Chainalysis发布的数据显示,单单2022年跨链桥掠夺事件所带来的损失就多达20亿美元。跨链桥安全问题层出不穷,每一次的攻击事件,都引发了行业的关注。对于产品安全问题,跨链桥项目Multichain安全负责人XChang近日就针对该项目的产品安全机制进行了详细的披露,希望借此机会与业内友商和关注跨链桥生态的观察人士分享Multichain的经历。
据XChang,Multichain的安全策略以攻击事件为时间点分为三阶,即:发生前,发生时,发生后。每个阶段都有对应的应对步骤与策略。
Atomic钱包攻击事件调查进展:目前不到1%的月活用户受到影响:6月5日消息,加密钱包Atomic Wallet更新攻击事件调查进展,表示目前不到1%的月活用户受到影响/已上报。最新一笔被盗交易是在40多个小时前确认。安全调查正在进行中。Atomic Wallet将受害者地址告知主要交易所和区块链分析公司,以追踪并阻止被盗资金转移。[2023/6/5 21:16:14]
1.发生前:
项目通过内部和外部审计方式来排除任何安全隐患。同时,也通过漏洞悬赏调动业内专家帮助发现漏洞,避免造成损失。另外,Multichain也希望通过即将推出的MultiDAO来对产品安全做另一次预防性把关。除此之外,Multichain也利用主要媒体平台的关键词舆论监测来观察业内跨链桥安全问题相关的动态,从中进行自省,监测其他事件的影响是否波及到Multichain的资产。对于大额度的交易,Multichain也实施了跨链金额限制及链资金流量和总量限制,以避免类似Horizon的事件重蹈覆辙。
Beosin解析Reaper Farm遭攻击事件:_withdraw中owner地址可控且未作任何访问控制:8月2日消息,据 Beosin EagleEye 安全舆情监控数据显示,Reaper Farm 项目遭到黑客攻击,Beosin 安全团队发现由于_withdraw 中 owner 地址可控且未作任何访问控制,导致调用 withdraw 或 redeem 函数可提取任意用户资产。攻击者(0x5636 开头)利用攻击合约(0x8162 开头)通过漏洞合约(0xcda5 开头)提取用户资金,累计获利 62 ETH 和 160 万 DAI,约价值 170 万美元,目前攻击者(0x2c17 开头)已通过跨链将所有获利资金转入 Tornado.Cash。[2022/8/2 2:54:18]
与推特去年大规模黑客攻击事件有关的英国男子被捕:金色财经报道,应联邦调查局(FBI)的要求,西班牙官员逮捕了22岁的英国男子Joseph O’Conner(PlugWalkJoe),该男子与去年7月的推特大规模黑客攻击有关,当时至少有130个知名账户被接管并用于推广比特币,使黑客获利约120,000美元。他被指控犯有多项串谋罪和未经授权故意访问计算机的罪名。据悉,被黑的账号包括埃隆马斯克、沃伦巴菲特、坎耶韦斯特、拜登和奥巴马的推特账户。[2021/7/22 1:08:01]
动态 | SnapEx将对遭恶意流量攻击事件中受到影响用户全额补偿:据官方消息,8月22日20:00,SnapEx平台遭到了不明黑客恶意流量饱和攻击,造成平台短暂的无法访问。期间用户体验访问受限,但后台订单数据正常,用户账户里的资金没有受到损失。经紧急修复,该恶意流量在21:15被成功阻挡。目前系统正常运行。对此,SnapEx将启用“SnapEx平台赔付基金”,按照故障期间最大可能的盈利,对本次订单受到影响的用户进行赔付。[2019/8/23]
2.发生时:
攻击事件发生时,关键在于及时拉响警钟,让平台能迅速采取行动。Multichain设置了检测Watchdogs,能够及时反应异常现象。同时,项目也调动DAO的力量,对发现漏洞以及及时将异常现象通报平台的成员发放奖励。
3.发生后:
Mutichain将会暂停产品的使用,以先止损,后修复的形式去应对黑客事件。同时,该项目也进行演习,并在智能合约上设置暂停功能。此外,Multichain也从项目利润中挪出了一部分资金作为安全基金,补偿用户在类似事件中的损失。
ChangX也阐明了多方安全计算的特征能够确保更强的去中心化以及控制成本,而且MPC私钥分片会定期更新作废,进一步防范黑客行为。与此同时,Multichain也与网络基础设置提供商合作,力求营造更安全的产品环境。至于Multichain即将发布的MPC+HSM方案,它能够确保在服务器被攻击的情况下,仍旧遏制黑客获取私钥分片。
本文转载自
https://medium.com/multichainorg/multichain-安全策略-详细披露-3c38360bfd0b
北京时间2022年5月30日21::46:19,,CertiK审计团队监测到一起针对MirrorProtocol的攻击。截至撰稿时,总损失约为200万美元.
1900/1/1 0:00:00推荐理由: 本文介绍了DAO由于其组织结构而具有的特殊能力,能够作为全新的搜索工具帮助组织更好地发展。并且阐述了公司等级制度的优缺点,和DAO组织进行对比,更生动形象的展现出DAO的优点和特殊性.
1900/1/1 0:00:00前言 通信技术让世界具备了更多的连接,我们每个人都在这样的连接中被影响和受益着。同时这种连接也产生了更多对于监视需求的便利。许多人的隐私或自由可能会在不经意间受到影响,而这也催生了对于隐私保护的需求.
1900/1/1 0:00:00RSI是什么? RSI是RelativeStrengthIndex的缩写,中文常译作相对强弱指数,是应用最为广泛之一的一种技术分析指标。RSI指标由韦尔斯?王尔德创建,于1978年6月首次发表于美国Commodities杂志.
1900/1/1 0:00:00Apr.2022,VincyDataSource:FootprintAnalytics-AlgorithmicStablecoinAnalysisTerraUSD是——尽管“曾经”可能更好——一种算法稳定币.
1900/1/1 0:00:00引言 本文首先介绍在Rococo本地的测试流程,最后介绍rococo线上测试parachain的流程Rococolocaltestnetwork中测试parachainStartRelaychain(LocalRococorelayc.
1900/1/1 0:00:00