📢 Gate廣場 #MBG任务挑战# 發帖贏大獎活動火熱開啓!
想要瓜分1,000枚MBG?現在就來參與,展示你的洞察與實操,成爲MBG推廣達人!
💰️ 本期將評選出20位優質發帖用戶,每人可輕鬆獲得50枚MBG!
如何參與:
1️⃣ 調研MBG項目
對MBG的基本面、社區治理、發展目標、代幣經濟模型等方面進行研究,分享你對項目的深度研究。
2️⃣ 參與並分享真實體驗
參與MBG相關活動(包括CandyDrop、Launchpool或現貨交易),並曬出你的參與截圖、收益圖或實用教程。可以是收益展示、簡明易懂的新手攻略、小竅門,也可以是現貨行情點位分析,內容詳實優先。
3️⃣ 鼓勵帶新互動
如果你的帖子吸引到他人參與活動,或者有好友評論“已參與/已交易”,將大幅提升你的獲獎概率!
MBG熱門活動(帖文需附下列活動連結):
Gate第287期Launchpool:MBG — 質押ETH、MBG即可免費瓜分112,500 MBG,每小時領取獎勵!參與攻略見公告:https://www.gate.com/announcements/article/46230
Gate CandyDrop第55期:CandyDrop x MBG — 通過首次交易、交易MBG、邀請好友註冊交易即可分187,500 MBG!參與攻略見公告:https://www.gate.com/announcements
Multichain攻擊事件分析:白帽救援過程與DeFi安全啓示
2022年1月18日,某異常交易監測系統發現了針對AnySwap項目(即Multichain)的攻擊。由於合約函數存在漏洞,導致用戶授權給該項目的代幣可被攻擊者取出。
盡管項目方嘗試通過多種方式提醒受影響用戶,仍有許多用戶未能及時撤回授權,攻擊者得以持續獲利。
鑑於攻擊持續進行,某安全團隊決定採取應急響應措施。此次救援針對以太坊上受影響的帳戶,相關資金被轉移到專門設立的多籤白帽帳戶中。爲保證行動透明性,相關計劃的文件哈希(而非內容)向社區公開。救援行動於2022年1月21日開始,3月11日正式結束。
應急救援面臨諸多技術和非技術挑戰。現將整個過程的心得與體會分享如下,希望對DeFi生態安全有所幫助。
簡要總結:
白帽和攻擊者之間,以及各自羣體內部對Flashbots的使用產生激烈競爭,支付費用也迅速增長。
Flashbots並非萬能,某些攻擊者轉而使用mempool,通過巧妙策略成功實施攻擊。
部分攻擊者與項目方達成協議,歸還部分所得並保留部分作爲獎勵,從而洗白。這種做法在社區引發爭議。
白帽可在不泄露敏感信息的同時向社區公開行爲,這種取信方式效果良好。
社區各方力量協作可使救援更加迅速有效,如白帽之間開展協同以減少無效競爭。
以下從四個方面展開討論:事件總體回顧、實施救援方法及面臨挑戰、心得體會,以及相關建議。
攻擊和救援情況概覽
總體結果:
在觀察範圍內(2022年1月18日至3月20日),總體攻擊和救援情況如下:
9個救援帳戶保護了483.027693 ETH,支付Flashbots費用295.970554 ETH(佔61.27%)。
21個攻擊帳戶獲利1433.092224 ETH,支付Flashbots費用148.903707 ETH(佔10.39%)。
需注意,由於存在復雜交互情況(如某些攻擊者返還部分獲利後地址標籤變更),上述僅爲大致統計。
Flashbots費用變化趨勢:
爲評估競爭激烈程度,按交易區塊統計了攻擊和救援交易的Flashbots費用佔比。
初期一些攻擊交易Flashbots費用爲0,表明攻擊者尚未使用Flashbots,競爭不激烈。隨後費用佔比快速上升,如在某區塊達到80%,之後甚至達91%。這表明已演變爲Flashbots上鏈權之爭導致的費用軍備競賽。
實施的救援行動和面臨的挑戰
救援基本思路:監控潛在受害帳戶,當WETH轉入時利用漏洞將其轉出至白帽多簽錢包。關鍵在於:
前兩點對我們而言不構成障礙。第三點仍具挑戰性:
我們嘗試保護171個潛在受害帳戶。10個自行撤銷授權,在餘下161個中我們僅成功救援14個。失敗情況涉及3個救援帳戶和16個攻擊帳戶。
經驗教訓
如何確定Flashbots費用?
我們採取較爲保守策略,盡量少設置費用以保護受害者利益。僅在出現成功攻擊交易後才會略微提高費用比例。然而這策略並不太成功,對手通常更爲激進:
這似乎成爲零和遊戲,需要在降低成本和贏得競爭間尋求平衡。
如何在mempool中正確安排交易位置?
由於激烈競爭,Flashbots並非總有效。通過mempool發送普通交易也是可行方法,關鍵在於安排在合適位置(緊隨轉帳交易之後)。
某攻擊者採用此策略成功獲利312 ETH且無需支付Flashbots費用。如在某區塊,受害者轉帳交易位於65,攻擊交易位於66,成功獲利50 ETH。
這種巧妙策略值得關注和學習。
其他思考
如何區分白帽和攻擊者?
識別白帽並非總是直觀。某帳戶最初被標記爲攻擊者,後經與項目方協商同意保留50 ETH作爲獎勵並返還其他獲利,隨後被重新標記爲白帽。這種現象引發社區對激勵公平性的討論。
白帽之間的競爭
社區應建立協調機制以減少白帽間競爭。競爭會浪費救援資源,也會推高Flashbots費用。如不同白帽相繼將費用比例提高至80%、81%。沒有協調機制,白帽難以停止這種競爭。
如何更好地開展救援行動?