Ação de Resgate de Emergência em Blockchain: Experiências e Insights
No dia 18 de janeiro de 2022, o nosso sistema de monitoramento de transações anômalas detectou um ataque ao projeto AnySwap (, que é o Multichain ). Devido a uma vulnerabilidade na função do contrato, os tokens autorizados pelos usuários para esse projeto podiam ser extraídos pelos atacantes. Embora a equipe do projeto tenha tentado alertar os usuários, muitos não conseguiram revogar a autorização a tempo, resultando em lucros contínuos para os atacantes.
Para proteger as potenciais vítimas, a equipe do BlockSec decidiu tomar medidas de resposta de emergência. Estamos transferindo os fundos das contas afetadas na Ethereum para uma conta multi-sig de white hat criada especificamente. Para garantir a transparência, vamos tornar público o hash do documento do plano de ação ( e o conteúdo ) para a comunidade. A operação de resgate começou em 21 de janeiro de 2022 e terminou em 11 de março.
A resposta a emergências enfrenta muitos desafios técnicos e não técnicos. Agora que a ação terminou, vamos revisar todo o processo, compartilhar insights relevantes, esperando que ajude na segurança do ecossistema DeFi.
Principais descobertas:
O uso generalizado do Flashbots levou a uma competição acirrada entre brancos e atacantes, assim como dentro de cada um dos seus respectivos grupos. As taxas pagas ao Flashbots cresceram rapidamente ao longo do tempo.
Flashbots nem sempre são eficazes. Alguns atacantes recorrem ao mempool, utilizando estratégias astutas para realizar ataques com sucesso.
Alguns atacantes chegaram a um acordo com a equipe do projeto, devolvendo parte dos lucros e mantendo parte como recompensa, conseguindo assim "lavar" o dinheiro. Esta prática gerou controvérsia na comunidade.
Os hackers éticos podem divulgar comportamentos para a comunidade sem revelar informações sensíveis, e essa prática tem se mostrado eficaz na prática.
A colaboração entre diferentes forças da comunidade pode tornar o resgate mais rápido e eficaz, como a coordenação entre os hackers éticos, reduzindo a concorrência inútil.
Abaixo, discutiremos a partir de quatro aspectos: uma visão geral do evento, métodos e desafios de resgate, lições aprendidas e recomendações.
Visão Geral dos Ataques e Resgates
Resultado Geral
Na nossa área de observação ( de 18 de janeiro a 20 de março de 2022, a situação geral de ataques e resgates é a seguinte:
9 contas de resgate protegeram 483.027693 ETH, pagaram taxas Flashbots 295.970554 ETH) representam 61.27%(.
21 contas de ataque lucraram 1433.092224 ETH, pagaram taxas de Flashbots 148.903707 ETH) representa 10.39%(.
É importante notar que, devido a alguns atacantes que posteriormente negociaram com a equipe do projeto a devolução de parte dos lucros, os rótulos dos endereços podem mudar, e os dados estatísticos são apenas para referência.
Para avaliar o nível de concorrência, estatisticamente calculamos a proporção das taxas de Flashbots para transações de ataque e resgate por bloco.
Os custos de transação de ataque inicial do Flashbots eram 0, indicando que os atacantes ainda não estavam a utilizar o Flashbots. Em seguida, a proporção de custos aumentou rapidamente, chegando a 80%-91% em alguns blocos. Isso reflete a corrida armamentista de custos provocada pela disputa pelo direito de colocar em cadeia no Flashbots.
A ideia básica do resgate é monitorar contas potenciais de vítimas, transferindo imediatamente para uma carteira multi-assinatura de "chapéu branco" assim que o WETH for depositado. O importante é atender aos seguintes requisitos:
Localização eficaz da transação de transferência para a vítima ### transação de transferência (
Construir corretamente uma transação de resgate
Transação do atacante que conseguiu executar o ataque de front-running
Os dois primeiros pontos não nos representam um obstáculo, mas o terceiro ainda apresenta desafios. Embora teoricamente seja possível usar Flashbots para frontrunning, na prática não é fácil. Também usamos o mempool para enviar transações normais, sendo necessário considerar a posição e a ordem das transações no mempool. Além disso, enfrentamos a concorrência de outros "white hats".
) Situação competitiva
Tentamos proteger 171 contas potenciais de vítimas, das quais 10 revogaram a autorização por conta própria, e entre as 161 restantes, apenas conseguimos resgatar 14. As razões para o fracasso incluem competição com 3 contas de resgate e 16 contas de ataque.
Adotamos uma estratégia mais conservadora para definir as taxas do Flashbots, a fim de proteger os interesses das vítimas o máximo possível. No entanto, essa estratégia não teve um bom efeito, pois os oponentes costumam ser mais agressivos, com taxas que chegaram a atingir 70%-86%.
