Multichain遭遇攻擊 白帽行動拯救483 ETH

2022年1月18日，異常交易監測系統檢測到了針對AnySwap項目(Multichain)的攻擊。由於相關函數未能正確實現校驗機制,導致用戶授權給該項目的token可被取出。

盡管項目方嘗試多種方法提醒受影響用戶,仍有很多用戶未能及時響應,攻擊者得以持續實施攻擊獲利。

由於攻擊持續進行,爲保護潛在受害者,BlockSec團隊決定採取應急響應措施。本次救援針對以太坊上受影響的帳戶,我們將相關帳戶資金轉移到專門設立的多籤白帽帳戶中。爲保證行動透明性,我們將相關計劃在文件中說明,並立即將文件哈希向社區公開。救援行動從2022年1月21日開始,到2022年3月11日結束。

應急救援並非容易,有各種技術和非技術挑戰需克服。行動結束後,我們復盤整個過程,並將心得與社區分享。希望這樣的分享對社區和DeFi生態安全有所幫助。

簡要總結:

• 不同參與者對Flashbots的廣泛使用產生激烈競爭,支付費用也隨時間迅速增長。

• Flashbots並非總有效。一些攻擊者轉用mempool,成功實施攻擊。

• 某些攻擊者與項目方達成協議,歸還部分攻擊所得,保留部分作爲獎賞,得以洗白。這種現象引起社區爭議。

• 白帽可在不泄露敏感信息的同時向社區公開宣告行爲,這種做法表現良好。

• 社區各方力量攜手合作,可使救援行動更迅速有效。如白帽間開展協同,減少無效競爭。

以下從四個方面展開:首先總體回顧本次事件,然後介紹實施救援的方法和面臨的挑戰,接着討論行動中的心得體會,最後提出一些想法和建議。

攻擊和救援情況概覽

總體結果

在觀察範圍內(2022年1月18日至3月20日),總體攻擊和救援情況如下:9個救援帳戶保護了483.027693 ETH,需扣除Flashbots費用295.970554 ETH(佔61.27%);21個攻擊帳戶獲利1433.092224 ETH,需扣除Flashbots費用148.903707 ETH(佔10.39%)。

Flashbots費用變化趨勢

白帽需與攻擊者競爭發送Flashbots交易來實施救援,費用變化反映競爭激烈程度。剛開始一些攻擊交易Flashbots費用爲0,表示攻擊者尚未使用Flashbots。隨後費用佔比快速上升,在某區塊達到91%。這表明已成爲由於Flashbots上鏈權之爭導致的費用軍備競賽。

實施的救援行動和面臨的挑戰

救援基本思路是監控潛在受害者帳戶,當有WETH轉入時,利用漏洞將其轉出至白帽多簽錢包。關鍵是滿足三個要求:

R1:有效定位轉帳給受害者的交易 R2:正確構造救援交易 R3:成功搶跑攻擊者交易

R1和R2對我們不構成阻礙。R3仍是挑戰,雖然理論上可用Flashbots贏得搶跑,但實踐中並不容易。我們也使用mempool發送普通交易,交易位置和順序是關鍵因素。

我們卷入的競爭

總體嘗試保護171個潛在受害者帳戶。其中10個自我保護,在餘下161個中我們僅成功救援14個。失敗情況涉及3個救援帳戶和16個攻擊帳戶。

經驗教訓

如何確定Flashbots費用?

我們採用較保守策略設置費用,但結果並不太成功。攻擊者和一些白帽通常採用激進策略,費用比例從70%快速上升到86%。這似乎是一個零和遊戲,需要在降低代價和找到最優策略間權衡。

如何在mempool中正確安排交易位置?

Flashbots並非總有效。通過mempool發送普通交易,並安排在合適位置,也可能實現目標。一位攻擊者運用此策略成功獲利312 ETH,且無需支付Flashbots費用。

一些其它思考

如何區分白帽和攻擊者?

識別白帽並非總是簡單。一個例子是某地址標記從攻擊者變爲白帽,因爲攻擊者同意保留部分獲利作爲獎賞並返還其餘。這種現象引發社區對激勵公平性的爭議。

白帽之間的競爭

社區有必要建立溝通協調機制來降低/避免白帽間競爭。這種競爭既浪費救援資源,又提高救援成本。

如何更好地開展救援行動?

白帽可在不泄露敏感信息的同時向社區公開宣告行爲,這種做法表現良好。社區各方力量攜手合作可使救援更迅速有效,如Flashbots/礦工爲可信白帽提供綠色通道,項目方負擔費用成本等。