18 січня 2022 року, система моніторингу аномальних транзакцій виявила атаку на проект AnySwap (тобто Multichain). Через вразливість у функціях контракту, токени, які користувачі надали цьому проекту, можуть бути витягнуті зловмисниками.
Незважаючи на спроби команди проєкту різними способами попередити постраждалих користувачів, все ще багато користувачів не змогли вчасно відкликати авторизацію, внаслідок чого зловмисники продовжували отримувати прибуток.
Враховуючи, що атака триває, певна команда безпеки вирішила вжити заходів екстреного реагування. Ця рятувальна операція стосується акаунтів, які постраждали на Ethereum, відповідні кошти були переказані на спеціально створений мультипідписний обліковий запис білих капелюхів. Для забезпечення прозорості дій, хеш документів, пов'язаних з планом (а не зміст), був опублікований для спільноти. Рятувальна операція розпочалася 21 січня 2022 року і офіційно закінчилася 11 березня.
Екстрена допомога стикається з багатьма технічними та нетехнічними викликами. Нижче ділюся своїми враженнями та досвідом щодо всього процесу, сподіваюся, це допоможе безпеці екосистеми DeFi.
Коротке резюме:
Між білими капелюхами та зловмисниками, а також всередині кожної з груп виникає жорстка конкуренція за використання Flashbots, витрати на оплату також швидко зростають.
Flashbots не є універсальним рішенням, деякі атакувальники натомість використовують mempool, успішно здійснюючи атаки завдяки хитрим стратегіям.
Частина атакуючих досягла угоди з проектом, повернувши частину отриманого та залишивши частину як винагороду, таким чином «відмиваючи» свій прибуток. Це викликало суперечки в спільноті.
Білий капелюх може публічно ділитися діями з громадою, не розкриваючи чутливу інформацію, цей спосіб здобуття довіри є ефективним.
Співпраця різних сил у спільноті може зробити рятувальні дії більш швидкими та ефективними, наприклад, співпраця між білими капелюхами для зменшення безглуздої конкуренції.
Наступні чотири аспекти будуть обговорені: загальний огляд подій, реалізація методів порятунку та виклики, з якими стикнулися, отримані висновки та відповідні рекомендації.
!
Огляд атак і рятувальних ситуацій
Загальний результат:
В межах спостереження ( з 18 січня 2022 року по 20 березня 2022 року ), загальна ситуація з атаками та порятунком є такою:
9 рятувальних рахунків захистили 483.027693 ETH, сплатили Flashbots комісії 295.970554 ETH( становить 61.27%).
21 атакуючих рахунків отримали прибуток 1433.092224 ETH, сплатили комісію Flashbots 148.903707 ETH( складає 10.39%).
Слід звернути увагу, що через наявність складних взаємодій (, як, наприклад, у деяких випадках, коли зловмисники повертають частину прибутку, відбувається зміна мітки адреси ), вищезазначене є лише приблизною статистикою.
!
Тенденції зміни витрат Flashbots:
Для оцінки рівня конкуренції було підраховано частку витрат Flashbots на атаки та рятувальні угоди за блоками торгів.
На початкових етапах деякі атакуючі транзакції Flashbots мали плату 0, що вказує на те, що зловмисники ще не використовували Flashbots, конкуренція була неінтенсивною. Потім частка плат швидко зросла, як у певному блоці, де досягла 80%, а пізніше навіть 91%. Це свідчить про те, що це перетворилося на гонку озброєнь за плати, спричинену боротьбою за право на ланцюг Flashbots.
!
Виконані рятувальні дії та виклики, з якими стикаються
Основна ідея порятунку: моніторинг потенційно постраждалих рахунків, коли WETH надходить, використовуючи вразливість, щоб вивести його на багатопідписний гаманець білих капелюхів. Ключовим моментом є:
Ефективне визначення транзакції переказу грошей жертві Токен транзакція (
Правильно сформувати та реалізувати операцію порятунку Токен ) порятунок операції (
Успішний атака на раннє виконання ) або третю сторону ( транзакції ) атака транзакції (
Перші два пункти не становлять для нас перешкоди. Третій пункт все ще є викликом:
Хоча можна використовувати Flashbots для прискорення, але зловмисники також можуть це зробити, тому стратегію встановлення витрат потрібно додатково врахувати.
У конкурентній боротьбі Flashbots не є найкращим вибором, також потрібно використовувати mempool для відправки звичайних транзакцій.
Конкуруючи з іншими "білими капелюшками", певні дії можуть викликати суперечки
Ми намагаємося захистити 171 потенційний рахунок жертви. 10 з них самостійно відкликали авторизацію, серед решти 161 ми змогли врятувати лише 14. Ситуації невдачі стосуються 3 рахунків для порятунку та 16 рахунків атак.
