El 18 de enero de 2022, un sistema de monitoreo de transacciones anómalas detectó un ataque contra el proyecto AnySwap (es decir, Multichain). Debido a una vulnerabilidad en la función del contrato, los Tokens autorizados por los usuarios para dicho proyecto podían ser retirados por los atacantes.
A pesar de que el equipo del proyecto intentó recordar a los usuarios afectados de diversas maneras, aún hay muchos usuarios que no pudieron revocar la autorización a tiempo, lo que permitió a los atacantes seguir obteniendo beneficios.
Dado que el ataque sigue en curso, un equipo de seguridad ha decidido tomar medidas de respuesta de emergencia. Este rescate se dirige a las cuentas afectadas en Ethereum, y los fondos relevantes han sido transferidos a una cuenta de múltiples firmas creada específicamente para este propósito. Para garantizar la transparencia de la acción, el hash del documento del plan relacionado (y no su contenido) se ha hecho público a la comunidad. La operación de rescate comenzó el 21 de enero de 2022 y concluyó oficialmente el 11 de marzo.
El rescate de emergencia enfrenta numerosos desafíos tanto técnicos como no técnicos. A continuación, se comparten las experiencias y reflexiones sobre todo el proceso, con la esperanza de que sean de ayuda para la seguridad del ecosistema DeFi.
Resumen breve:
Existe una intensa competencia en el uso de Flashbots entre los hackers de sombrero blanco y los atacantes, así como dentro de cada grupo, lo que ha llevado a un rápido aumento en los costos.
Flashbots no son infalibles, algunos atacantes han recurrido a usar mempool, implementando ataques con estrategias ingeniosas.
Algunos atacantes llegaron a un acuerdo con el equipo del proyecto, devolviendo parte de las ganancias y reteniendo una parte como recompensa, lo que les permite blanquear su imagen. Esta práctica ha generado controversia en la comunidad.
Los hackers de sombrero blanco pueden revelar sus acciones a la comunidad sin divulgar información sensible, y este método de ganar confianza es efectivo.
La colaboración de diversas fuerzas en la comunidad puede hacer que el rescate sea más rápido y eficaz, como la cooperación entre los hackers éticos para reducir la competencia ineficaz.
A continuación, se discutirán cuatro aspectos: una revisión general del evento, los métodos de rescate implementados y los desafíos enfrentados, reflexiones personales y recomendaciones relacionadas.
Resumen de la situación de ataque y rescate
Resultado general:
En el rango de observación ( desde el 18 de enero de 2022 hasta el 20 de marzo de 2022, la situación general de ataques y rescates es la siguiente:
9 cuentas de rescate protegieron 483.027693 ETH, pagaron tarifas de Flashbots 295.970554 ETH) representa el 61.27%(.
21 cuentas de ataque obtuvieron 1433.092224 ETH, pagando tarifas de Flashbots de 148.903707 ETH) representa el 10.39%(.
Es importante tener en cuenta que, debido a situaciones de interacción complejas ), como el cambio de etiqueta de dirección después de que ciertos atacantes devuelvan parte de las ganancias (, lo anterior es solo una estadística aproximada.
Para evaluar el nivel de competencia, se ha calculado el porcentaje de costos de Flashbots de las transacciones de ataque y rescate según los bloques de transacción.
En las primeras etapas, algunas transacciones de ataque con Flashbots tenían una tarifa de 0, lo que indica que los atacantes aún no utilizaban Flashbots y la competencia no era intensa. Luego, la proporción de tarifas aumentó rápidamente, alcanzando el 80% en un bloque determinado, y luego incluso llegó al 91%. Esto indica que ha evolucionado a una carrera armamentista de tarifas derivada de la lucha por el derecho de ser incluido en la cadena de Flashbots.
