Обзор и размышления о действиях по экстренной помощи в Web3
18 января 2022 года наша система мониторинга аномальной торговли обнаружила атаку на проект AnySwap (, а именно на Multichain ). Из-за уязвимости функции anySwapOutUnderlyingWithPermit() токены, предоставленные пользователями этому проекту, могут быть украдены злоумышленниками.
Несмотря на то, что команда проекта предприняла различные меры, чтобы напомнить затронутым пользователям (, например, отправив уведомления о транзакциях ), многие пользователи не отозвали свои разрешения вовремя, и злоумышленники смогли продолжать получать прибыль.
Учитывая, что атака все еще продолжается, команда BlockSec решила принять меры экстренного реагирования для защиты потенциальных жертв. Мы в основном нацелены на затронутые счета на Ethereum, переводя соответствующие средства на специально созданный мультиподписной аккаунт белых хакеров. Чтобы гарантировать прозрачность действий, мы собираемся открыть для сообщества хэш документа плана (, не раскрывая содержания ), что позволит отличить наши действия от действий атакующих и не раскрыть детали. Спасательная операция началась 21 января 2022 года и завершилась 11 марта.
Аварийно-спасательные операции сталкиваются с многочисленными техническими и нетехническими вызовами. Теперь, когда действия завершены, мы можем проанализировать весь процесс и поделиться с сообществом соответствующим опытом и выводами, надеясь, что это поможет обеспечить безопасность экосистемы DeFi.
Краткое резюме
Широкое использование Flashbots привело к ожесточенной конкуренции между белыми шляпами и злоумышленниками, а также внутри каждого из этих сообществ, при этом оплачиваемые сборы быстро возросли со временем.
Flashbots не являются универсальным решением, некоторые злоумышленники вместо этого используют mempool, умело организуя атаки, чтобы успешно осуществить нападение.
Некоторые атакующие достигли соглашения с командой проекта, вернув часть полученного и сохранив часть в качестве вознаграждения, тем самым успешно "отбелив" свои действия. Эта практика вызвала споры в сообществе.
Белые хакеры могут открыто действовать в сообществе, не раскрывая чувствительную информацию, и этот способ завоевания доверия работает хорошо.
Сотрудничество различных сил сообщества может сделать спасение более быстрым и эффективным, например, сотрудничество между белыми шляпами для сокращения неэффективной конкуренции.
Далее мы обсудим четыре аспекта: сначала рассмотрим общую ситуацию с событием, затем представим методы спасения и возникающие проблемы, затем поделимся опытом и впечатлениями от действий, и наконец, предложим некоторые рекомендации.
Обзор ситуации с атаками и спасением
Общий результат
Период наблюдения составляет с 18 января 2022 года по 20 марта 2022 года. Общая ситуация следующая:
9 спасательных счетов защитили 483.027693 ETH, из которых уплачены комиссии Flashbots 295.970554 ETH( составляют 61.27%)
21 атакующих аккаунта получили прибыль 1433.092224 ETH, выплачено за услуги Flashbots 148.903707 ETH( составляет 10.39%)
Следует отметить, что из-за наличия некоторых сложных ситуаций (, таких как возврат части прибыли после переговоров между злоумышленниками и проектной стороной ), эти данные являются лишь приблизительной статистикой.
!
Тенденция изменения сборов Flashbots
Белые шляпы должны конкурировать с атакующими, отправляя сделки Flashbots для выполнения спасательной операции, при этом оплаченные сборы отражают степень конкуренции. Мы статистически оценили долю сборов Flashbots атакующих и спасательных сделок по блокам транзакций.
Изначально некоторые атаки на транзакции Flashbots имели нулевую плату, что указывает на то, что злоумышленники еще не использовали Flashbots. Затем доля платы быстро возросла, в некоторых блоках она достигала 80% и 91%. Это указывает на то, что произошла эволюция в гонке вооружений за плату за право включения в блоки Flashbots.
!
