近期安全事件多发，每一次Hack事件，都被广大区块链从业者牵挂，同时也对行业生态的发展信心，带来不小的打击。

本人作为Multichain的安全负责人，本着对平台用户、投资者、关注者负责的态度，有必要对Multichain目前的安全策略做一次详细的披露，与友商共勉，与行业生态共勉。

在公司的使命与愿景中，安全发展，被视为Multichain所有业务开展的准则，即一切业务发展的前提，都将安全作为首要考量的因素，必要时，可以为安全让步。同时，安全生产，植入了每一位团队成员行为准则。

Multichain曾经也出现过安全问题，但受影响资金规模小，且安全问题的根本原因与Multichain的跨链核心架构无关，我们继续以MPC技术为基础，实现Web3终极路由的愿景。同时，事件发生后，Multichain第一时间向用户回复，承担责任并赔偿全部损失。经历的更多，更懂得时刻保持产品安全的重要性，从这一点讲，我们比其他团队，更注重安全。

Multichain的安全策略，可以以Hack事件发生的时间点，分为三个阶段，即：发生前，发生时，发生后。每个阶段都有对应的应对步骤与策略。

首先是Hack事件发生前，可能存在安全隐患，但没有被发现或利用。

(1) 安全公司审计与内部开发者审计。

在每一次新产品上线前，都会与安全公司合作，进行一次详尽的安全审计，只有审计完且按照审计意见的修改得到安全公司的确认后，才会正式上线试运行。这个过程中，依托安全公司在行业内的关注度与安全经验，可以发现大部分潜在的安全隐患。

另一方面，真正最精通产品细节的，是我们的团队开发者，这是不可或缺的重要审计资源。为此，团队设置了周期性的内部审计会议，至少为每月一次。审计会议中，由不同产品对应的负责开发者讲解，然后由其他开发者针对安全的防范措施进行提问与审计，这个过程通常可以排除较为细节的隐患。

(2) 漏洞悬赏。

Multichain建立了与Immunefi的合作，并设立了最高200万美元的赏金计划，且根据提交漏洞的严重程度具体分析，赏金上不封顶。同时也在不断尝试与其他漏洞悬赏平台合作，旨在充分调动行业内白帽研究者的积极性，及时的发现漏洞，并通过尽早的处理，保护资产不受或少受损失。

在即将推出的MultiDAO中，有关安全的建设，也是重要的一部分，希望能够以DAO的组织形式，对最新发生的行业内安全事件进行反馈、分析，对产品的异常行为或现象进行及时的披露，以达到增强平台产品安全性的目的。

(3) 安全事件舆论监测。

通过主要媒体平台的关键词舆论监测，希望第一时间能够获取到行业内最新发生的安全事件，并对其进行详细的漏洞原理分析，举一反三，反思Multichain产品是否存在有类似的问题，及时作出事件应对反应。同时，也从代币经济学的角度入手，检查行业内安全事件的影响，是否会波及到Multichain的资产，避免因潜在的部分代币价格波动，造成平台用户的资产损失。

Multichain安全事件舆论监测

(4) 跨链金额限制及链资金流量和总量限制。

对于大额资金的跨链交易，平台采取延迟到账的规则，且该事件与交易量成正比。同时，对于新开发链或安全评级略低的链，采取了链总交易量限制的策略，即限定在某一时间段内，跨入或跨出的总量限制在一定范围内，避免类似Horizon安全事件发生后，因Harmony链资产的大量外溢、挤兑，对其他链资产价值的影响。

之后是Hack事件发生过程中，已有少量资产损失，如何让团队及时发现该Hack事件是本过程的重中之重。

(1) 链上异常情况监测。

通过设置了一系列链上监测策略Watchdogs，希望及时监测到数据异常行为。例如，某资金池在短时间内资金量大量流出或大量流入，某时间段资产对账出现大额度坏账。通过监控发现这些异常行为后，预警并根据风险等级自动采取措施，之后由安全团队分析现象原理，及是否是由平台漏洞引起，争取将损失降到最低。

(2) 调动社区、DAO的力量，反馈平台产品的异常行为。

通过奖励刺激的方式，充分调用社区用户、DAO的力量，对Multichain产品的异常情况进行反馈，团队在分析异常行为验证后做出及时响应措施。同时，社区或DAO成员也可以因此而获得奖励，即，不一定局限于发现漏洞后的奖励，及时通报给我们平台的异常现象，也可以获得奖励，两者对于我们来说，同等重要，同等价值。

最后是Hack事件发生后，已有少量资产损失，但我们已经在第一时间了解到该漏洞的存在。

(1) 暂停所有相关平台产品。

在第一时间了解到漏洞存在后，能够及时、有效的关闭产品，例如：跨链桥、跨链路由或Anycall。资产止损后再进行漏洞修复的相关事宜。为此，团队制定了安全事件应对措施细则，并进行了多次演练。同时，链上合约也设置了暂停功能，可以在独立一套MPC网络的操作下，暂停一切合约交易。该套MPC网络仅有管理权，没有资金操作权限。

(2) 安全基金兜底用户资产风险。

Multichain设置了安全基金，约定将跨链手续费的10%拿出，用以补偿用户在特殊情况下受到的资金损失，给平台用户的资产带来安全保障，免除因安全事件带来的后顾之忧。

Multichain的安全策略仍然在不断加强、完善，过程中也在一次次生态内的安全事件中学习到很多，感谢一路上的同行者。

从Horizon、Ronin Network、Wormhole、Nomad等安全事件中，受到的启发。

(1) 资产账户采用更高门限的分布式控制。

得益于MPC的特性，可以在不增加任何链上成本的前提上，做到资产账户更高门限的分布式控制，且根据资产重要程度，逐渐递增。这点与采用多签Multi-Sig的技术方案完全不同，后者会引起明显的链上成本倍增。这也是为什么多数多签方案，门限值普遍设置不高的原因。Horizon在Hack事件后，将门限由原来的2/5提升为4/5，但也导致链上成本增加了一倍，最终成本可能传到给用户。

(2) MPC私钥分片的定期更新作废。

MPC私钥分片是参与分布式签名的核心，黑客需要同时控制满足门限数量的私钥分片，才能作出恶意攻击。一般情况下，黑客在通过某种方式获取到一个或几个私钥分片后，需要在MPC网络中潜伏一段时间，以希望能够获取到足够多的私钥分片，这个过程可能会持续很久。得益于MPC的优秀密码学特性，可以周期性的将正在使用的私钥分片更新，即作废全部旧的私钥分片，更新为全新的私钥分片，且保持向后兼容性。由此，已被黑客持有的私钥分片，将没有任何作用。

(3) 网络基础设施安全增强。

与网络基础设置提供商合作，营造更稳定、安全的产品环境，例如：采用堡垒机、vpn等常用安全手段，对服务器的访问进行敏感操作限制与安全审计。还有即将发布的MPC+HSM方案，旨在将敏感运算在专用的可信硬件环境中计算，例如：将MPC私钥分片的相关运算，转移到SGX芯片中运算，这样，即使服务器被黑客控制，也没有办法获取到私钥分片。

安全是一切发展的前提，也是区块链行业健康发展的保证。Multichain一直以满足用户需求为己任，对用户的最大负责，就是让用户没有安全问题的后顾之忧。

同时，安全是一个广泛、长期的话题，在享受技术进步的同时，安全隐患也时常环绕左右。可以说，前进的每一步，都似在如履薄冰。Multichain一直秉承着积累、学习、完善的态度，愿与区块链行业共成长。