區塊鏈應急救援行動復盤:經驗與啓示

2022年1月18日,我們的異常交易監測系統發現了針對AnySwap項目(即Multichain)的攻擊。由於合約函數存在漏洞,用戶授權給該項目的代幣可被攻擊者提取。盡管項目方嘗試提醒用戶,仍有很多用戶未能及時撤銷授權,導致攻擊者持續獲利。

爲保護潛在受害者,BlockSec團隊決定採取應急響應措施。我們針對以太坊上受影響的帳戶,將資金轉移到專門設立的多籤白帽帳戶中。爲確保透明性,我們將行動計劃的文件哈希(非內容)向社區公開。救援行動從2022年1月21日開始,到3月11日結束。

應急救援面臨諸多技術和非技術挑戰。現在行動已結束,我們將復盤整個過程,分享相關心得,希望對DeFi生態安全有所幫助。

主要發現:

• Flashbots的廣泛使用導致白帽和攻擊者之間,以及各自羣體內部出現激烈競爭。支付給Flashbots的費用隨時間快速增長。

• Flashbots並非總是有效。部分攻擊者轉而使用mempool,通過巧妙策略成功實施攻擊。

• 某些攻擊者與項目方達成協議,歸還部分獲利並保留部分作爲獎勵,成功"洗白"。這種做法在社區引發爭議。

• 白帽可在不泄露敏感信息的同時向社區公開行爲,這種做法在實踐中表現良好。

• 社區各方力量協作可使救援更快速有效,如白帽之間開展協同,減少無效競爭。

下面從四個方面展開討論:事件總體回顧、救援方法與挑戰、經驗教訓、以及建議。

攻擊和救援情況概覽

總體結果

在我們觀察範圍內(2022年1月18日至3月20日),總體攻擊和救援情況如下:

9個救援帳戶保護了483.027693 ETH,支付Flashbots費用295.970554 ETH(佔61.27%)。 21個攻擊帳戶獲利1433.092224 ETH,支付Flashbots費用148.903707 ETH(佔10.39%)。

需注意,由於某些攻擊者後續與項目方協商返還部分獲利,地址標籤可能變化,統計數據僅供參考。

Flashbots費用變化趨勢

爲評估競爭激烈程度,我們按區塊統計了攻擊和救援交易的Flashbots費用佔比。

初期攻擊交易Flashbots費用爲0,表明攻擊者尚未使用Flashbots。隨後費用佔比快速上升,在某些區塊甚至達到80%-91%。這反映了因爭奪Flashbots上鏈權而引發的費用軍備競賽。

救援行動實施與挑戰

救援方法

救援的基本思路是監控潛在受害帳戶,在WETH轉入時立即將其轉出至白帽多簽錢包。關鍵是要滿足以下要求:

1. 有效定位轉帳給受害者的交易(轉帳交易)
2. 正確構造救援交易
3. 成功搶跑攻擊者交易

前兩點對我們不構成障礙,但第三點仍有挑戰。雖然理論上可用Flashbots搶跑,但實際操作並不容易。我們也使用mempool發送普通交易,需考慮交易在mempool中的位置和順序。此外還要面對其他"白帽"的競爭。

競爭情況

我們嘗試保護171個潛在受害帳戶,其中10個自行撤銷授權,在剩餘161個中我們僅成功救援14個。失敗原因包括與3個救援帳戶和16個攻擊帳戶的競爭。

經驗教訓

Flashbots費用設置

我們採用較保守策略設置Flashbots費用,以盡可能保護受害者利益。然而這種策略效果不佳,對手往往更激進,費用比例曾高達70%-86%。

這似乎是個零和博弈,需要在降低成本和贏得競爭間尋求平衡。

Mempool交易安排

由於Flashbots競爭激烈,並非總是有效。通過mempool發送普通交易也是可行方案,關鍵是將交易安排在合適位置 - 緊隨轉帳交易之後。

有攻擊者成功運用此策略獲利312 ETH,且無需支付Flashbots費用。這種巧妙做法值得關注學習。

其他思考

區分白帽與攻擊者

識別白帽並非總是直觀。某些最初被標記爲攻擊者的帳戶,後來通過與項目方協商返還部分獲利而"洗白"。這種做法在社區引發爭議。

白帽間競爭

有必要建立協調機制減少白帽間競爭,避免資源浪費和成本提高。在本次行動中,多個白帽組織同時試圖保護同一批受害者,加劇了Flashbots費用漲。

優化救援行動

建議:

• 白帽在不泄露敏感信息前提下公開宣告行爲,以取信社區
• Flashbots/礦工爲可信白帽提供綠色通道
• 項目方承擔Flashbots費用
• 項目方改進用戶預警機制
• 項目方在代碼中加入應急措施

總之,社區各方協作可使救援更快速有效。本次經驗對未來類似情況的處理具有重要參考價值。