近期安全事件多发,每一次Hack事件,都被广大区块链从业者牵挂,同时也对行业生态的发展信心,带来不小的打击。
本人作为Multichain的安全负责人,本着对平台用户、投资者、关注者负责的态度,有必要对Multichain目前的安全策略做一次详细的披露,与友商共勉,与行业生态共勉。
在公司的使命与愿景中,安全发展,被视为Multichain所有业务开展的准则,即一切业务发展的前提,都将安全作为首要考量的因素,必要时,可以为安全让步。同时,安全生产,植入了每一位团队成员行为准则。
Multichain曾经也出现过安全问题,但受影响资金规模小,且安全问题的根本原因与Multichain的跨链核心架构无关,我们继续以MPC技术为基础,实现Web3终极路由的愿景。同时,事件发生后,Multichain第一时间向用户回复,承担责任并赔偿全部损失。经历的更多,更懂得时刻保持产品安全的重要性,从这一点讲,我们比其他团队,更注重安全。
Multichain的安全策略,可以以Hack事件发生的时间点,分为三个阶段,即:发生前,发生时,发生后。每个阶段都有对应的应对步骤与策略。
首先是Hack事件发生前,可能存在安全隐患,但没有被发现或利用。
(1) 安全公司审计与内部开发者审计。
在每一次新产品上线前,都会与安全公司合作,进行一次详尽的安全审计,只有审计完且按照审计意见的修改得到安全公司的确认后,才会正式上线试运行。这个过程中,依托安全公司在行业内的关注度与安全经验,可以发现大部分潜在的安全隐患。
另一方面,真正最精通产品细节的,是我们的团队开发者,这是不可或缺的重要审计资源。为此,团队设置了周期性的内部审计会议,至少为每月一次。审计会议中,由不同产品对应的负责开发者讲解,然后由其他开发者针对安全的防范措施进行提问与审计,这个过程通常可以排除较为细节的隐患。
(2) 漏洞悬赏。
Multichain建立了与Immunefi的合作,并设立了最高200万美元的赏金计划,且根据提交漏洞的严重程度具体分析,赏金上不封顶。同时也在不断尝试与其他漏洞悬赏平台合作,旨在充分调动行业内白帽研究者的积极性,及时的发现漏洞,并通过尽早的处理,保护资产不受或少受损失。
在即将推出的MultiDAO中,有关安全的建设,也是重要的一部分,希望能够以DAO的组织形式,对最新发生的行业内安全事件进行反馈、分析,对产品的异常行为或现象进行及时的披露,以达到增强平台产品安全性的目的。
(3) 安全事件舆论监测。
通过主要媒体平台的关键词舆论监测,希望第一时间能够获取到行业内最新发生的安全事件,并对其进行详细的漏洞原理分析,举一反三,反思Multichain产品是否存在有类似的问题,及时作出事件应对反应。同时,也从代币经济学的角度入手,检查行业内安全事件的影响,是否会波及到Multichain的资产,避免因潜在的部分代币价格波动,造成平台用户的资产损失。
Multichain安全事件舆论监测
(4) 跨链金额限制及链资金流量和总量限制。
对于大额资金的跨链交易,平台采取延迟到账的规则,且该事件与交易量成正比。同时,对于新开发链或安全评级略低的链,采取了链总交易量限制的策略,即限定在某一时间段内,跨入或跨出的总量限制在一定范围内,避免类似Horizon安全事件发生后,因Harmony链资产的大量外溢、挤兑,对其他链资产价值的影响。
之后是Hack事件发生过程中,已有少量资产损失,如何让团队及时发现该Hack事件是本过程的重中之重。
(1) 链上异常情况监测。
通过设置了一系列链上监测策略Watchdogs,希望及时监测到数据异常行为。例如,某资金池在短时间内资金量大量流出或大量流入,某时间段资产对账出现大额度坏账。通过监控发现这些异常行为后,预警并根据风险等级自动采取措施,之后由安全团队分析现象原理,及是否是由平台漏洞引起,争取将损失降到最低。
(2) 调动社区、DAO的力量,反馈平台产品的异常行为。
通过奖励刺激的方式,充分调用社区用户、DAO的力量,对Multichain产品的异常情况进行反馈,团队在分析异常行为验证后做出及时响应措施。同时,社区或DAO成员也可以因此而获得奖励,即,不一定局限于发现漏洞后的奖励,及时通报给我们平台的异常现象,也可以获得奖励,两者对于我们来说,同等重要,同等价值。
最后是Hack事件发生后,已有少量资产损失,但我们已经在第一时间了解到该漏洞的存在。
(1) 暂停所有相关平台产品。
在第一时间了解到漏洞存在后,能够及时、有效的关闭产品,例如:跨链桥、跨链路由或Anycall。资产止损后再进行漏洞修复的相关事宜。为此,团队制定了安全事件应对措施细则,并进行了多次演练。同时,链上合约也设置了暂停功能,可以在独立一套MPC网络的操作下,暂停一切合约交易。该套MPC网络仅有管理权,没有资金操作权限。
(2) 安全基金兜底用户资产风险。
Multichain设置了安全基金,约定将跨链手续费的10%拿出,用以补偿用户在特殊情况下受到的资金损失,给平台用户的资产带来安全保障,免除因安全事件带来的后顾之忧。
Multichain的安全策略仍然在不断加强、完善,过程中也在一次次生态内的安全事件中学习到很多,感谢一路上的同行者。
从Horizon、Ronin Network、Wormhole、Nomad等安全事件中,受到的启发。
(1) 资产账户采用更高门限的分布式控制。
得益于MPC的特性,可以在不增加任何链上成本的前提上,做到资产账户更高门限的分布式控制,且根据资产重要程度,逐渐递增。这点与采用多签Multi-Sig的技术方案完全不同,后者会引起明显的链上成本倍增。这也是为什么多数多签方案,门限值普遍设置不高的原因。Horizon在Hack事件后,将门限由原来的2/5提升为4/5,但也导致链上成本增加了一倍,最终成本可能传到给用户。
(2) MPC私钥分片的定期更新作废。
MPC私钥分片是参与分布式签名的核心,黑客需要同时控制满足门限数量的私钥分片,才能作出恶意攻击。一般情况下,黑客在通过某种方式获取到一个或几个私钥分片后,需要在MPC网络中潜伏一段时间,以希望能够获取到足够多的私钥分片,这个过程可能会持续很久。得益于MPC的优秀密码学特性,可以周期性的将正在使用的私钥分片更新,即作废全部旧的私钥分片,更新为全新的私钥分片,且保持向后兼容性。由此,已被黑客持有的私钥分片,将没有任何作用。
(3) 网络基础设施安全增强。
与网络基础设置提供商合作,营造更稳定、安全的产品环境,例如:采用堡垒机、vpn等常用安全手段,对服务器的访问进行敏感操作限制与安全审计。还有即将发布的MPC+HSM方案,旨在将敏感运算在专用的可信硬件环境中计算,例如:将MPC私钥分片的相关运算,转移到SGX芯片中运算,这样,即使服务器被黑客控制,也没有办法获取到私钥分片。
安全是一切发展的前提,也是区块链行业健康发展的保证。Multichain一直以满足用户需求为己任,对用户的最大负责,就是让用户没有安全问题的后顾之忧。
同时,安全是一个广泛、长期的话题,在享受技术进步的同时,安全隐患也时常环绕左右。可以说,前进的每一步,都似在如履薄冰。Multichain一直秉承着积累、学习、完善的态度,愿与区块链行业共成长。
责任编辑:Kate
微信扫一扫 