Acciones de rescate implementadas y los desafíos enfrentados
Enfoque básico de rescate: supervisar cuentas potencialmente afectadas y, cuando se transfiera WETH, aprovechar la vulnerabilidad para retirarlo a una billetera multifirma de sombrero blanco. La clave está en:
Localización efectiva de la transacción de transferencia a la víctima ) transacción de transferencia (
Construir correctamente la transacción de rescate ) rescate transacción (
Atacante que logra un ataque de carrera ) o transacciones de terceros ( transacciones de ataque )
Los dos primeros puntos no representan un obstáculo para nosotros. El tercer punto sigue siendo un desafío:
Aunque se puede usar Flashbots para hacer front-running, los atacantes también pueden utilizarlo, por lo que se deben considerar estrategias adicionales para la configuración de tarifas.
Flashbots no es la mejor opción en tiempos de competencia intensa, también se deben enviar transacciones normales a través del mempool.
Competir con otros "hackers éticos", ciertas acciones pueden ser controvertidas
Estamos intentando proteger 171 cuentas potencialmente afectadas. 10 revocaron la autorización por sí mismas, y de las restantes 161 solo logramos rescatar 14. Los casos de fallo involucran 3 cuentas de rescate y 16 cuentas de ataque.
lecciones aprendidas
¿Cómo determinar las tarifas de Flashbots?
Adoptamos una estrategia más conservadora, tratando de establecer tarifas bajas para proteger los intereses de las víctimas. Solo aumentaremos ligeramente el porcentaje de tarifas después de que se realice una transacción de ataque exitosa. Sin embargo, esta estrategia no ha tenido mucho éxito, ya que los oponentes suelen ser más agresivos:
Un atacante estableció la proporción en 70%
Un hacker ético ha establecido la proporción en 79% y 80%
Otro hacker ético estableció la proporción en 81%
El atacante aumentó aún más al 86%
Esto parece convertirse en un juego de suma cero, donde es necesario buscar un equilibrio entre reducir costos y ganar competencia.
¿Cómo organizar correctamente la posición de las transacciones en el mempool?
Debido a la intensa competencia, Flashbots no siempre es efectivo. Enviar transacciones ordinarias a través del mempool también es un método viable, la clave está en programar en la posición adecuada ( inmediatamente después de la transacción de transferencia ).
Un atacante utilizó esta estrategia para obtener con éxito 312 ETH sin tener que pagar tarifas de Flashbots. Si en un bloque determinado, la transacción de transferencia del víctima está en 65, y la transacción de ataque está en 66, se obtiene con éxito 50 ETH.
Esta estrategia ingeniosa merece atención y estudio.
Otras reflexiones
¿Cómo distinguir entre un sombrero blanco y un atacante?
Identificar a los hackers éticos no siempre es intuitivo. Una cuenta fue inicialmente marcada como atacante, luego, tras negociar con el proyecto, acordó retener 50 ETH como recompensa y devolver otras ganancias, y posteriormente fue reclasificada como hacker ético. Este fenómeno ha generado un debate en la comunidad sobre la equidad de los incentivos.
La competencia entre los hackers éticos
La comunidad debe establecer un mecanismo de coordinación para reducir la competencia entre los hackers éticos. La competencia desperdicia recursos de rescate y también eleva los costos de Flashbots. Si diferentes hackers éticos aumentan sucesivamente la proporción de costos al 80%, 81%. Sin un mecanismo de coordinación, es difícil para los hackers éticos detener esta competencia.
¿Cómo llevar a cabo mejor las acciones de rescate?
Los hackers éticos pueden hacer públicas sus acciones a la comunidad sin revelar información sensible, para ganar la confianza de la comunidad.
Las partes de la comunidad pueden colaborar juntas:
Flashbots/mineros proporcionan un canal verde para los hackers éticos de confianza
El equipo del proyecto asume el costo de las tarifas de Flashbots
El equipo del proyecto utiliza un mecanismo conveniente para advertir a los usuarios a tiempo.