Мы осуществляем спасательные операции и сталкиваемся с вызовами
Основные идеи спасательной операции
Мы отслеживали группу потенциальных жертв, которые уже предоставили WETH проблемному контракту. Когда WETH поступает на эти счета, мы используем уязвимость контракта, чтобы вывести его на кошелек белых хакеров с мультиподпиской. Ключевым является выполнение следующих трех условий:
Эффективное определение транзакции перевода средств жертве ( транзакция перевода )
Правильно построить и реализовать сделку по спасению ( спасательная сделка )
Успешно опередить атаки со стороны злоумышленника ( или других третьих лиц ) в транзакции ( атакующих транзакций )
Первые два пункта не представляют для нас препятствий, поскольку у нас есть система мониторинга mempool и инструменты для автоматического создания спасательных транзакций. Но третий пункт все еще является вызовом.
Хотя теоретически можно использовать Flashbots для победы в арбитраже, на практике это не так просто. Во-первых, злоумышленники также могут использовать Flashbots, и вероятность успеха зависит от величины ставки. Во-вторых, жесткая конкуренция делает Flashbots не всегда лучшим выбором, мы также можем отправлять обычные транзакции через mempool. Наконец, мы также конкурируем с другими "белыми шляпами", и некоторые так называемые "белые шляпы" ведут себя довольно подозрительно.
Конкуренция
Мы пытались защитить 171 независимый потенциальный жертвенский аккаунт. Из них 10 оперативно отозвали свои полномочия, а из оставшихся 161 мы смогли спасти только 14. Ситуации с неудачами касаются 3 спасательных аккаунтов и 16 аккаунтов атакующих.
!
Уроки и выводы
Настройки сборов Flashbots
Во время спасательной операции мы 12 раз проигрывали другим конкурентам, включая 2 спасательных счета и 10 атакующих счетов.
Наша стратегия довольно консервативна, мы склонны устанавливать более низкие комиссии Flashbots для защиты интересов жертв. Если только не появились успешные атакующие сделки с использованием Flashbots, мы не будем активно использовать или повышать комиссии. Однако такая стратегия оказывается неэффективной, противник часто действует более агрессивно:
Некий злоумышленник установил процент комиссии на уровне 70%
Некоторый белый хакер установил процент сборов на 79%, 80%
Другой белый хакер установил процент расходов на 81%
Атакующий затем увеличил процент затрат до 86%
Это кажется нулевой игрой, которая требует моделирования для изучения поведения всех сторон. На практике необходимо как можно больше снизить затраты, так и найти оптимальную стратегию для победы в конкуренции, что является крайне сложной задачей.
!
Сортировка транзакций в Mempool
Жесткая конкуренция делает Flashbots не всегда эффективными. Отправка обычных транзакций через mempool, если их можно расположить в подходящем месте ( сразу после транзакции перевода ), также может достичь цели.
Некоторый злоумышленник успешно заработал 312 ETH, используя эту стратегию, и не платя комиссию Flashbots. Например:
Блок 14051020: транзакция жертвы находится на 65, транзакция атаки находится на 66
Блок 14052155: Транзакция жертвы находится на 161, атакующая транзакция находится на 164
Эта хитрая стратегия сочетает в себе практичность и вдохновение, что заслуживает внимания.
!
Другие размышления
Определение белых хакеров и злоумышленников
Определение белых хакеров не всегда является прямолинейным. Например, одна учетная запись изначально была помечена как злоумышленник, но после переговоров с командой проекта согласилась оставить 50 ETH в качестве вознаграждения и вернуть другие прибыли, после чего была переименована в белого хакера.
Это явление не является первым, его справедливость механизма стимулов вызвала споры в сообществе.
Конкуренция среди белых хакеров
Необходимо создать координационный механизм в сообществе для снижения конкуренции между белыми шляпами. Эта конкуренция не только расходует ресурсы, но и повышает стоимость спасательных операций. Например, мы вместе с тремя другими организациями белых шляп одновременно пытались защитить 54 жертвы (, связанных с 450 ETH). Без координационного механизма белым шляпам сложно отказаться или прекратить такую конкуренцию.
