从6月底到现在,在不到一个月的时间里,业内发生了几起重大攻击事件
6月29日,Thorchain遭到恶意攻击,估计损失14万美元。
7月3日,跨链项目Chainwap Contract遭到攻击,一些用户代币被主动从与Chainwap交互的钱包中取出,总损失约80万元,跨链桥暂停运营。
7月11日,跨链项目Chainwap在推特上发布消息称,再次遭到黑客攻击,部署在跨链大桥上的20多个项目代币与智能合约被黑客窃取,损失总额达400万美元。
7月12日,跨链项目Anyswap新推出的V3跨链流动性池也遭到黑客攻击,总损失超过787万美元。
7月16日,Thorchain再次遭到攻击,损失约13000 ETH,价值约2500万美元。
从上述案例中,我们清楚地发现,这些攻击表现出四个明显的特点:
1.所有攻击都针对跨链项目。
2.多个项目在一个月内被多次攻击。
3.因攻击造成的项目损失额不断增加。
4.不仅是被攻击项目本身的运作,也包括跨链项目中部署的其他项目方的运作。
纵观这些被攻击的项目,大多是由于在资产跨链过程中缺乏对资产和签名的验证,导致黑客抓住漏洞攻击项目。
其中一个问题(例如,私钥可以通过同一个签名检索)在业界是众所周知的。然而,在跨链的新场景中,没有先例,因此开发团队可能会忽略对此类问题的调查。另一方面,由于跨链应用涉及到复杂的场景,团队在代码逻辑的设计上会遗漏一些关键点。
对于任何新的应用程序,项目都必须面对这样的挑战。
此外,跨链项目受到攻击也给行业带来了新的安全挑战:过去项目受到攻击时,只有项目方遭受损失;在跨链领域,由于跨链应用本身已经成为一个平台,它将承载其他应用。因此,一旦跨链应用程序本身受到攻击,带来的损失不仅是跨链项目本身,还有跨链应用程序所承载的项目。
在这些攻击案例中,当Chainwap第二次受到攻击时,部署在其上的20多个项目遭受损失,不得不重新部署合同。恐怕这是许多项目方以前没有意识到的新趋势和新问题。
由此可见,安全风险问题在广度和深度上都上升到了前所未有的高度。
我们认为,这个问题只会越来越明显:由于区块链生态的丰富,跨链应用必然成为刚性需求,成为不可阻挡的趋势。这意味着未来跨链应用只会越来越多,也意味着资产跨链应用会越来越频繁。因此,在部署应用程序时,未来的项目各方不仅可以考虑块链,还可以考虑应用程序的跨链场景。由此产生的形势是,安全问题必然越来越突出,攻防矛盾也越来越尖锐。
面对这一新形势,从应用的角度来看,不仅跨链应用项目本身要高度重视项目代码的安全性,而且代码评审也要比以往更加重视。今后,部署在跨链应用上的第三方项目方除了要注意项目本身的安全外,还必须注意跨链应用的安全性。
从代码的角度看:为了迎接新的安全挑战,跨链项目的代码必然变得越来越复杂;部署在跨链应用程序上的项目必然会变得越来越复杂。比如增加应对突发事件的功能和接口,第一时间提取部署在不同区块链上的流动性。
从项目方的角度来看:未来面对更复杂的应用场景和更高的代码难度,我们必须更加重视代码审计。
从用户的角度看:我们必须更加谨慎地对我们投资或打算投资的项目进行详细的审查,重点审查项目方的审计报告。
从审计公司的角度看:面对越来越复杂的系统,审计的难度会越来越大,对审计的要求也会越来越高。对此,作为从业者,跟踪安全不仅会像往常一样做好审核过程中的代码审核,而且会有一个全面的护航方案,随时应对项目方的攻击,并在第一时间为项目方提供完整的补救措施和全面的改进方案。
文章标题:深度|最近频发的跨链攻击有什么新特点?
文章链接:https://www.btchangqing.cn/302826.html
更新时间:2021年07月21日
本站大部分内容均收集于网络,若内容若侵犯到您的权益,请联系我们,我们将第一时间处理。
