Multichain 安全策略 详细披露

近期安全事件多发,每一次Hack事件,都被广大区块链从业者牵挂,同时也对行业生态的发展信心,带来不小的打击。

本人作为Multichain的安全负责人,本着对平台用户、投资者、关注者负责的态度,有必要对Multichain目前的安全策略做一次详细的披露,与友商共勉,与行业生态共勉。

在公司的使命与愿景中,安全发展,被视为Multichain所有业务开展的准则,即一切业务发展的前提,都将安全作为首要考量的因素,必要时,可以为安全让步。同时,安全生产,植入了每一位团队成员行为准则。

Multichain曾经也出现过安全问题,但受影响资金规模小,且安全问题的根本原因与Multichain的跨链核心架构无关,我们继续以MPC技术为基础,实现Web3终极路由的愿景。同时,事件发生后,Multichain第一时间向用户回复,承担责任并赔偿全部损失。经历的更多,更懂得时刻保持产品安全的重要性,从这一点讲,我们比其他团队,更注重安全。

Multichain的安全策略,可以以Hack事件发生的时间点,分为三个阶段,即:发生前,发生时,发生后。每个阶段都有对应的应对步骤与策略。

首先是Hack事件发生前,可能存在安全隐患,但没有被发现或利用。

(1) 安全公司审计与内部开发者审计。

在每一次新产品上线前,都会与安全公司合作,进行一次详尽的安全审计,只有审计完且按照审计意见的修改得到安全公司的确认后,才会正式上线试运行。这个过程中,依托安全公司在行业内的关注度与安全经验,可以发现大部分潜在的安全隐患。

另一方面,真正最精通产品细节的,是我们的团队开发者,这是不可或缺的重要审计资源。为此,团队设置了周期性的内部审计会议,至少为每月一次。审计会议中,由不同产品对应的负责开发者讲解,然后由其他开发者针对安全的防范措施进行提问与审计,这个过程通常可以排除较为细节的隐患。

(2) 漏洞悬赏。

Multichain建立了与Immunefi的合作,并设立了最高200万美元的赏金计划,且根据提交漏洞的严重程度具体分析,赏金上不封顶。同时也在不断尝试与其他漏洞悬赏平台合作,旨在充分调动行业内白帽研究者的积极性,及时的发现漏洞,并通过尽早的处理,保护资产不受或少受损失。

在即将推出的MultiDAO中,有关安全的建设,也是重要的一部分,希望能够以DAO的组织形式,对最新发生的行业内安全事件进行反馈、分析,对产品的异常行为或现象进行及时的披露,以达到增强平台产品安全性的目的。

(3) 安全事件舆论监测。

通过主要媒体平台的关键词舆论监测,希望第一时间能够获取到行业内最新发生的安全事件,并对其进行详细的漏洞原理分析,举一反三,反思Multichain产品是否存在有类似的问题,及时作出事件应对反应。同时,也从代币经济学的角度入手,检查行业内安全事件的影响,是否会波及到Multichain的资产,避免因潜在的部分代币价格波动,造成平台用户的资产损失。

Multichain安全事件舆论监测

(4) 跨链金额限制及链资金流量和总量限制。

对于大额资金的跨链交易,平台采取延迟到账的规则,且该事件与交易量成正比。同时,对于新开发链或安全评级略低的链,采取了链总交易量限制的策略,即限定在某一时间段内,跨入或跨出的总量限制在一定范围内,避免类似Horizon安全事件发生后,因Harmony链资产的大量外溢、挤兑,对其他链资产价值的影响。

之后是Hack事件发生过程中,已有少量资产损失,如何让团队及时发现该Hack事件是本过程的重中之重。

(1) 链上异常情况监测。

通过设置了一系列链上监测策略Watchdogs,希望及时监测到数据异常行为。例如,某资金池在短时间内资金量大量流出或大量流入,某时间段资产对账出现大额度坏账。通过监控发现这些异常行为后,预警并根据风险等级自动采取措施,之后由安全团队分析现象原理,及是否是由平台漏洞引起,争取将损失降到最低。

