4)对于被盗资金的去向——假如合约里面存在黑名单功能,第一时间屏蔽黑客地址,防止黑客进行资金转移。
5)和安全机构和执法部门合作追回被盗的财产,同时提出合理的补偿方案以减少用户的损失。
从交易所的角度来说,有两种情况:
1)假如交易所本身被盗,需第一时间暂停所有的提现充值功能,把损失降到最少。交易所保留系统里面的所有信息(比如说日志)以便日后做分析使用,联系安全机构或者执法部门,协助进行财产追踪。2)假如某个项目被黑的话,交易所可以监控黑客相关链上地址,如果监测到最新充值的关联地址,则立即冻结该账户。安全机构则需要做到以下几点:
1)在事件发生之后分析漏洞产生的原因,并修复漏洞。
2)在项目重新上线之前提供安全审计服务,以减少项目重新上线之后的安全风险。
3)发布社区警告,同时查看有没有别的项目存在相同的漏洞。如果有项目存在相同漏洞,可以通过保密渠道发出警告。
4)通过链上技术手段来追踪资金流向以及分析链下信息(比如说黑客的IP地址以及设备),协助执法部门抓到黑客。那么,为何安全机构对漏洞已进行层层筛查,还会被黑客有机可趁?
事实是,对于某个项目的审计工作只能持续数个星期,而黑客的时间和精力是无限的。他们一旦瞄准某类项目,便会有比审计公司多得多的时间进行研究并展开行动。
今年出现的跨链桥项目屡次受到攻击便是因为此类项目中锁着大量的用户资产。
其次,跨链桥和其他DeFi项目的不同的点是:普通DeFi项目几乎100%的逻辑是在智能合约上实现的,而跨链桥是web2和web3的结合,是智能合约和传统后台的结合。
非去中心化且存有巨额锁仓资金的赛道给到了黑客攻击的机会。简而言之,DeFi协议除了自身的代码需固若金汤,因其需与其他协议交互的可组合型,业务逻辑也要严丝合缝。
最重要的是,DeFi协议需借助第三方服务(如外部预言机、中心化的云平台等),而这些第三方服务很有可能面临外部操纵的风险,这也是产品受到黑客攻击的主要原因。
未来区块链安全展望未来随着技术的发展,区块链行业会变得日益安全吗?理论上是的。
先说底层技术,首先编写智能合约的Solidity语言慢慢变成熟。在最近的Solidity版本8.0之后,之前比较常见的一种漏洞叫做integer overflow(整数溢出)便销声匿迹了。
其次,区块链业内对于安全的重视度正在大幅增加。最后,安全的开源代码库也会提高安全系数。OpenZeppelin代码库是由专业人员写的一个开源的代码库,它的代码质量会相对比较高、比较安全。
项目方只需要在代码库的基础上添加想实现的一些功能,便能实现从零开始写代码。(https://github.com/OpenZeppelin/openzeppelin-contracts)
另外,现在有很多安全工具会对代码进行检查——它可以帮助项目方在没有联系安全公司的情况下,找到一些潜在的漏洞,从而提高代码的安全性。
例如CertiK Skynet天网扫描系统,它作为一个24*7全天候运行的安全情报引擎,可为智能合约的链上部署提供多维度和实时的透明安全监控并24小时运行监控和危险警报提示。
除此之外,例如公开透明展示安全数据的安全排行榜以及项目预警系统也可为除项目方外的投资人提供安全见解。所有投资者都可以通过这个这个不受限制的安全洞察数据库查询所需要的安全数据信息。
随着越来越多的技术人员加入到这个领域来,区块链行业的安全壁垒会不断被加固。
【 安全|一文揭秘2021年区块链黑客攻击频发的原因】
推荐阅读
- 安全风险|苹果将出席白宫会议讨论开源软件的安全风险问题
- 平台|抖音发布首份安全透明度报告 推动平台治理公开化
- 考试|行业观察丨在线学习、远程考试成新趋势,信息安全需重视
- 漏洞|苹果将出席白宫会议讨论开源软件的安全风险问题
- 误区|产品驱动增长 PLG 风靡,一文聊透机会与误区
- 360安全卫士|极域电子教室与360冲突解决方法
- 网络安全|医疗保障局筑牢网络安全防线
- 安全|“网络大流感”ApacheLog4j2漏洞来袭“云上企业”如何应对?
- 用户|一文详解拼团功能
- 骑士|智能头盔来了,外卖小哥的安全有保障了么?