Улучшение спасательных операций
Белые шляпы могут открыто действовать в сообществе, не раскрывая конфиденциальную информацию, такой подход оказывается эффективным.
Все стороны сообщества могут сотрудничать для повышения эффективности спасательных операций:
Flashbots/Майнеры предоставляют зеленый коридор для надежных белых шляп
Проект берет на себя расходы Flashbots
Проект использует более удобный механизм предупреждения пользователей
Команда проекта добавила меры экстренной помощи в код
С совместными усилиями всех сторон мы сможем лучше справляться с вызовами безопасности в экосистеме Web3 и защищать интересы пользователей.
!
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
Запись о безопасности Web3: Опыт и выводы спасательной операции AnySwap
Обзор и размышления о действиях по экстренной помощи в Web3
18 января 2022 года наша система мониторинга аномальной торговли обнаружила атаку на проект AnySwap (, а именно на Multichain ). Из-за уязвимости функции anySwapOutUnderlyingWithPermit() токены, предоставленные пользователями этому проекту, могут быть украдены злоумышленниками.
Несмотря на то, что команда проекта предприняла различные меры, чтобы напомнить затронутым пользователям (, например, отправив уведомления о транзакциях ), многие пользователи не отозвали свои разрешения вовремя, и злоумышленники смогли продолжать получать прибыль.
Учитывая, что атака все еще продолжается, команда BlockSec решила принять меры экстренного реагирования для защиты потенциальных жертв. Мы в основном нацелены на затронутые счета на Ethereum, переводя соответствующие средства на специально созданный мультиподписной аккаунт белых хакеров. Чтобы гарантировать прозрачность действий, мы собираемся открыть для сообщества хэш документа плана (, не раскрывая содержания ), что позволит отличить наши действия от действий атакующих и не раскрыть детали. Спасательная операция началась 21 января 2022 года и завершилась 11 марта.
Аварийно-спасательные операции сталкиваются с многочисленными техническими и нетехническими вызовами. Теперь, когда действия завершены, мы можем проанализировать весь процесс и поделиться с сообществом соответствующим опытом и выводами, надеясь, что это поможет обеспечить безопасность экосистемы DeFi.
Краткое резюме
Широкое использование Flashbots привело к ожесточенной конкуренции между белыми шляпами и злоумышленниками, а также внутри каждого из этих сообществ, при этом оплачиваемые сборы быстро возросли со временем.
Flashbots не являются универсальным решением, некоторые злоумышленники вместо этого используют mempool, умело организуя атаки, чтобы успешно осуществить нападение.
Некоторые атакующие достигли соглашения с командой проекта, вернув часть полученного и сохранив часть в качестве вознаграждения, тем самым успешно "отбелив" свои действия. Эта практика вызвала споры в сообществе.
Белые хакеры могут открыто действовать в сообществе, не раскрывая чувствительную информацию, и этот способ завоевания доверия работает хорошо.
Сотрудничество различных сил сообщества может сделать спасение более быстрым и эффективным, например, сотрудничество между белыми шляпами для сокращения неэффективной конкуренции.
Далее мы обсудим четыре аспекта: сначала рассмотрим общую ситуацию с событием, затем представим методы спасения и возникающие проблемы, затем поделимся опытом и впечатлениями от действий, и наконец, предложим некоторые рекомендации.
Обзор ситуации с атаками и спасением
Общий результат
Период наблюдения составляет с 18 января 2022 года по 20 марта 2022 года. Общая ситуация следующая:
Следует отметить, что из-за наличия некоторых сложных ситуаций (, таких как возврат части прибыли после переговоров между злоумышленниками и проектной стороной ), эти данные являются лишь приблизительной статистикой.
!
Тенденция изменения сборов Flashbots
Белые шляпы должны конкурировать с атакующими, отправляя сделки Flashbots для выполнения спасательной операции, при этом оплаченные сборы отражают степень конкуренции. Мы статистически оценили долю сборов Flashbots атакующих и спасательных сделок по блокам транзакций.