(2) 调动社区、DAO的力量,反馈平台产品的异常行为。

通过奖励刺激的方式,充分调用社区用户、DAO的力量,对Multichain产品的异常情况进行反馈,团队在分析异常行为验证后做出及时响应措施。同时,社区或DAO成员也可以因此而获得奖励,即,不一定局限于发现漏洞后的奖励,及时通报给我们平台的异常现象,也可以获得奖励,两者对于我们来说,同等重要,同等价值。

最后是Hack事件发生后,已有少量资产损失,但我们已经在第一时间了解到该漏洞的存在。

(1) 暂停所有相关平台产品。

在第一时间了解到漏洞存在后,能够及时、有效的关闭产品,例如:跨链桥、跨链路由或Anycall。资产止损后再进行漏洞修复的相关事宜。为此,团队制定了安全事件应对措施细则,并进行了多次演练。同时,链上合约也设置了暂停功能,可以在独立一套MPC网络的操作下,暂停一切合约交易。该套MPC网络仅有管理权,没有资金操作权限。

(2) 安全基金兜底用户资产风险。

Multichain设置了安全基金,约定将跨链手续费的10%拿出,用以补偿用户在特殊情况下受到的资金损失,给平台用户的资产带来安全保障,免除因安全事件带来的后顾之忧。

Multichain的安全策略仍然在不断加强、完善,过程中也在一次次生态内的安全事件中学习到很多,感谢一路上的同行者。

从Horizon、Ronin Network、Wormhole、Nomad等安全事件中,受到的启发。

(1) 资产账户采用更高门限的分布式控制。

得益于MPC的特性,可以在不增加任何链上成本的前提上,做到资产账户更高门限的分布式控制,且根据资产重要程度,逐渐递增。这点与采用多签Multi-Sig的技术方案完全不同,后者会引起明显的链上成本倍增。这也是为什么多数多签方案,门限值普遍设置不高的原因。Horizon在Hack事件后,将门限由原来的2/5提升为4/5,但也导致链上成本增加了一倍,最终成本可能传到给用户。

(2) MPC私钥分片的定期更新作废。

MPC私钥分片是参与分布式签名的核心,黑客需要同时控制满足门限数量的私钥分片,才能作出恶意攻击。一般情况下,黑客在通过某种方式获取到一个或几个私钥分片后,需要在MPC网络中潜伏一段时间,以希望能够获取到足够多的私钥分片,这个过程可能会持续很久。得益于MPC的优秀密码学特性,可以周期性的将正在使用的私钥分片更新,即作废全部旧的私钥分片,更新为全新的私钥分片,且保持向后兼容性。由此,已被黑客持有的私钥分片,将没有任何作用。

(3) 网络基础设施安全增强。

与网络基础设置提供商合作,营造更稳定、安全的产品环境,例如:采用堡垒机、vpn等常用安全手段,对服务器的访问进行敏感操作限制与安全审计。还有即将发布的MPC+HSM方案,旨在将敏感运算在专用的可信硬件环境中计算,例如:将MPC私钥分片的相关运算,转移到SGX芯片中运算,这样,即使服务器被黑客控制,也没有办法获取到私钥分片。

安全是一切发展的前提,也是区块链行业健康发展的保证。Multichain一直以满足用户需求为己任,对用户的最大负责,就是让用户没有安全问题的后顾之忧。

同时,安全是一个广泛、长期的话题,在享受技术进步的同时,安全隐患也时常环绕左右。可以说,前进的每一步,都似在如履薄冰。Multichain一直秉承着积累、学习、完善的态度,愿与区块链行业共成长。

Subscribe to WEIWEI
Receive the latest updates directly to your inbox.
Mint this entry as an NFT to add it to your collection.
Verification
This entry has been permanently stored onchain and signed by its creator.