💙 你是DApp吗?我们正在用推广方式帮助DApp吸引更多用户 点击这里联系我们
2021-05-17


社区声音:复盘Vault.SX被盗始末,我们学到了什么?

vaultsx-hack-lessnos-learned-and-thoughts-cn

5月14日,一场发生在EOS DeFi聚合项目Vaults.sx的黑客攻击事件掀起社区热烈讨论,涉及资金高达1180142枚 EOS(折合1300万美元)和461796 USDT。众说纷纭之余,社区成员对于本次黑客事件的谈判处理方式更是津津乐道。

Github用户Dexaran发文复盘了本次Vaults.sx被盗事件始末,详细阐述了EOS Nation与黑客谈判的过程以及此次事故带给EOS社区乃至整个区块链行业的启示。

EOS Go整理了Dexaran文章的精彩内容,一起来看一下吧!

盗币事件始末

在Dexaran的文章中,Dexaran整理了本次黑客攻击事件时间轴:

2021 年 5 月 14 日,黑客发起了一次复杂的攻击,从Vault.sx智能合约账户中盗取了1180142枚 EOS(折合1300万美元)和461796 USDT。

点击此处查看黑客攻击的具体细节

被盗事件发生后,事件相关方EOS Nation立即做出反应,提出了赏金计划,并将赏金计划的具体细节在链上以memo的形式进行了广播。

赏金计划内容是:

EOS Nation向发现flash.sx智能合约上攻击漏洞的白帽黑客提供100000美元的赏金。

一旦1180142.5653 EOS和461796.8968 USDT返回到flash.sx账户,奖励就会转到白帽黑客选择的任意账户。

点击此处查看赏金计划Memo内容#1 点击此处查看赏金计划Memo内容#2

但赏金计划发布后,攻击者并不买账,并开始大量创建新的 EOS 账户,企图将资金进行分散,以加大追踪难度。

2021年5月15日上午06:11:10,为了挽回损失,EOS上的BP们联合多签更改了攻击者账户的私钥,修改权限后,该账户私钥完全由BP们控制。至此,攻击者完全丧失了对被盗资金的控制。目前资金仍在攻击者的账户上,正在等待退还给用户。

事情发展到这一步,本次黑客攻击资金被盗事件基本得到了解决,EOS Nation也发布了了相应声明:

Vaults.sx资金很安全。Vaults.sx和flash.sx智能合约是开源的、多签形式的,并通过了安全审计,但是未识别出漏洞。目前所有资金都是安全的,并将退还给存款人。

点击查看EOS Nation声明原文

黑客为何没有接受EOS Nation的悬赏?

在在Dexaran的文章中,Dexaran也分析了黑客没有接受EOS Nation悬赏的原因。他这样写到:

如果你们问我,如果我是黑客的话,我会接受这样的提议吗?我认为我的答案是否定的。

Dexaran认为,EOS Nation 的提议并没有展示出对黑客单方面的基本尊重,是不恰当的悬赏提议。不论是赏金的数额还是赏金的支付程序都存在不合理的地方。

第一个不合理的地方是:

100000 美元赏金虽然是一笔不小的数目,但是找到智能合约的漏洞并发起攻击需要很高的专业水准,攻击者很有可能是网络安全方面的专家,这种人才的月薪一般在 10000 至 20000 美元之间。如果攻击不是由一个黑客,而是由三个黑客合作完成的,这 100000 美元的赏金连他们两个月的薪水都不到。此外,如果把此次事件的影响力考虑在内,向持有1300万美元被盗资金的“白帽黑客”仅仅提供 100000 美元的悬赏奖金实在是过于小气了。一般来说,提供的赏金应不少于所盗取资金的10%。

另一个不合理地方在于:

EOS Nation 对外宣布的悬赏程序大至是这样的: 首先黑客将所有的资金原封不动返还, 然后EOS Nation将悬赏发送至黑客账户。这样的流程对于黑客来说显然是风险更高、更无保障的,大多数黑客都不会考虑这一提议。

普遍来说,正确的悬赏流程应该是这样的:请求黑客将90%的资金退还到受攻击的账户中,在这种情况下,大家便会认为您是白帽黑客,剩余的10%资金作为奖励。

对黑客的一些看法

对于本次盗币事件,Dexaran也分享了他对于黑客的一些思考。

Dexaran认为:毫无疑问,黑客的存在对生态系统是有益的。他们用敏锐的目光“审查”代码漏洞,使得开发人员在代码发布前就要保证万无一失。

但是,如果黑客过于贪婪和无礼,那么他们很可能一无所有,尤其在EOS 主网这种具有极强一致性的加密货币网络中。

贪婪是所有人的敌人,如果黑客由于贪婪而越过了适当的界限,盗取了过多的资金,生态系统将会遭受重大破坏,那么整个网络的利益相关者便会团结起来,尽可能的采取相关措施来挽救损失。只要持币者同意,一切皆有可能。这次的盗币事件对于黑客来说就是一个典型的例子:

不要太贪心!若盗取的资金越过社区能够承受的底线,社区会达成共识完成反击。

此次事件对我们的启示

尽管此次遭受攻击的Vault.sx智能合约实际上通过了慢雾科技的安全审核,但这并没有将此类被盗事故扼杀在摇篮里。

为了寻求更好、更安全的解决方案,Dexaran建议引入分层安全性的概念。

  • 自动化异常检测系统

这样的系统是一种用于检测用户行为的算法,比如在短时间内从合约账户中提取的资金超过30%,则很有可能这是黑客攻击的结果。自动异常检测系统完全可以暂时驳回此次提款,转而采用人工审核,或者关闭提款通道。这种方法虽然无法阻止攻击,但可以降低损失。不幸的是,现有的智能合约中几乎根本从不采用这种异常检测系统。

  • 智能合约保险

恶意攻击并非总是可以预测的,也并非总是可以通过软件来最大程度地减少损失。然而,我们的最终目标不是防止恶意攻击,而是保护用户的资金。开发人员可以将责任完全委派给专业的保险公司,如果发生黑客入侵,他们的损失将由保险公司赔偿,代价是增加了投保费等成本。

DeFi未来发展畅想

最后,由于本次被盗币的是一个DeFi项目,Dexaran也在文章中谈了谈他对DeFi的看法。

Dexaran表示:当前的DeFi生态更像是一个“西部世界”,安全事故一直是家常便饭。

在这种无需许可的去中心化金融系统中,绝对的安全性似乎是一种奢望,毕竟“绝对安全的代码是不存在的”。Profi或许才是DeFi的最终形态 ,通过设立KYC智能合约,增加准入门槛,确保资金的合法归属,可以达到不亚于传统银行系统的安全级别。

结语

本次盗币事件也引起了BM的注意,一直致力于推广更自由的民主理念的BM呼吁BP们联合起来更改账号权限,他在推特上发文表示:

我们对该账号执行制裁,就像ETH执行DAO的意图一样。查看原文

这是EOS社区联合起来坚持代码初衷、维护持币者权益的一次创举。目前被盗资金处于安全状态并会陆续返还至用户手中。EOS Go也会持续关注,为大家带来本次盗币事件的后续进展。

精品新闻