Изначально некоторые атаки на транзакции Flashbots имели нулевую плату, что указывает на то, что злоумышленники еще не использовали Flashbots. Затем доля платы быстро возросла, в некоторых блоках она достигала 80% и 91%. Это указывает на то, что произошла эволюция в гонке вооружений за плату за право включения в блоки Flashbots.
!
Мы осуществляем спасательные операции и сталкиваемся с вызовами
Основные идеи спасательной операции
Мы отслеживали группу потенциальных жертв, которые уже предоставили WETH проблемному контракту. Когда WETH поступает на эти счета, мы используем уязвимость контракта, чтобы вывести его на кошелек белых хакеров с мультиподпиской. Ключевым является выполнение следующих трех условий:
Первые два пункта не представляют для нас препятствий, поскольку у нас есть система мониторинга mempool и инструменты для автоматического создания спасательных транзакций. Но третий пункт все еще является вызовом.
Хотя теоретически можно использовать Flashbots для победы в арбитраже, на практике это не так просто. Во-первых, злоумышленники также могут использовать Flashbots, и вероятность успеха зависит от величины ставки. Во-вторых, жесткая конкуренция делает Flashbots не всегда лучшим выбором, мы также можем отправлять обычные транзакции через mempool. Наконец, мы также конкурируем с другими "белыми шляпами", и некоторые так называемые "белые шляпы" ведут себя довольно подозрительно.
Конкуренция
Мы пытались защитить 171 независимый потенциальный жертвенский аккаунт. Из них 10 оперативно отозвали свои полномочия, а из оставшихся 161 мы смогли спасти только 14. Ситуации с неудачами касаются 3 спасательных аккаунтов и 16 аккаунтов атакующих.
!
Уроки и выводы
Настройки сборов Flashbots
Во время спасательной операции мы 12 раз проигрывали другим конкурентам, включая 2 спасательных счета и 10 атакующих счетов.
Наша стратегия довольно консервативна, мы склонны устанавливать более низкие комиссии Flashbots для защиты интересов жертв. Если только не появились успешные атакующие сделки с использованием Flashbots, мы не будем активно использовать или повышать комиссии. Однако такая стратегия оказывается неэффективной, противник часто действует более агрессивно:
Это кажется нулевой игрой, которая требует моделирования для изучения поведения всех сторон. На практике необходимо как можно больше снизить затраты, так и найти оптимальную стратегию для победы в конкуренции, что является крайне сложной задачей.
!
Сортировка транзакций в Mempool
Жесткая конкуренция делает Flashbots не всегда эффективными. Отправка обычных транзакций через mempool, если их можно расположить в подходящем месте ( сразу после транзакции перевода ), также может достичь цели.
Некоторый злоумышленник успешно заработал 312 ETH, используя эту стратегию, и не платя комиссию Flashbots. Например:
Эта хитрая стратегия сочетает в себе практичность и вдохновение, что заслуживает внимания.
!
Другие размышления
Определение белых хакеров и злоумышленников
Определение белых хакеров не всегда является прямолинейным. Например, одна учетная запись изначально была помечена как злоумышленник, но после переговоров с командой проекта согласилась оставить 50 ETH в качестве вознаграждения и вернуть другие прибыли, после чего была переименована в белого хакера.
Это явление не является первым, его справедливость механизма стимулов вызвала споры в сообществе.
Конкуренция среди белых хакеров
Необходимо создать координационный механизм в сообществе для снижения конкуренции между белыми шляпами. Эта конкуренция не только расходует ресурсы, но и повышает стоимость спасательных операций. Например, мы вместе с тремя другими организациями белых шляп одновременно пытались защитить 54 жертвы (, связанных с 450 ETH). Без координационного механизма белым шляпам сложно отказаться или прекратить такую конкуренцию.
Улучшение спасательных операций
Белые шляпы могут открыто действовать в сообществе, не раскрывая конфиденциальную информацию, такой подход оказывается эффективным.
Все стороны сообщества могут сотрудничать для повышения эффективности спасательных операций:
С совместными усилиями всех сторон мы сможем лучше справляться с вызовами безопасности в экосистеме Web3 и защищать интересы пользователей.
!