黑客事件频发的背后:DeFi和跨链桥是否足够安全?我们又该吸取哪些教训?
作者|道尔吉
来源|链得得
电影《社交网络》中,扎克伯格入侵了大学校园网系统,盗取了全校女生的资料后,并制作名为“Facemash”的网站供同学们对辣妹评分,这样的疯狂举动一度令哈佛大学的服务器几近崩溃。
在面对学校董事会审讯质问时,扎克伯格却难以置信的要求学校对其预先警告了校园网络安全设计漏洞的行为表示感谢。
而在前不久,同样魔幻的事情再度上演。8月10日, Poly Network 平台遭遇黑客攻击,以太坊、 BSC 、 Polygon 三条网络上的资产被转移。
在34分钟的时间里造成了超6.1亿美元的虚拟货币被盗事件。这也是迄今为止区块链历史上最严重的安全事故。
整个事件在经历了跌宕起伏的转折之后,也在最近迎来了最终的尾声,黑客退还了全部代币,上演了一出“白帽黑客”的大戏,Poly Network也表示愿意赠送50万代币以表感谢,虽然被黑客拒绝。
Poly Network也无意追究黑客法律责任,并表示为鼓励黑客继续与Poly Network共同为区块链世界的安全进步做出贡献,邀请白帽黑客担任Poly Network的首席安全顾问。
8月26日,Poly Network在推特上宣布,已完成“Poly Network被盗币事件”中受影响用户资产的恢复。
这样一场由顶级黑客带来的顶级真人秀,其实也为我们带来了一些思考,DeFi的安全性问题如何解决、跨链桥是否足够安全以及我们到底应该如何面对区块链的安全性问题。
就在Poly Network黑客攻击事件后不久,日本加密货币交易所 Liquid 遭黑客入侵,被盗9400万美元的加密资产。毫无疑问,连续不断的黑客事件必然会对加密货币市场带来技术安全问题的考验。
—1—
Poly Network被盗币事件:一场顶级真人秀
区块链的历史,一直就是与安全问题抗争的历时,著名的The DAO项目被盗事件,最终就导致了以太坊的分叉。
包括Mt.Gox事件中,就有744408枚比特币被盗,当时总价值约4亿美元。而在2018年的 Coincheck 案中,有当时总价值约5.34亿美元的代币被盗,每一次盗币都是惨痛的安全事故。
交易所被盗币事件一直是过去区块链安全问题的主要战场,而现在DeFi却吸引了黑客更多的目光所在。
“Poly Network被盗币事件”最终能够完美解决,是幸运的。一方面有着多方努力推动的结果,例如 Tether 等公司及时对黑客钱包中3300万 USDT 的冻结,例如安全审计公司的技术全力支持等。
一方面也是黑客本身自诩“白帽黑客”(Mr. White Hat)的幸运所在,最终愿意全额退还代币。
公开资料显示,Poly Network是由 Neo 、Ontology、Switcheo共同推出的异构跨链协议,分布科技为其技术提供方。
在2020年8月上线主网后,目前已支持包含比特币、以太坊、Neo、Ontology、 Heco 、BSC、 OKExChain 、Polygon等11条主流区块链网络,用户基数超过20万。
这次的安全事故也映射出了人们对于跨链桥的安全性担忧,毕竟,最近的跨链桥安全事故有些频发。
据慢雾对“Poly Network被盗币事件”的分析,慢雾认为:由于EthCrossChainManager合约中的验证和执行交易功能可以完成某些特定的跨链交易。
同时EthCrossChainManager可以通过调用EthCrossChainData合约来修改合约Keeper地址,白帽/黑客 用 EthCrossChainManager contract 的 verifyHeaderAndExecuteTx function 传入一个编写好的数据去改变Keeper的地址构建交易,从而将资产提到以太坊等三个网络。