Isso parece ser um jogo de soma zero, onde é necessário buscar um equilíbrio entre a redução de custos e a conquista da concorrência.
Devido à intensa concorrência da Flashbots, nem sempre é eficaz. Enviar transações comuns através do mempool também é uma solução viável, sendo crucial posicionar a transação no lugar certo - logo após as transações de transferência.
Um atacante conseguiu lucrar 312 ETH usando esta estratégia, sem ter que pagar taxas da Flashbots. Esta abordagem engenhosa merece atenção e aprendizado.
Reconhecer os "white hats" nem sempre é intuitivo. Algumas contas que foram inicialmente marcadas como atacantes, posteriormente "limparam-se" negociando a devolução de parte dos lucros com a equipe do projeto. Esta prática gerou controvérsia na comunidade.
Competição entre chapéus brancos
É necessário estabelecer um mecanismo de coordenação para reduzir a competição entre os hackers éticos, evitando desperdício de recursos e aumento de custos. Nesta ação, várias organizações de hackers éticos tentaram ao mesmo tempo proteger o mesmo grupo de vítimas, o que agravou o aumento das taxas do Flashbots.
Otimizar a operação de resgate
Sugestão:
O hacker ético declara publicamente suas ações sem divulgar informações sensíveis, para ganhar a confiança da comunidade.
Flashbots/miner para white hats confiáveis fornecem um canal verde
A equipe do projeto arca com os custos da Flashbots
A equipe do projeto melhorou o mecanismo de alerta para usuários
A equipe do projeto incluiu medidas de emergência no código
Em suma, a colaboração entre as várias partes da comunidade pode tornar os esforços de resgate mais rápidos e eficazes. Esta experiência é de grande valor de referência para o tratamento de situações semelhantes no futuro.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
18 Curtidas
Recompensa
18
4
Compartilhar
Comentário
0/400
RiddleMaster
· 5h atrás
Outra vez perdi bastante moeda
Ver originalResponder0
HodlKumamon
· 07-19 18:16
O boné branco está a salvar os idiotas~
Ver originalResponder0
TokenEconomist
· 07-18 22:22
na verdade, este é um clássico problema de principal-agente em defi... informação assimétrica + resposta tardia do usuário = explorações inevitáveis
Ver originalResponder0
MondayYoloFridayCry
· 07-18 22:21
Qual é a utilidade desta revisão? É melhor correr diretamente.
Ação de Socorro de Emergência em Blockchain: Experiências e Lições do Incidente de Ataque AnySwap
Ação de Resgate de Emergência em Blockchain: Experiências e Insights
No dia 18 de janeiro de 2022, o nosso sistema de monitoramento de transações anômalas detectou um ataque ao projeto AnySwap (, que é o Multichain ). Devido a uma vulnerabilidade na função do contrato, os tokens autorizados pelos usuários para esse projeto podiam ser extraídos pelos atacantes. Embora a equipe do projeto tenha tentado alertar os usuários, muitos não conseguiram revogar a autorização a tempo, resultando em lucros contínuos para os atacantes.
Para proteger as potenciais vítimas, a equipe do BlockSec decidiu tomar medidas de resposta de emergência. Estamos transferindo os fundos das contas afetadas na Ethereum para uma conta multi-sig de white hat criada especificamente. Para garantir a transparência, vamos tornar público o hash do documento do plano de ação ( e o conteúdo ) para a comunidade. A operação de resgate começou em 21 de janeiro de 2022 e terminou em 11 de março.
A resposta a emergências enfrenta muitos desafios técnicos e não técnicos. Agora que a ação terminou, vamos revisar todo o processo, compartilhar insights relevantes, esperando que ajude na segurança do ecossistema DeFi.
Principais descobertas:
O uso generalizado do Flashbots levou a uma competição acirrada entre brancos e atacantes, assim como dentro de cada um dos seus respectivos grupos. As taxas pagas ao Flashbots cresceram rapidamente ao longo do tempo.
Flashbots nem sempre são eficazes. Alguns atacantes recorrem ao mempool, utilizando estratégias astutas para realizar ataques com sucesso.
Alguns atacantes chegaram a um acordo com a equipe do projeto, devolvendo parte dos lucros e mantendo parte como recompensa, conseguindo assim "lavar" o dinheiro. Esta prática gerou controvérsia na comunidade.
Os hackers éticos podem divulgar comportamentos para a comunidade sem revelar informações sensíveis, e essa prática tem se mostrado eficaz na prática.
A colaboração entre diferentes forças da comunidade pode tornar o resgate mais rápido e eficaz, como a coordenação entre os hackers éticos, reduzindo a concorrência inútil.
Abaixo, discutiremos a partir de quatro aspectos: uma visão geral do evento, métodos e desafios de resgate, lições aprendidas e recomendações.
