商务拓展总监在币信直播间对话Coin Metrics创始人Nic Carter，探讨早期互联网发展和比特币发展。Nic Carter表示：我认为主要区别在于这是一场货币革命，而互联网是一场通信革命。在全球范围内，资本第一次真正变得无摩擦。这是一个巨大的变化。我认为这最终将杀死最弱的主权货币，因为它们会选择更坚挺的货币（例如美元）并拒绝本国货币，就像厄瓜多尔那样。比特币是一种非国家货币商品，如果人们选择它，它有可能成为中立的全球储备资产。互联网在其历史的大部分时间内还是一场面向消费者的革命，而我想说的是，公共区块链更像是批发网络，而不是零售网络。从根本上讲，普通用户很难存储私钥并且安全地进行交易。因此，我们看到了行业中出现大量中间媒介。我认为大多数用户最终都将通过银行、交易所或托管人与公共区块链进行交互。但是无论如何，他们将从这些资产中获得全部价值。[2020/7/3]

火币尖峰对话杨民道：DeFi是底层开放金融的底层基础设施:6月24日下午，在由火币主办的火币尖峰对话“Waiting For ETH2.0”系列AMA活动中，火币矿池与dForce创始人杨民道、Infstones Head of Bussiness Sili、Stafi&Wetez创始人卡咩、真本聪联合创始人索老头就“乘风破浪的以太坊DeFi ”展开主题讨论，深度解读ETH2.0将给行业带来的重大影响。

dForce创始人杨民道在发言时表示，DeFi是底层开放金融的底层基础设施，DeFi项目的热度被引爆，主要是DeFi的基础设施（稳定币、交易协议、借贷协议）已经有基础铺设，各个协议之间通过可组合性建立了极强的协议网络互联。随后，杨民道从DeFi协议的锁仓价值、以太坊DeFi宇宙的繁荣程度角度做了进一步讲解，他认为DeFi作为加密货币和区块链落地的应用，真正验证了自己的逻辑，而且通过透明的链上增长数据，展现出增长潜力。[2020/6/24]

BlockSec：我觉得有多个原因。第一个是有利可图。由于跨链桥中往往存在大量的数字资产，因此成为攻击者眼中的香饽饽。第二个是跨链桥的整个流程比较复杂，涉及到多条链和多个合约之间的交互，而这些安全风险的监测需要通过对跨链桥做整体安全评估分析。对某一个模块的审计和分析并不能完整覆盖全链路的安全风险，需要一些新的安全思路和解决方案。Q2

Bittrex回应SEC声明：加密货币不是证券 期待与SEC对话:针对SEC（美国证券交易委员会）最新发布的《关于可能违法的数字资产交易平台的声明》，美国最大的数字货币交易平台Bittrex率先做出回应：“作为美国的加密货币交易平台，Bittrex致力于孵化新的区块链技术，并向客户提供创新、合规的数字资产。Bittrex有强大的加密货币审查程序，为确保交易所上线的加密货币符合美国法律，不被视为证券。Bittrex致力于推动美国在这个新兴行业的全球领导地位，我们期待着继续与SEC和其他监管机构进行积极对话，探讨如何为区块链建立一个安全，全面监管的环境，鼓励创新和经济增长。”[2018/3/8]

Odaily星球日报：在PolyNetwork一案中，社区质疑的一大焦点为其合约是否只有一名Keeper，尽管事后已经证明了该说法并不准确，但关于效率及中心化的平衡仍值得我们深思。在跨链相关服务中，是不是说跨链执行效力越高就会越中心化？中心化与不安全是划等号的吗？PeckShield：跨链协议是基于区块链底层技术构建的，这就意味着它不仅会带有区块链技术的特性，也会携带技术本身的“不可能三角”，即不能同时兼顾“去中心化”、“安全性”、“交易处理性能”这三个特性。BlockSec：原先孤链之间资产转移基本是通过中心化交易所来实现，跨链桥本就是通过侧链的应用来提升资产跨链的去中心化和执行效率，就技术而言是一种进步，也是业界为了摒弃绝对中心化而做的技术努力。跨链执行效率和中心化并不存在因果逻辑关系，而跨链桥的中心化和不安全更没有直接关系了，中心化是否安全主要取决于中心化实体的安全性。从坏的方面来说，存在单点安全威胁问题，但是从好的方面来说，只要中心实体的安全保障做的高，那么安全性是可以得到保障的。总体来说，还是取决于项目方的安全防御举措是否到位，尤其在安全公司参与审计时，需要判断审核，服务供应商是否存在超高权限及其进行RugPull的可能性，因为这样的操作权限设置，很可能在供应商私钥被盗或者遗失的情况下，造成大量资金的非法转移。Q3