Ми застосовуємо досить обережну стратегію, намагаючись мінімально встановлювати витрати для захисту інтересів жертв. Лише після успішної атаки на транзакції ми трохи підвищуємо відсоток витрат. Однак ця стратегія не є дуже успішною, оскільки супротивники зазвичай є більш агресивними:
певний атакуючий встановив пропорцію на 70%
Один білий капелюх встановив співвідношення на 79%, 80%
Інший білий капелюх встановив співвідношення на 81%
Атакуючий підвищився до 86%
Це, здається, стає нульовою грою, в якій потрібно шукати баланс між зниженням витрат і виграшем у конкуренції.
Як правильно організувати місце транзакцій у mempool?
Через жорстку конкуренцію Flashbots не завжди є ефективними. Надсилання звичайних транзакцій через mempool також є можливим методом, ключовим є розміщення їх у правильному місці ) безпосередньо після транзакції з переказом (.
Деякий атакуючий успішно отримав прибуток у 312 ETH, використовуючи цю стратегію, без сплати зборів Flashbots. Якщо в певному блоці транзакція жертви знаходиться на 65, а атакуюча транзакція на 66, успішний прибуток становить 50 ETH.
Ця хитра стратегія заслуговує на увагу та вивчення.
Визначення білих капелюхів не завжди є інтуїтивно зрозумілим. Спочатку певний обліковий запис був позначений як зловмисник, але після переговорів з командою проєкту було погоджено залишити 50 ETH як винагороду та повернути інші прибутки, після чого його знову позначили як білий капелюх. Це явище викликало обговорення в спільноті щодо справедливості стимулювання.
Конкуренція між білими капелюшками
Спільнота повинна створити механізм координації для зменшення конкуренції між білими капелюхами. Конкуренція витрачає ресурси порятунку і також підвищує витрати Flashbots. Якщо різні білі капелюхи по черзі підвищують відсоток витрат до 80%, 81%. Без механізму координації білим капелюхам важко зупинити цю конкуренцію.
Як краще проводити рятувальні операції?
Білий капелюх може публічно демонструвати свою поведінку без розкриття чутливої інформації, щоб завоювати довіру спільноти
Спільнота може співпрацювати:
Flashbots/Майнери надають зелену дорогу надійним білим капелюшкам
Проектна команда несе витрати на Flashbots
Команда проекту використовує зручний механізм для своєчасного попередження користувачів
Проектна команда вживає необхідні заходи реагування в коді
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
15 лайків
Нагородити
15
6
Репост
Поділіться
Прокоментувати
0/400
NftDeepBreather
· 07-26 00:13
Ге-ге, білим капелюхам потрібно допомагати один одному.
Аналіз подій атаки Multichain: процес порятунку білих капелюхів та уроки безпеки DeFi
18 січня 2022 року, система моніторингу аномальних транзакцій виявила атаку на проект AnySwap (тобто Multichain). Через вразливість у функціях контракту, токени, які користувачі надали цьому проекту, можуть бути витягнуті зловмисниками.
Незважаючи на спроби команди проєкту різними способами попередити постраждалих користувачів, все ще багато користувачів не змогли вчасно відкликати авторизацію, внаслідок чого зловмисники продовжували отримувати прибуток.
Враховуючи, що атака триває, певна команда безпеки вирішила вжити заходів екстреного реагування. Ця рятувальна операція стосується акаунтів, які постраждали на Ethereum, відповідні кошти були переказані на спеціально створений мультипідписний обліковий запис білих капелюхів. Для забезпечення прозорості дій, хеш документів, пов'язаних з планом (а не зміст), був опублікований для спільноти. Рятувальна операція розпочалася 21 січня 2022 року і офіційно закінчилася 11 березня.
Екстрена допомога стикається з багатьма технічними та нетехнічними викликами. Нижче ділюся своїми враженнями та досвідом щодо всього процесу, сподіваюся, це допоможе безпеці екосистеми DeFi.
Коротке резюме:
Між білими капелюхами та зловмисниками, а також всередині кожної з груп виникає жорстка конкуренція за використання Flashbots, витрати на оплату також швидко зростають.
Flashbots не є універсальним рішенням, деякі атакувальники натомість використовують mempool, успішно здійснюючи атаки завдяки хитрим стратегіям.
Частина атакуючих досягла угоди з проектом, повернувши частину отриманого та залишивши частину як винагороду, таким чином «відмиваючи» свій прибуток. Це викликало суперечки в спільноті.
Білий капелюх може публічно ділитися діями з громадою, не розкриваючи чутливу інформацію, цей спосіб здобуття довіри є ефективним.