Visão Geral dos Ataques e Resgates
Resultado Geral
Na nossa área de observação ( de 18 de janeiro a 20 de março de 2022, a situação geral de ataques e resgates é a seguinte:
9 contas de resgate protegeram 483.027693 ETH, pagaram taxas Flashbots 295.970554 ETH) representam 61.27%(. 21 contas de ataque lucraram 1433.092224 ETH, pagaram taxas de Flashbots 148.903707 ETH) representa 10.39%(.
É importante notar que, devido a alguns atacantes que posteriormente negociaram com a equipe do projeto a devolução de parte dos lucros, os rótulos dos endereços podem mudar, e os dados estatísticos são apenas para referência.
![])https://img-cdn.gateio.im/webp-social/moments-502b402f7119932988948ba461367a19.webp(
) Tendência de mudança de taxas Flashbots
Para avaliar o nível de concorrência, estatisticamente calculamos a proporção das taxas de Flashbots para transações de ataque e resgate por bloco.
Os custos de transação de ataque inicial do Flashbots eram 0, indicando que os atacantes ainda não estavam a utilizar o Flashbots. Em seguida, a proporção de custos aumentou rapidamente, chegando a 80%-91% em alguns blocos. Isso reflete a corrida armamentista de custos provocada pela disputa pelo direito de colocar em cadeia no Flashbots.
![]###https://img-cdn.gateio.im/webp-social/moments-30d2c3346816e15ab7c89a6a25d0ad83.webp(
Implementação e Desafios da Missão de Resgate
) Método de resgate
A ideia básica do resgate é monitorar contas potenciais de vítimas, transferindo imediatamente para uma carteira multi-assinatura de "chapéu branco" assim que o WETH for depositado. O importante é atender aos seguintes requisitos:
Os dois primeiros pontos não nos representam um obstáculo, mas o terceiro ainda apresenta desafios. Embora teoricamente seja possível usar Flashbots para frontrunning, na prática não é fácil. Também usamos o mempool para enviar transações normais, sendo necessário considerar a posição e a ordem das transações no mempool. Além disso, enfrentamos a concorrência de outros "white hats".
) Situação competitiva
Tentamos proteger 171 contas potenciais de vítimas, das quais 10 revogaram a autorização por conta própria, e entre as 161 restantes, apenas conseguimos resgatar 14. As razões para o fracasso incluem competição com 3 contas de resgate e 16 contas de ataque.
![]###https://img-cdn.gateio.im/webp-social/moments-d22626977feebe325b02c899454022c7.webp(
Lições Aprendidas
) Configuração de taxas Flashbots
Adotamos uma estratégia mais conservadora para definir as taxas do Flashbots, a fim de proteger os interesses das vítimas o máximo possível. No entanto, essa estratégia não teve um bom efeito, pois os oponentes costumam ser mais agressivos, com taxas que chegaram a atingir 70%-86%.
Isso parece ser um jogo de soma zero, onde é necessário buscar um equilíbrio entre a redução de custos e a conquista da concorrência.
![]###https://img-cdn.gateio.im/webp-social/moments-3a365a505b5c5ac87a42a6d277af23ff.webp(
) Mempool transação arranjos
Devido à intensa concorrência da Flashbots, nem sempre é eficaz. Enviar transações comuns através do mempool também é uma solução viável, sendo crucial posicionar a transação no lugar certo - logo após as transações de transferência.
Um atacante conseguiu lucrar 312 ETH usando esta estratégia, sem ter que pagar taxas da Flashbots. Esta abordagem engenhosa merece atenção e aprendizado.
![]###https://img-cdn.gateio.im/webp-social/moments-cb547989448abc96498684cb89da8860.webp(
Outras Reflexões
) Distinguir entre hackers éticos e atacantes
Reconhecer os "white hats" nem sempre é intuitivo. Algumas contas que foram inicialmente marcadas como atacantes, posteriormente "limparam-se" negociando a devolução de parte dos lucros com a equipe do projeto. Esta prática gerou controvérsia na comunidade.
Competição entre chapéus brancos
É necessário estabelecer um mecanismo de coordenação para reduzir a competição entre os hackers éticos, evitando desperdício de recursos e aumento de custos. Nesta ação, várias organizações de hackers éticos tentaram ao mesmo tempo proteger o mesmo grupo de vítimas, o que agravou o aumento das taxas do Flashbots.
Otimizar a operação de resgate
Sugestão:
Em suma, a colaboração entre as várias partes da comunidade pode tornar os esforços de resgate mais rápidos e eficazes. Esta experiência é de grande valor de referência para o tratamento de situações semelhantes no futuro.
![]###https://img-cdn.gateio.im/webp-social/moments-adbfab235ed4a4c2a3ef7a58915c4deb.webp(