El equipo del proyecto toma las medidas de emergencia necesarias en el código
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
15 me gusta
Recompensa
15
6
Republicar
Compartir
Comentar
0/400
NftDeepBreather
· 07-26 00:13
Jejeje, los hackers de sombrero blanco también deben ayudarse mutuamente.
Ver originalesResponder0
TheMemefather
· 07-24 22:39
¿Te han vuelto a estafar con la moneda? Es una costumbre ya.
Ver originalesResponder0
MidsommarWallet
· 07-23 05:20
Otro proyecto ha tomado a la gente por tonta.
Ver originalesResponder0
RektButAlive
· 07-23 05:18
Los hackers de sombrero blanco están más ocupados que los hackers. 唔
Ver originalesResponder0
wrekt_but_learning
· 07-23 05:15
¿Otra vez los hackers de sombrero blanco robando comida?
Análisis del incidente de ataque Multichain: proceso de rescate de hackers éticos y lecciones de seguridad en Finanzas descentralizadas
El 18 de enero de 2022, un sistema de monitoreo de transacciones anómalas detectó un ataque contra el proyecto AnySwap (es decir, Multichain). Debido a una vulnerabilidad en la función del contrato, los Tokens autorizados por los usuarios para dicho proyecto podían ser retirados por los atacantes.
A pesar de que el equipo del proyecto intentó recordar a los usuarios afectados de diversas maneras, aún hay muchos usuarios que no pudieron revocar la autorización a tiempo, lo que permitió a los atacantes seguir obteniendo beneficios.
Dado que el ataque sigue en curso, un equipo de seguridad ha decidido tomar medidas de respuesta de emergencia. Este rescate se dirige a las cuentas afectadas en Ethereum, y los fondos relevantes han sido transferidos a una cuenta de múltiples firmas creada específicamente para este propósito. Para garantizar la transparencia de la acción, el hash del documento del plan relacionado (y no su contenido) se ha hecho público a la comunidad. La operación de rescate comenzó el 21 de enero de 2022 y concluyó oficialmente el 11 de marzo.
El rescate de emergencia enfrenta numerosos desafíos tanto técnicos como no técnicos. A continuación, se comparten las experiencias y reflexiones sobre todo el proceso, con la esperanza de que sean de ayuda para la seguridad del ecosistema DeFi.
Resumen breve:
Existe una intensa competencia en el uso de Flashbots entre los hackers de sombrero blanco y los atacantes, así como dentro de cada grupo, lo que ha llevado a un rápido aumento en los costos.
Flashbots no son infalibles, algunos atacantes han recurrido a usar mempool, implementando ataques con estrategias ingeniosas.
Algunos atacantes llegaron a un acuerdo con el equipo del proyecto, devolviendo parte de las ganancias y reteniendo una parte como recompensa, lo que les permite blanquear su imagen. Esta práctica ha generado controversia en la comunidad.
Los hackers de sombrero blanco pueden revelar sus acciones a la comunidad sin divulgar información sensible, y este método de ganar confianza es efectivo.
La colaboración de diversas fuerzas en la comunidad puede hacer que el rescate sea más rápido y eficaz, como la cooperación entre los hackers éticos para reducir la competencia ineficaz.
A continuación, se discutirán cuatro aspectos: una revisión general del evento, los métodos de rescate implementados y los desafíos enfrentados, reflexiones personales y recomendaciones relacionadas.
Resumen de la situación de ataque y rescate
Resultado general:
En el rango de observación ( desde el 18 de enero de 2022 hasta el 20 de marzo de 2022, la situación general de ataques y rescates es la siguiente:
9 cuentas de rescate protegieron 483.027693 ETH, pagaron tarifas de Flashbots 295.970554 ETH) representa el 61.27%(.
21 cuentas de ataque obtuvieron 1433.092224 ETH, pagando tarifas de Flashbots de 148.903707 ETH) representa el 10.39%(.
