CHA:攻擊事件不斷，跨鏈橋項目何以對應？-ODAILY

Author：

Time：1900/1/1 0:00:00

Chainalysis發布的數據顯示，單單2022年跨鏈橋掠奪事件所帶來的損失就多達20億美元。跨鏈橋安全問題層出不窮，每一次的攻擊事件，都引發了行業的關注。對于產品安全問題，跨鏈橋項目Multichain安全負責人XChang近日就針對該項目的產品安全機制進行了詳細的披露，希望借此機會與業內友商和關注跨鏈橋生態的觀察人士分享Multichain的經歷。

據XChang，Multichain的安全策略以攻擊事件為時間點分為三階，即：發生前，發生時，發生后。每個階段都有對應的應對步驟與策略。

Orbiter Finance：Discord攻擊事件補償申請即將截止:7月7日消息，Orbiter Finance發推稱，Discord攻擊事件補償申請由于部分符合條件用戶尚未申請補償，補償申請期限延長6小時，關閉時間為7月7日 20:30（UTC+8）。

據此前報道，賠償計劃依據用戶損失金額分為3檔：如果損失在1000美元及以下，Orbiter Finance將全額補償。如果損失超過1000美元但不高于3000美元，將補償1000美元+剩余金額（超出1000美元部分）的50%。如果損失超過3000美元，將補償1000美元+超出1000美元但不高于3000美元部分補償50%+超出3000美元的部分補償30%。[2023/7/7 22:23:53]

1.發生前：

Atomic錢包攻擊事件調查進展：目前不到1%的月活用戶受到影響:6月5日消息，加密錢包Atomic Wallet更新攻擊事件調查進展，表示目前不到1%的月活用戶受到影響/已上報。最新一筆被盜交易是在40多個小時前確認。安全調查正在進行中。Atomic Wallet將受害者地址告知主要交易所和區塊鏈分析公司，以追蹤并阻止被盜資金轉移。[2023/6/5 21:16:14]

項目通過內部和外部審計方式來排除任何安全隱患。同時，也通過漏洞懸賞調動業內專家幫助發現漏洞，避免造成損失。另外，Multichain也希望通過即將推出的MultiDAO來對產品安全做另一次預防性把關。除此之外，Multichain也利用主要媒體平臺的關鍵詞輿論監測來觀察業內跨鏈橋安全問題相關的動態，從中進行自省，監測其他事件的影響是否波及到Multichain的資產。對于大額度的交易，Multichain也實施了跨鏈金額限制及鏈資金流量和總量限制，以避免類似Horizon的事件重蹈覆轍。

成都鏈安：WienerDogeToken遭遇閃電貸攻擊事件分析:據成都鏈安“鏈必應-區塊鏈安全態勢感知平臺”安全輿情監控數據顯示，WienerDogeToken遭受閃電貸攻擊。成都鏈安安全團隊對此事件進行了簡要分析，分析結果如下：攻擊者通過閃電貸借貸了2900個BNB，從WDOGE和BNB的交易對交換了5,974,259,851,654個WDOGE代幣，然后將4,979,446,261,701個代幣重新轉入了交易對。這時攻擊者再調用skim函數，將交易對中多余的WDOGE代幣重新提取出來，由于代幣的通縮性質，在交易對向攻擊地址轉賬的過程中同時burn掉了199,177,850,468個代幣。這時交易對的k值已經被破壞，攻擊者利用剩下WDOGE代幣將交易對內的2,978個BNB成功swap出來，并且將獲利的78個BNB轉到了獲利地址。

這次攻擊事件中，攻擊者利用了代幣的通縮性質，讓交易對在skim的過程中burn掉了一部分交易對代幣，破壞了k值的計算。成都鏈安安全團隊建議項目上線前最好進行安全審計，通縮代幣在與交易對的交互時盡量將交易對加入手續費例外。[2022/4/26 5:11:33]

2.發生時：

攻擊事件發生時，關鍵在于及時拉響警鐘，讓平臺能迅速采取行動。Multichain設置了檢測Watchdogs，能夠及時反應異常現象。同時，項目也調動DAO的力量，對發現漏洞以及及時將異常現象通報平臺的成員發放獎勵。

3.發生后：

Mutichain將會暫停產品的使用，以先止損，后修復的形式去應對黑客事件。同時，該項目也進行演習，并在智能合約上設置暫停功能。此外，Multichain也從項目利潤中挪出了一部分資金作為安全基金，補償用戶在類似事件中的損失。

ChangX也闡明了多方安全計算的特征能夠確保更強的去中心化以及控制成本，而且MPC私鑰分片會定期更新作廢，進一步防范黑客行為。與此同時，Multichain也與網絡基礎設置提供商合作，力求營造更安全的產品環境。至于Multichain即將發布的MPC+HSM方案，它能夠確保在服務器被攻擊的情況下，仍舊遏制黑客獲取私鑰分片。