当黑客盗币事件发生之后,就在各方开始紧张的对被盗事件进行紧急处理时,黑客开始了链上自问自答的直播式留言。
最开始他挑衅称:没有全部带走协议里的资产已经手下留情。如果转移了剩余的代币,将是十亿美金级别的攻击。
最开始黑客一边对代币进行资产转移,一边对外声称对金钱不太感兴趣,考虑归还一些代币,或者将它们留下。随后仅相隔半天,黑客的态度开始进一步转变,准备归还资产,需要Poly Network团队提供多签钱包。
Poly Network随后提供了一个由Poly Network控制的公开多签钱包。黑客开始陆续归还代币,并在8月23日将私钥公布。
至此,Poly Network被盗币事件所有被盗资产全部归还,Poly Network也在8月26日宣布,已完成“Poly Network被盗币事件”中受影响用户资产的恢复。
在整个过程中,由于黑客几乎每天都会在区块链上发布“自问自答”,本次事件中的受害者反而称呼其为黑客的“小作文”,在维权群中每天都会转发黑客的最进动态。
黑客在“小作文”中对自己的行为进行了详细的解释:
很少有黑客能理解 DdeFi 安全的情况。你看到很多黑客,但他们中的大多数并不像一个真正的黑客那样令人愉快。一些愚蠢的代码导致了大量的损失,但这并不具有挑战性。这就像与一个青少年对抗。
我承认,Poly 黑客并不像你想象的那样花哨,但我确实从这个项目中体验到了新的东西。我想说的是,找出 Poly network 结构中的盲点将是我人生中最美好的时刻之一。
随着加密世界的发展,我已经有了足够的钱。我一直在探索生命的意义,已经好一段时间了。我希望我的生活可以由独特的冒险组成,所以我喜欢学习和破解一切,以便与命运抗争。命运在我心中。
说实话,我确实有一些自私的动机,想通过利用巨大的基金来做一些很酷但不有害的事情,比如 DAO。然后我意识到,成为道德领袖将是我可以达成的最酷的事情!
并且,黑客最后还安抚了所有的受害者,并不是说 Poly 团队不值得信任,但你们没有机会挑战他们的代码,因为代码应该是法律。别担心,你们不是真正的受害者。
对于为什么选择退还虚拟货币的问题,他表示:“我对金钱不是很感兴趣!我知道人们受到攻击时会很痛苦,但他们不应该从这些黑客中学到一些东西吗?”
白帽黑客也在这个过程中向外界透露了自己的一部分身份:“非英语母语者,一直从事安全行业,对钱不感兴趣。
并且向全网发起挑战:如果任何黑客能够在一个月内找到我的社交身份,我愿意把私人礼物送给他,并表示:“即使我被确认了身份,我仍然为自己的正直感到自豪。”
这也足够体现黑客对于自己隐蔽性和技术的信心。
整个事件过程中,黑客一直在表达足够的善意态度,一方面,他会对被盗币的普通用户表示歉意,并表示他们并不是最终的受害者,一方面他也愿意积极与项目方沟通。
不过也可以看出,黑客一开始存在想做 DAO的想法,退币并非从始至终唯一的选择。事件中,多方努力的结果也影响了黑客的最终选择。
本次事件折射出一个很重要的安全问题:如何更安全的保护链上资产的安全。
—2—
不安全的跨链桥和DeFi:安全性任重道远
DeFi现在已经成了黑客攻击重灾区,DeFi领域在近一个半月的时间里发生了超过11起重大安全事件,而其中有接近一半发生在跨链协议中,例如AnySwap、ChainSwap、THORChain、Never Network。
而在2020年,全年DeFi行业共计发生60余起攻击事件,损失总和约为2.5亿美元。
所以,对于链上资产的保护,就集中在了法律层面的保护和技术安全层面的保护两个方向。
在相关的法律文件中,最高人民法院联合国家发改委共同发布《关于为新时代加快完善社会主义市场经济体制提供司法服务和保障的意见》。
在第六条中明确了要加强对数字货币、网络虚拟财产、数据等新型权益的保护,充分发挥司法裁判对产权保护的价值引领作用。