Es importante tener en cuenta que, debido a situaciones de interacción complejas ), como el cambio de etiqueta de dirección después de que ciertos atacantes devuelvan parte de las ganancias (, lo anterior es solo una estadística aproximada.
![])https://img-cdn.gateio.im/webp-social/moments-30d2c3346816e15ab7c89a6a25d0ad83.webp(
Tendencia de cambios en las tarifas de Flashbots:
Para evaluar el nivel de competencia, se ha calculado el porcentaje de costos de Flashbots de las transacciones de ataque y rescate según los bloques de transacción.
En las primeras etapas, algunas transacciones de ataque con Flashbots tenían una tarifa de 0, lo que indica que los atacantes aún no utilizaban Flashbots y la competencia no era intensa. Luego, la proporción de tarifas aumentó rápidamente, alcanzando el 80% en un bloque determinado, y luego incluso llegó al 91%. Esto indica que ha evolucionado a una carrera armamentista de tarifas derivada de la lucha por el derecho de ser incluido en la cadena de Flashbots.
![])https://img-cdn.gateio.im/webp-social/moments-d22626977feebe325b02c899454022c7.webp(
Acciones de rescate implementadas y los desafíos enfrentados
Enfoque básico de rescate: supervisar cuentas potencialmente afectadas y, cuando se transfiera WETH, aprovechar la vulnerabilidad para retirarlo a una billetera multifirma de sombrero blanco. La clave está en:
Los dos primeros puntos no representan un obstáculo para nosotros. El tercer punto sigue siendo un desafío:
Estamos intentando proteger 171 cuentas potencialmente afectadas. 10 revocaron la autorización por sí mismas, y de las restantes 161 solo logramos rescatar 14. Los casos de fallo involucran 3 cuentas de rescate y 16 cuentas de ataque.
lecciones aprendidas
¿Cómo determinar las tarifas de Flashbots?
Adoptamos una estrategia más conservadora, tratando de establecer tarifas bajas para proteger los intereses de las víctimas. Solo aumentaremos ligeramente el porcentaje de tarifas después de que se realice una transacción de ataque exitosa. Sin embargo, esta estrategia no ha tenido mucho éxito, ya que los oponentes suelen ser más agresivos:
Esto parece convertirse en un juego de suma cero, donde es necesario buscar un equilibrio entre reducir costos y ganar competencia.
¿Cómo organizar correctamente la posición de las transacciones en el mempool?
Debido a la intensa competencia, Flashbots no siempre es efectivo. Enviar transacciones ordinarias a través del mempool también es un método viable, la clave está en programar en la posición adecuada ( inmediatamente después de la transacción de transferencia ).
Un atacante utilizó esta estrategia para obtener con éxito 312 ETH sin tener que pagar tarifas de Flashbots. Si en un bloque determinado, la transacción de transferencia del víctima está en 65, y la transacción de ataque está en 66, se obtiene con éxito 50 ETH.
Esta estrategia ingeniosa merece atención y estudio.
Otras reflexiones
¿Cómo distinguir entre un sombrero blanco y un atacante?
Identificar a los hackers éticos no siempre es intuitivo. Una cuenta fue inicialmente marcada como atacante, luego, tras negociar con el proyecto, acordó retener 50 ETH como recompensa y devolver otras ganancias, y posteriormente fue reclasificada como hacker ético. Este fenómeno ha generado un debate en la comunidad sobre la equidad de los incentivos.
La competencia entre los hackers éticos
La comunidad debe establecer un mecanismo de coordinación para reducir la competencia entre los hackers éticos. La competencia desperdicia recursos de rescate y también eleva los costos de Flashbots. Si diferentes hackers éticos aumentan sucesivamente la proporción de costos al 80%, 81%. Sin un mecanismo de coordinación, es difícil para los hackers éticos detener esta competencia.
¿Cómo llevar a cabo mejor las acciones de rescate?