Multichain漏洞事件回顧及白帽救援行動總結

2022年1月18日,異常交易監測系統檢測到針對Multichain項目的攻擊。由於anySwapOutUnderlyingWithPermit()函數未正確實現校驗機制,導致用戶授權給該項目的token可被攻擊者取出。

盡管項目方嘗試多種方法提醒受影響用戶,仍有很多用戶未能及時響應,攻擊者得以持續實施攻擊獲利。

爲保護潛在受害者,BlockSec團隊決定採取應急響應措施。本次救援針對以太坊上受影響的帳戶,將相關帳戶資金轉移到專門設立的多籤白帽帳戶中。爲保證行動透明性,相關計劃的文件hash向社區公開。救援行動從2022年1月21日開始,到2022年3月11日結束。

應急救援面臨諸多技術和非技術挑戰。本文重新復盤整個過程,分享相關心得與體會,希望對DeFi生態的安全有所幫助。

簡要總結

• 白帽和攻擊者兩個羣體之間,乃至各自羣體內部對Flashbots的使用產生了激烈競爭,支付的費用也迅速增長。

• Flashbots並非總是有效。部分攻擊者轉而使用mempool,通過巧妙策略成功實施攻擊。

• 某些攻擊者與項目方達成協議,歸還部分所得並保留部分作爲獎賞,成功"洗白"。這種現象引發了社區對激勵公平性的爭議。

• 白帽可在不泄露敏感信息的同時向社區公開宣告行爲,取信於社區。

• 社區各方力量攜手合作,可使救援行動更迅速有效。

攻擊和救援情況概覽

總體結果

在觀察範圍內(2022年1月18日至2022年3月20日),總體情況如下:

• 9個救援帳戶保護了483.027693 ETH,支付Flashbots費用295.970554 ETH(佔比61.27%)
• 21個攻擊帳戶獲利1433.092224 ETH,支付Flashbots費用148.903707 ETH(佔比10.39%)

Flashbots費用變化趨勢

初期攻擊交易Flashbots費用爲0,表明攻擊者尚未使用Flashbots。隨後費用佔比快速上升,在某些區塊高度甚至達到80%-91%,反映了激烈的上鏈權競爭。

救援行動實施及面臨的挑戰

救援行動的基本思路

1. 監控潛在受害者帳戶
2. 發現WETH轉入時,利用合約漏洞將其轉出至白帽多簽錢包

關鍵要求:

• 有效定位轉帳給受害者的交易
• 正確構造拯救交易
• 成功搶跑攻擊者交易

主要挑戰在於搶跑攻擊者交易。雖可使用Flashbots,但需考慮費用設置策略。同時,由於競爭存在,Flashbots並非總是最佳選擇。

競爭情況

嘗試保護171個潛在受害者帳戶,其中:

• 10個自我保護
• 14個成功救援
• 147個救援失敗

失敗原因涉及3個救援帳戶和16個攻擊帳戶的競爭。

經驗教訓

Flashbots費用設置

保守策略效果不佳,競爭對手往往採用更激進策略:

• 某攻擊者將比例設至70%-86%
• 某白帽將比例設至79%-81%

這似乎是一個零和遊戲,需要在降低成本和贏得競爭間尋找平衡。

Mempool交易排序策略

由於激烈競爭,Flashbots並非總是有效。通過mempool發送正常交易,安排在合適位置也可能實現目標。

某攻擊者成功運用此策略獲利312 ETH,且無需支付Flashbots費用。關鍵在於將攻擊交易安排在轉帳交易之後且盡可能接近。

其他思考

白帽與攻擊者的區分

並非總能簡單區分。某帳戶最初被標記爲攻擊者,後與項目方協商返還部分獲利,保留50 ETH作爲獎賞,最終被重新標記爲白帽。這種現象引發了對激勵公平性的爭議。

白帽間的競爭

有必要建立協調機制以降低/避免白帽間的競爭,避免資源浪費和成本提高。

改進救援行動的建議

• 白帽在不泄露敏感信息的前提下向社區公開宣告行爲
• Flashbots/礦工爲可信白帽提供綠色通道
• 項目方負擔Flashbots費用
• 項目方採用更便捷的用戶預警機制
• 項目方在代碼中採取必要的應急措施