Odaily星球日报：在项目接连出事的大背景下，项目方应该怎么办？可以采取哪些措施来规避风险？PeckShield：跨链桥生态的愈发多样化、丰富化，使得在其之上进行的交易、资金量也会随之大幅增长。例如PolyNetwork在遭受攻击之前，跨链资产转移的规模已经超过100亿美元，使用该跨链服务的地址数量也超过了22万个，这也就吸引了黑客对于跨链协议的关注，再加上跨链桥本身就是黑客资金出逃的重要环节，因此也会成为黑客攻击的目标。

对于项目方来说，首先寻求专业机构有效地排查出已知的漏洞，为协议的安全筑建第一道防线。其次，还要注意排查与其他DeFi产品进行组合时的业务逻辑漏洞，避免出现跨合约的逻辑兼容性漏洞。再然后，还要设计一定的风控熔断机制，引入第三方安全公司的威胁感知情报和数据态势情报服务，在DeFi安全事件发生时，能够做到第一时间响应安全风险，及时排查封堵安全攻击，避免造成更多的损失。最后，应联动行业各方力量，搭建一套完善的资产追踪机制，实时监控相关虚拟货币的流转情况。运维安全。BlockSec：将安全引进设计中也就是我们通常说的securitybydesign，而不只是安全审计。应该在设计阶段引入第三方安全公司来一起评估安全风险。项目技术代码开源从长周期看也是化解未知风险的一种必要性。对链上情况保持持续监控，能及时感知链上异常事件，从而在损失扩大之前及时阻断。Q4

Odaily星球日报：跨链的需求一直存在，且势必会越来越旺盛，对于用户来说，他们应该怎么办？怎样选择安全且合适的跨链桥？PeckShield：需要说明的是，在发生此类安全事件时，损失最大的往往是为跨链提供资金流动性的LPs，我们的建议是做好项目背调，不要轻易将资产投入到没有审计过的项目中，包括正在进行审计但尚未完成的项目。再者，就是对于跨合约的协议，不要过度授权，包括项目相关方对跨链协议也不要过度授权。Q5

Odaily星球日报：当发生极端安全事故后，有哪些行之有效的弥补手段？PeckShield：当发生极端安全事故后，首先是项目方和相关方联动启动一级响应，追溯事故根源，同时追踪被盗资产流转情况，及时排查封堵安全攻击，避免造成更多的损失；实时监控相关虚拟货币的流转情况，联动中心化机构拦截、围堵被盗资产，尽可能挽回部分被盗资产；事后要准备完备的补偿方案，弥补用户损失；或者，设置比较可靠的保险方案。BlockSec：协同上下游业内资源，及时追踪被盗资产流向，并挽回损失，尤其是占据大多数流通性的交易所或稳定币方面，能在赃款风控上更有效阻断。评估项目的整体安全性，引入第三方安全公司从安全视角整体审视项目设计，考虑到跨链项目的复杂性，应加大安全审计力度。小结

PeckShield和BlockSec的回答为我们大致揭露了跨链相关协议当前所面临的安全挑战。综合来看，跨链相关协议之所以容易屡遭攻击，大致可分为三层原因，一是随着赛道的高速发展，其承载的资金量也在快速膨胀；二是赛道仍处于新兴阶段，各项细节仍待优化；三是跨链相关协议往往涉及到多条链和多个合约之间的交互，流程上相对复杂，风险点较多。对于普通用户来说，现在所面临的情况在某种程度上和去年DeFi起步之初有些类似，在权衡收益及风险需要更加慎重，优先选择审计状况更为完善、业务顺利运行更久的协议。而对于身处一线的项目方来说，一方面要吸收过往事件的经验，针对性地查漏补缺；另一方面也要主动进行安全升级，方法包括但不限于委托更多安全公司进行审计，及时跟进底层公链的升级和变化，整合Lossless等衍生安全方案，寻求与NexusMutual等保险协议的合作，像cBridge那样探索非合约型流动性锁定方式等等……最后，我们想要呼吁所有相关从业人员，包括ChainSwap、AnySwap、THORChain、PolyNetwork等受害项目方不要丧失信心，新兴赛道的起步初期总是会伴随着阵痛，随着多链格局的日渐稳固，跨链势必会愈发蓬勃，黑客的“青睐”已侧面证明了这条赛道的价值，希望各位不要因为这颗绊脚石而停下了前进的脚步。

标签：DEFIDEFEFISECdefibox币价格Paradise DefiDEFI币RiseCoin

Pol币热门资讯