Співпраця різних сил у спільноті може зробити рятувальні дії більш швидкими та ефективними, наприклад, співпраця між білими капелюхами для зменшення безглуздої конкуренції.
Наступні чотири аспекти будуть обговорені: загальний огляд подій, реалізація методів порятунку та виклики, з якими стикнулися, отримані висновки та відповідні рекомендації.
!
Огляд атак і рятувальних ситуацій
Загальний результат:
В межах спостереження ( з 18 січня 2022 року по 20 березня 2022 року ), загальна ситуація з атаками та порятунком є такою:
9 рятувальних рахунків захистили 483.027693 ETH, сплатили Flashbots комісії 295.970554 ETH( становить 61.27%).
21 атакуючих рахунків отримали прибуток 1433.092224 ETH, сплатили комісію Flashbots 148.903707 ETH( складає 10.39%).
Слід звернути увагу, що через наявність складних взаємодій (, як, наприклад, у деяких випадках, коли зловмисники повертають частину прибутку, відбувається зміна мітки адреси ), вищезазначене є лише приблизною статистикою.
!
Тенденції зміни витрат Flashbots:
Для оцінки рівня конкуренції було підраховано частку витрат Flashbots на атаки та рятувальні угоди за блоками торгів.
На початкових етапах деякі атакуючі транзакції Flashbots мали плату 0, що вказує на те, що зловмисники ще не використовували Flashbots, конкуренція була неінтенсивною. Потім частка плат швидко зросла, як у певному блоці, де досягла 80%, а пізніше навіть 91%. Це свідчить про те, що це перетворилося на гонку озброєнь за плати, спричинену боротьбою за право на ланцюг Flashbots.
!
Виконані рятувальні дії та виклики, з якими стикаються
Основна ідея порятунку: моніторинг потенційно постраждалих рахунків, коли WETH надходить, використовуючи вразливість, щоб вивести його на багатопідписний гаманець білих капелюхів. Ключовим моментом є:
Перші два пункти не становлять для нас перешкоди. Третій пункт все ще є викликом:
Ми намагаємося захистити 171 потенційний рахунок жертви. 10 з них самостійно відкликали авторизацію, серед решти 161 ми змогли врятувати лише 14. Ситуації невдачі стосуються 3 рахунків для порятунку та 16 рахунків атак.
! [])https://img-cdn.gateio.im/webp-social/moments-3a365a505b5c5ac87a42a6d277af23ff.webp(
Уроки досвіду
Як визначити витрати Flashbots?
Ми застосовуємо досить обережну стратегію, намагаючись мінімально встановлювати витрати для захисту інтересів жертв. Лише після успішної атаки на транзакції ми трохи підвищуємо відсоток витрат. Однак ця стратегія не є дуже успішною, оскільки супротивники зазвичай є більш агресивними:
Це, здається, стає нульовою грою, в якій потрібно шукати баланс між зниженням витрат і виграшем у конкуренції.
! [])https://img-cdn.gateio.im/webp-social/moments-cb547989448abc96498684cb89da8860.webp(
Як правильно організувати місце транзакцій у mempool?
Через жорстку конкуренцію Flashbots не завжди є ефективними. Надсилання звичайних транзакцій через mempool також є можливим методом, ключовим є розміщення їх у правильному місці ) безпосередньо після транзакції з переказом (.
Деякий атакуючий успішно отримав прибуток у 312 ETH, використовуючи цю стратегію, без сплати зборів Flashbots. Якщо в певному блоці транзакція жертви знаходиться на 65, а атакуюча транзакція на 66, успішний прибуток становить 50 ETH.
Ця хитра стратегія заслуговує на увагу та вивчення.
! [])https://img-cdn.gateio.im/webp-social/moments-adbfab235ed4a4c2a3ef7a58915c4deb.webp(
Інші роздуми
Як розрізнити білих капелюхів і зловмисників?
Визначення білих капелюхів не завжди є інтуїтивно зрозумілим. Спочатку певний обліковий запис був позначений як зловмисник, але після переговорів з командою проєкту було погоджено залишити 50 ETH як винагороду та повернути інші прибутки, після чого його знову позначили як білий капелюх. Це явище викликало обговорення в спільноті щодо справедливості стимулювання.
Конкуренція між білими капелюшками
Спільнота повинна створити механізм координації для зменшення конкуренції між білими капелюхами. Конкуренція витрачає ресурси порятунку і також підвищує витрати Flashbots. Якщо різні білі капелюхи по черзі підвищують відсоток витрат до 80%, 81%. Без механізму координації білим капелюхам важко зупинити цю конкуренцію.
Як краще проводити рятувальні операції?
! [])https://img-cdn.gateio.im/webp-social/moments-f6e97c80d0049ad9d2cc45cbbaf91c5a.webp(