随着黑客事件的频出,链上资产安全的问题日益受到考验的当下,上海申浩律师事务所合伙人孙俊律师认为:链上资产是受到法律保护的,黑客无论出于何种目的,对于资产的盗取行为本身已经触犯法律。
而在用户维权的时候,项目方应该承担相应的法律责任,来保障用户资产的安全。
在查阅过往案例的的审判内容中作者发现,例如在国内首例比特币侵权纠纷案件中,法院认定比特币具有财产作为权利客体需具备的价值性、稀缺性、可支配性,应认定其虚拟财产属性。
所以,在面对链上资产收到侵害的问题时,即使寻求法律援助和报案,是保护资产安全最有效的途径,毕竟,不能指望每一位黑客都是白帽黑客。
当然,因为技术手段的问题,交易的全球化市场问题,以及黑客的隐秘性的手段,加密货币被盗背后的追回路径必然比普通事件的路径要漫长,所以技术手段上的防御肯定是更加重要的选择。
在跨链桥的安全问题到底是单一项目方的问题还是具备普遍性问题上,链得得采访了欧科云链研究院高级研究员王海峰,他认为目前还很难下定论,但跨链桥技术的早期确实具有不确定性。
根据欧科云链链上大师半年报的数据,今年上半年,DeFi领域至少发生了50起安全事件,平均每3.6天就有一起。
Poly盗币事件,因为涉及资金巨大,引起了行业的重视,更能暴露DeFi世界的共性问题,引起我们一些思考。
链得得采访慢雾安全团队也表示,目前来看这是单一项目方的合约代码的问题,但不排除其它项目方有类似被攻击的可能。
随着DeFi世界的持续繁荣,合约协议和机制设计越来越复杂,无可避免会出现更多的安全漏洞,一旦发生Poly类的盗币事件,虽然对项目方带来打击,但直接受害者是广大的用户。
所以欧科云链研究院高级研究员王海峰建议:在筛选DeFi项目时,需要认真了解项目白皮书,注意智能合约是否通过权威机构的审计。
而一旦发生了盗币事件,欧科云链具有处理区块链安全案件的专业研判团队,可以协助警方侦破、追回被盗资产。
随着DeFi世界的持续繁荣,合约协议和机制设计必然越来越复杂,无可避免会出现更多的安全漏洞,而从频发的安全事故之中,想要避免类似的攻击性事件,提高行业安全性,需要全行业的共同努力。社区和团队需要分配更多精力在前期的合约开发搭建上,搭建好“地基”。
王海峰表示欧科云链也一直在思考,如何提高行业的对区块链安全事件的反制能力,并推出了欧科云链链上大师、链上天眼等区块链大数据产品。
链上大师来帮组DeFi参与者借助数据指标,更理智和量化的评估DeFi协议,链上天眼帮助用户规避洗钱、盗币等安全风险。
慢雾安全团队对于下一步提高行业的安全性问题的建议是:
1. 需要项目方在技术层面保证代码的可用性和完整性,需要在上线前做好测试,包含单元测试及回归测试等;
2. 在上线前,做好安全审计工作,包括但不限于合约安全审计、前端安全审计、服务端安全测试等。
Poly Network事件对于被盗币事件反应速度较慢,这给到了我们一个很好的安全预警机制问题。
慢雾安全团队认为:针对目标项目的智能合约做异常监测目前个很成熟的技术,尤其是涉及资金安全的操作。
但很多时候监测到应急响应会有时间差,这个时间差很多时候很绝望,等反应过来资金可能已经被盗走了,如果要做到完全自动化来阻拦,又会涉及到智能合约权限过大问题,这是一个需要权衡的点。
所以慢雾安全团队认为,更现实的办法是:监控及时预警,然后人工尽快介入来动用各种“受限权限”进行止损,并启动攻击/漏洞原因分析,及后续的追踪溯源分析工作。
攻击/漏洞原因分析是为了明确问题点,追踪溯源分析是为了描绘黑客画像,为之后定位黑客并联系黑客提供足够依据。
毫无疑问,在未来的一段时间之内,黑客的目光肯定会锁定在DeFi和跨链桥之上,而安全性问题也将在不短的时间范围内一直影响区块链的安全问题。
而人类进步的阶梯,就是我们对于过往经验的总结和思考。