- Tema
52k Popularidad
21k Popularidad
64k Popularidad
31k Popularidad
4k Popularidad
99k Popularidad
29k Popularidad
28k Popularidad
7k Popularidad
18k Popularidad
- Anclado
52k Popularidad
21k Popularidad
64k Popularidad
31k Popularidad
4k Popularidad
99k Popularidad
29k Popularidad
28k Popularidad
7k Popularidad
18k Popularidad
Multichain sufrió un ataque, la acción de sombrero blanco salvó 483 ETH
El 18 de enero de 2022, el sistema de monitoreo de transacciones anómalas detectó un ataque contra el proyecto AnySwap (Multichain). Debido a que las funciones relacionadas no implementaron correctamente el mecanismo de verificación, los tokens autorizados por los usuarios para dicho proyecto podían ser retirados.
A pesar de que el equipo del proyecto intentó varios métodos para alertar a los usuarios afectados, aún hay muchos usuarios que no respondieron a tiempo, lo que permitió a los atacantes continuar con el ataque y beneficiarse.
Debido a que el ataque sigue en curso, el equipo de BlockSec ha decidido tomar medidas de respuesta de emergencia para proteger a las posibles víctimas. Esta operación de rescate se dirige a las cuentas afectadas en Ethereum; trasladaremos los fondos de las cuentas afectadas a una cuenta de múltiples firmas para "white hats" que ha sido especialmente establecida. Para garantizar la transparencia de la acción, describiremos el plan relacionado en un documento y publicaremos inmediatamente el hash del documento a la comunidad. La operación de rescate comenzó el 21 de enero de 2022 y terminó el 11 de marzo de 2022.
La respuesta de emergencia no es fácil, hay diversos desafíos técnicos y no técnicos que deben superarse. Al finalizar la acción, revisamos todo el proceso y compartimos nuestras experiencias con la comunidad. Esperamos que este tipo de compartición ayude a la comunidad y a la seguridad del ecosistema DeFi.
Resumen breve:
La amplia utilización de Flashbots por diferentes participantes genera una intensa competencia, y las tarifas también aumentan rápidamente con el tiempo.
Flashbots no siempre son efectivos. Algunos atacantes cambiaron a mempool y lograron llevar a cabo el ataque.
Algunos atacantes llegaron a un acuerdo con el equipo del proyecto para devolver parte de lo obtenido en el ataque, reteniendo una parte como recompensa, lo que les permite blanquear dinero. Este fenómeno ha provocado controversia en la comunidad.
El sombrero blanco puede anunciar su comportamiento a la comunidad sin revelar información sensible, lo cual es una práctica positiva.
La colaboración de todas las partes de la comunidad puede hacer que las acciones de rescate sean más rápidas y efectivas. Por ejemplo, la cooperación entre los hackers éticos puede reducir la competencia innecesaria.
A continuación se desarrollará desde cuatro aspectos: primero, una revisión general del evento, luego se presentarán los métodos de rescate implementados y los desafíos enfrentados, después se discutirán las experiencias y reflexiones durante la acción, y finalmente se propondrán algunas ideas y sugerencias.
Resumen de la situación de ataque y rescate
Resultado general
En el período de observación del 18 de enero al 20 de marzo de 2022, la situación general de ataques y rescates es la siguiente: 9 cuentas de rescate protegieron 483.027693 ETH, de los cuales se deben deducir las tarifas de Flashbots de 295.970554 ETH, lo que representa el 61.27%; 21 cuentas de ataque obtuvieron ganancias de 1433.092224 ETH, de los cuales se deben deducir las tarifas de Flashbots de 148.903707 ETH, lo que representa el 10.39%.
Tendencia de cambios en las tarifas de Flashbots
Los "white hats" deben competir con los atacantes para enviar transacciones de Flashbots y llevar a cabo el rescate, y los cambios en las tarifas reflejan el grado de competencia. Al principio, algunas tarifas de transacciones de ataque de Flashbots eran 0, lo que indica que los atacantes aún no estaban utilizando Flashbots. Luego, la proporción de tarifas aumentó rápidamente, alcanzando el 91% en un cierto bloque. Esto indica que se ha convertido en una carrera armamentista de tarifas debido a la lucha por el derecho de on-chain de Flashbots.
Las acciones de rescate implementadas y los desafíos enfrentados
La idea básica de rescate es monitorear las cuentas de posibles víctimas; cuando hay una transferencia de WETH, aprovechar la vulnerabilidad para transferirla a la billetera multisig de los hackers éticos. La clave es cumplir con tres requisitos:
R1: Transacción de transferencia efectiva a la víctima R2: Construir correctamente la transacción de rescate R3: Ataque de carrera exitoso del comerciante.
R1 y R2 no nos representan un obstáculo. R3 sigue siendo un desafío, aunque teóricamente se puede ganar el frontrunning con Flashbots, en la práctica no es fácil. También utilizamos mempool para enviar transacciones normales, la posición y el orden de las transacciones son factores clave.
La competencia en la que estamos involucrados
En general, se intentó proteger 171 cuentas de posibles víctimas. De ellas, 10 se auto-protegieron, y de las 161 restantes, solo logramos rescatar 14. Los casos de fracaso implicaron 3 cuentas de rescate y 16 cuentas de ataque.
lecciones aprendidas
¿Cómo determinar las tarifas de Flashbots?
Adoptamos una estrategia más conservadora para establecer los costos, pero los resultados no fueron muy exitosos. Los atacantes y algunos hackers éticos suelen adoptar estrategias agresivas, con la proporción de costos que aumenta rápidamente del 70% al 86%. Esto parece ser un juego de suma cero, que requiere un equilibrio entre reducir costos y encontrar la estrategia óptima.
¿Cómo organizar correctamente la posición de las transacciones en el mempool?
Flashbots no siempre son efectivos. Enviar transacciones normales a través del mempool y programarlas en la posición adecuada también puede lograr el objetivo. Un atacante utilizó esta estrategia para obtener 312 ETH con éxito, sin tener que pagar tarifas a Flashbots.
Algunos otros pensamientos
¿Cómo distinguir entre un hacker ético y un atacante?
Identificar a los hackers éticos no siempre es sencillo. Un ejemplo es cuando una dirección marcada cambia de atacante a hacker ético, porque el atacante acepta retener una parte de las ganancias como recompensa y devolver el resto. Este fenómeno ha suscitado controversia en la comunidad sobre la equidad de los incentivos.
Competencia entre los sombreros blancos
Es necesario que la comunidad establezca mecanismos de comunicación y coordinación para reducir/evitar la competencia entre los hackers éticos. Esta competencia desperdicia recursos de rescate y aumenta los costos de rescate.
¿Cómo llevar a cabo mejor las operaciones de rescate?
Los hackers de sombrero blanco pueden anunciar sus acciones a la comunidad sin revelar información sensible, lo que es una buena práctica. La colaboración de todas las partes de la comunidad puede hacer que el rescate sea más rápido y efectivo, como que Flashbots/mineros proporcionen un canal verde para los hackers de sombrero blanco confiables, y que los proyectos asuman los costos.