Multichain зазнав атаки, дії білих капелюхів врятували 483 ETH

18 січня 2022 року система моніторингу аномальних транзакцій виявила атаку на проект AnySwap (Multichain). Через те, що відповідні функції не змогли правильно реалізувати механізм перевірки, токени, які користувачі надали цьому проекту, можуть бути виведені.

Незважаючи на те, що проектна команда намагалася різними способами нагадати постраждалим користувачам, багато користувачів не змогли вчасно відреагувати, що дозволило зловмисникам продовжувати атаки та отримувати прибуток.

У зв'язку з продовженням атак, для захисту потенційних жертв, команда BlockSec вирішила вжити заходів екстреного реагування. Ця рятувальна операція спрямована на постраждалі рахунки в Ethereum, ми перемістимо кошти відповідних рахунків на спеціально створений мультипідписний рахунок білих капелюхів. Щоб забезпечити прозорість дій, ми опишемо відповідний план у документі та негайно опублікуємо хеш документа для громади. Рятувальна операція розпочалася 21 січня 2022 року і закінчилася 11 березня 2022 року.

Екстрене рятування - це не просто, є різні технічні та нетехнічні виклики, які потрібно подолати. Після завершення акції ми підсумовуємо весь процес і ділимося досвідом з громадою. Сподіваємося, що такі обміни будуть корисні для громади та безпеки екосистеми DeFi.

Коротке резюме:

• Різні учасники викликали жорстку конкуренцію через широке використання Flashbots, плата також швидко зростала з часом.

• Flashbots не завжди ефективні. Деякі зловмисники переходять на mempool, успішно здійснюючи атаки.

• Деякі зловмисники досягли угоди з командою проекту, повернувши частину здобутого внаслідок атаки, зберігши частину як винагороду, щоб відбілити свою репутацію. Це явище викликало суперечки в спільноті.

• Білий капелюх може оголошувати свої дії перед спільнотою, не розкриваючи при цьому чутливу інформацію, і ця практика має хороші результати.

• Сили різних сторін спільно працюють, що може зробити рятувальну діяльність швидшою та ефективнішою. Наприклад, співпраця між білими капелюшками зменшує безглузду конкуренцію.

Це буде розглянуто з чотирьох аспектів: по-перше, загальний огляд цієї події, потім представлення методів проведення рятувальних операцій та викликів, з якими стикалися, далі обговорення висновків з дій, і наостанок, пропозиції та рекомендації.

Огляд атак і рятувальних операцій

Загальний результат

У спостережуваному діапазоні ( з 18 січня 2022 року по 20 березня 2022 року ) загальна ситуація з атаками та рятувальними операціями є такою: 9 рятувальних рахунків захистили 483.027693 ETH, з яких потрібно вирахувати комісію Flashbots 295.970554 ETH ( становить 61.27% ); 21 атакуючий рахунок отримав прибуток у розмірі 1433.092224 ETH, з яких потрібно вирахувати комісію Flashbots 148.903707 ETH ( становить 10.39% ).

!

Тенденція зміни витрат Flashbots

Білі капелюхи повинні конкурувати з атакуючими, відправляючи транзакції Flashbots для проведення рятувальних операцій, зміна витрат відображає рівень конкуренції. Спочатку деякі атакуючі транзакції Flashbots мали витрати 0, що вказує на те, що атакуючі ще не використовували Flashbots. Згодом частка витрат швидко зросла, досягнувши 91% у певному блоці. Це свідчить про те, що це стало гонкою озброєнь витрат через боротьбу за права на ланцюг Flashbots.

!

Здійснені рятувальні дії та виклики, з якими стикаються

Основна ідея порятунку полягає в моніторингу потенційних рахунків жертв, коли на них надходить WETH, використовуючи уразливість для його виведення на мультипідписний гаманець білих капелюхів. Ключовим є виконання трьох вимог:

R1:ефективне визначення транзакцій для переказу потерпілому R2:Правильно побудувати рятувальну угоду R3:Успішна атака на угоду з боку нападника

R1 та R2 не становлять для нас перешкоди. R3 все ще є викликом, хоча теоретично можна виграти в обгоні за допомогою Flashbots, але на практиці це не так просто. Ми також використовуємо mempool для відправки звичайних транзакцій, позиція та порядок транзакцій є ключовими факторами.

Ми залучені в конкуренцію

Загалом намагалися захистити 171 потенційний рахунок жертви. З них 10 самозахищалися, а серед решти 161 нам вдалося врятувати лише 14. Ситуації невдачі стосувалися 3 рятувальних рахунків та 16 рахунків атак.

!

уроки

Як визначити витрати Flashbots?

Ми використовуємо більш консервативну стратегію встановлення витрат, але результати не є надто успішними. Атакуючі та деякі білий капелюхи зазвичай використовують агресивну стратегію, і витрати швидко зростають з 70% до 86%. Це, здається, гра з нульовою сумою, що вимагає балансування між зниженням витрат і знаходженням оптимальної стратегії.

!

Як правильно організувати позицію транзакцій у mempool?

Flashbots не завжди ефективні. Надсилаючи звичайні транзакції через mempool і розміщуючи їх у відповідних місцях, також можна досягти цілі. Один з нападників використав цю стратегію, щоб успішно отримати 312 ETH, не сплачуючи збори Flashbots.

Деякі інші роздуми

Як відрізнити білих хакерів від зловмисників?

Визначити білих капелюхів не завжди просто. Один з прикладів - це коли певна адреса позначається як така, що переходить від атакуючого до білого капелюха, оскільки атакуючий погоджується зберегти частину прибутку як винагороду і повернути решту. Це явище викликало суперечки в спільноті щодо справедливості стимулів.

Конкуренція між білими капелюхами

Громаді необхідно створити механізм комунікації та координації, щоб знизити/уникнути конкуренції між білими капелюшками. Ця конкуренція як марнує ресурси для порятунку, так і підвищує витрати на порятунок.

Як краще проводити рятувальні операції?

Білі капелюхи можуть відкрито оголошувати свої дії в спільноті, не розкриваючи чутливу інформацію, що є позитивною практикою. Спільні зусилля всіх сторін можуть зробити допомогу швидшою та ефективнішою, наприклад, Flashbots/майнери надають надійним білим капелюхам зелений коридор, а проєкти беруть на себе витрати.