Multichain подвергся атаке, операция "белая шляпа" спасла 483 ETH

18 января 2022 года система мониторинга аномальных транзакций обнаружила атаку на проект AnySwap (Multichain). Из-за того, что соответствующая функция не была правильно реализована, механизм проверки не сработал, что привело к тому, что токены, авторизованные пользователями для этого проекта, могли быть выведены.

Несмотря на то, что команда проекта пыталась различными способами уведомить затронутых пользователей, многие пользователи так и не смогли вовремя отреагировать, что позволило злоумышленникам продолжать атаки и получать прибыль.

В связи с продолжающимися атаками и с целью защиты потенциальных жертв команда BlockSec решила принять меры экстренного реагирования. Эта операция по спасению направлена на затронутые учетные записи в Ethereum, и мы переведем средства соответствующих учетных записей на специально созданный мультиподписной аккаунт белых хакеров. Для обеспечения прозрачности действий мы изложим соответствующий план в документе и немедленно опубликуем хэш документа в сообществе. Операция по спасению началась 21 января 2022 года и завершилась 11 марта 2022 года.

Экстренная помощь не является легкой задачей, существует множество технических и нетехнических проблем, которые необходимо преодолеть. После завершения действий мы анализируем весь процесс и делимся своими выводами с сообществом. Надеемся, что такие обмены будут полезны для сообщества и безопасности экосистемы DeFi.

Краткое резюме:

• Разные участники вызывают жесткую конкуренцию за широкое использование Flashbots, и плата за услуги быстро возрастает со временем.

• Flashbots не всегда эффективны. Некоторые злоумышленники переключаются на mempool и успешно осуществляют атаки.

• Некоторые злоумышленники достигают соглашения с командой проекта, возвращают часть похищенных средств, оставляя часть в качестве вознаграждения, что позволяет им отмыть деньги. Это явление вызывает споры в сообществе.

• Белые шляпы могут публично объявлять свои действия в сообществе, не раскрывая при этом конфиденциальную информацию, что является хорошей практикой.

• Силами всех сторон сообщества, сотрудничая, можно сделать спасательные действия более быстрыми и эффективными. Например, сотрудничество между белыми шляпами уменьшает неэффективную конкуренцию.

Далее рассмотрим это с четырех сторон: сначала общее резюме данного события, затем介绍 методы проведения спасательных операций и возникающие при этом проблемы, затем обсудим личные впечатления от действий, и, наконец, выдвинем некоторые идеи и рекомендации.

Обзор атак и спасательных операций

Общий результат

В пределах наблюдаемой области с 18 января 2022 года по 20 марта 2022 года ( общие данные об атаках и спасательных операциях следующие: 9 спасательных счетов защитили 483.027693 ETH, с учетом комиссии Flashbots 295.970554 ETH ) составляют 61.27% (; 21 атакующий счет получил прибыль в 1433.092224 ETH, с учетом комиссии Flashbots 148.903707 ETH ) составляют 10.39% (.

! [])https://img-cdn.gateio.im/webp-social/moments-30d2c3346816e15ab7c89a6a25d0ad83.webp(

Тренд изменения сборов Flashbots

Белые шляпы должны конкурировать с атакующими, отправляя транзакции Flashbots для проведения спасательных операций, изменение сборов отражает степень конкуренции. Сначала некоторые атакующие транзакции Flashbots имели сбор в 0, что указывает на то, что атакующие еще не использовали Flashbots. Затем доля сборов быстро возросла, достигнув 91% в определенном блоке. Это указывает на то, что это стало гонкой вооружений по сборам из-за борьбы за право на добавление в блоки через Flashbots.

! [])https://img-cdn.gateio.im/webp-social/moments-3a365a505b5c5ac87a42a6d277af23ff.webp(

Реализованные спасательные операции и стоящие перед ними вызовы

Основная идея спасения заключается в мониторинге потенциальных жертвских аккаунтов. Когда происходит перевод WETH, используется уязвимость для его вывода на мультиподписной кошелек белых шляп. Ключевым моментом является выполнение трех требований:

R1:Эффективная локализация перевода средств жертве R2:Правильно сформировать спасательную транзакцию R3:Успешная атака на сделку с опережением

R1 и R2 не являются для нас преградой. R3 все еще представляет собой вызов, хотя теоретически можно выиграть проскок с помощью Flashbots, но на практике это не так просто. Мы также используем mempool для отправки обычных транзакций, позиция и порядок транзакций являются ключевыми факторами.

Мы вовлечены в конкуренцию

В общей сложности попытки защитить 171 потенциальный счет жертвы. Из них 10 защищены самостоятельно, среди оставшихся 161 мы смогли спасти только 14. Случаи неудачи касаются 3 спасательных счетов и 16 атакующих счетов.

! [])https://img-cdn.gateio.im/webp-social/moments-adbfab235ed4a4c2a3ef7a58915c4deb.webp(

Уроки

Как определить стоимость Flashbots?

Мы применяем более консервативную стратегию установки сборов, но результаты не слишком удачны. Нападающие и некоторые белые шляпы обычно используют агрессивную стратегию, и процент сборов быстро возрастает с 70% до 86%. Это похоже на игру с нулевой суммой, где необходимо найти баланс между снижением затрат и поиском оптимальной стратегии.

! [])https://img-cdn.gateio.im/webp-social/moments-f6e97c80d0049ad9d2cc45cbbaf91c5a.webp(

Как правильно расположить транзакции в mempool?

Flashbots не всегда эффективны. Отправка обычных транзакций через mempool и их размещение в подходящем месте также может привести к достижению цели. Один злоумышленник использовал эту стратегию, чтобы успешно заработать 312 ETH, не уплачивая сборы Flashbots.

Некоторые другие размышления

Как отличить белого хакера от злоумышленника?

Определить белого хакера не всегда просто. Одним из примеров является ситуация, когда адрес, помеченный как адрес атакующего, становится белым хакером, потому что атакующий согласен оставить часть прибыли в качестве вознаграждения и вернуть остальное. Это явление вызвало споры в сообществе о справедливости стимулов.

Конкуренция между белыми шляпами

Сообществу необходимо создать механизм коммуникации и координации, чтобы снизить/избежать конкуренции между белыми шляпами. Эта конкуренция как тратит ресурсы на спасение, так и повышает стоимость спасения.

Как лучше организовать спасательные операции?

Белые шляпы могут объявить свои действия в сообществе, не раскрывая при этом конфиденциальную информацию, что является хорошей практикой. Сотрудничество всех сторон сообщества может сделать помощь более быстрой и эффективной, например, Flashbots/майнеры предоставляют доверенным белым шляпам зеленый коридор, а проектные команды берут на себя расходы и затраты.