Multichain攻擊事件分析：白帽救援過程與DeFi安全啓示

2022年1月18日，某異常交易監測系統發現了針對AnySwap項目（即Multichain）的攻擊。由於合約函數存在漏洞，導致用戶授權給該項目的代幣可被攻擊者取出。

盡管項目方嘗試通過多種方式提醒受影響用戶，仍有許多用戶未能及時撤回授權，攻擊者得以持續獲利。

鑑於攻擊持續進行，某安全團隊決定採取應急響應措施。此次救援針對以太坊上受影響的帳戶，相關資金被轉移到專門設立的多籤白帽帳戶中。爲保證行動透明性，相關計劃的文件哈希（而非內容）向社區公開。救援行動於2022年1月21日開始，3月11日正式結束。

應急救援面臨諸多技術和非技術挑戰。現將整個過程的心得與體會分享如下,希望對DeFi生態安全有所幫助。

簡要總結：

• 白帽和攻擊者之間,以及各自羣體內部對Flashbots的使用產生激烈競爭,支付費用也迅速增長。

• Flashbots並非萬能,某些攻擊者轉而使用mempool,通過巧妙策略成功實施攻擊。

• 部分攻擊者與項目方達成協議,歸還部分所得並保留部分作爲獎勵,從而洗白。這種做法在社區引發爭議。

• 白帽可在不泄露敏感信息的同時向社區公開行爲,這種取信方式效果良好。

• 社區各方力量協作可使救援更加迅速有效,如白帽之間開展協同以減少無效競爭。

以下從四個方面展開討論:事件總體回顧、實施救援方法及面臨挑戰、心得體會,以及相關建議。

攻擊和救援情況概覽

總體結果:

在觀察範圍內(2022年1月18日至3月20日),總體攻擊和救援情況如下:

9個救援帳戶保護了483.027693 ETH,支付Flashbots費用295.970554 ETH(佔61.27%)。

21個攻擊帳戶獲利1433.092224 ETH,支付Flashbots費用148.903707 ETH(佔10.39%)。

需注意,由於存在復雜交互情況(如某些攻擊者返還部分獲利後地址標籤變更),上述僅爲大致統計。

Flashbots費用變化趨勢:

爲評估競爭激烈程度,按交易區塊統計了攻擊和救援交易的Flashbots費用佔比。

初期一些攻擊交易Flashbots費用爲0,表明攻擊者尚未使用Flashbots,競爭不激烈。隨後費用佔比快速上升,如在某區塊達到80%,之後甚至達91%。這表明已演變爲Flashbots上鏈權之爭導致的費用軍備競賽。

實施的救援行動和面臨的挑戰

救援基本思路:監控潛在受害帳戶,當WETH轉入時利用漏洞將其轉出至白帽多簽錢包。關鍵在於:

1. 有效定位轉帳給受害者的交易(轉帳交易)
2. 正確構造實施救援的交易(拯救交易)
3. 成功搶跑攻擊者(或第三方)的交易(攻擊交易)

前兩點對我們而言不構成障礙。第三點仍具挑戰性:

• 雖可用Flashbots搶跑,但攻擊者也可能使用,費用設置策略需額外考慮
• 競爭激烈時Flashbots並非最佳選擇,也需使用mempool發送普通交易
• 與其他"白帽"產生競爭,某些行爲可能存在爭議

我們嘗試保護171個潛在受害帳戶。10個自行撤銷授權,在餘下161個中我們僅成功救援14個。失敗情況涉及3個救援帳戶和16個攻擊帳戶。

經驗教訓

如何確定Flashbots費用?

我們採取較爲保守策略,盡量少設置費用以保護受害者利益。僅在出現成功攻擊交易後才會略微提高費用比例。然而這策略並不太成功,對手通常更爲激進:

• 某攻擊者將比例設爲70%
• 某白帽將比例設爲79%、80%
• 另一白帽將比例設爲81%
• 攻擊者進一步提高至86%

這似乎成爲零和遊戲,需要在降低成本和贏得競爭間尋求平衡。

如何在mempool中正確安排交易位置?

由於激烈競爭,Flashbots並非總有效。通過mempool發送普通交易也是可行方法,關鍵在於安排在合適位置(緊隨轉帳交易之後)。

某攻擊者採用此策略成功獲利312 ETH且無需支付Flashbots費用。如在某區塊,受害者轉帳交易位於65,攻擊交易位於66,成功獲利50 ETH。

這種巧妙策略值得關注和學習。

其他思考

如何區分白帽和攻擊者?

識別白帽並非總是直觀。某帳戶最初被標記爲攻擊者,後經與項目方協商同意保留50 ETH作爲獎勵並返還其他獲利,隨後被重新標記爲白帽。這種現象引發社區對激勵公平性的討論。

白帽之間的競爭

社區應建立協調機制以減少白帽間競爭。競爭會浪費救援資源,也會推高Flashbots費用。如不同白帽相繼將費用比例提高至80%、81%。沒有協調機制,白帽難以停止這種競爭。

如何更好地開展救援行動?

• 白帽可在不泄露敏感信息的同時向社區公開行爲,以取信於社區
• 社區各方可攜手合作:
  • Flashbots/礦工爲可信白帽提供綠色通道
  • 項目方承擔Flashbots費用成本
  • 項目方採用便捷機制及時預警用戶
  • 項目方在代碼中採取必要應急措施