自 BlockSec 於 2021 年成立以來,我們始終堅持認為僅靠程式碼審計無法解決 Web3 的安全問題。因此,我們一直致力於探索 Web3 安全的新範式,並由此創建了全球首個加密貨幣駭客阻斷系統——Phalcon。
在 Phalcon 推出之前,該系統已在內部運行了 2 年,成功阻斷了超過 20 次駭客攻擊,並拯救了價值超過 2,000 萬美元的資產,其中包括為 Saddle Finance 拯救的 380 萬美元、為 Platypus 拯救的 240 萬美元、為 ParaSpace 拯救的 500 萬美元等等。
在本系列文章中,我們將介紹 Phalcon 系統的代表性成功案例。今天,讓我們來看看業界首個成功挽回 30 萬美元的「駭客回擊」(hacking back)事件。
我們如何為 TransitSwap(及 BabySwap)追回被盜資金
攻防之間不斷演進的競賽,正反映了現實世界的多樣性與複雜性。我們的經驗表明,主動的威脅防護並非單一的獨門絕活,而是一種結合多種安全技術與努力的系統化方法。
這則故事凸顯了網路安全的精妙之處,我們將回顧處理 BSC 鏈上 BabySwap 和 TransitSwap 攻擊事件的經歷。欲了解詳細分析,請參考我們之前的報告。
2022 年 10 月 1 日 14:47(UTC),我們的內部系統識別出了一筆 攻擊交易。在調查過程中,我們發現該筆交易是由一個機器人帳戶發起的,它搶先交易(front-run)了 原始攻擊。該帳戶具備八個前導零的特徵,顯示其是由易受攻擊的 Profanity 工具所生成的。
機會總是留給有準備的人,基於我們先前的研究,我們已經開發出了一種可以恢復這類易受攻擊 Profanity 地址私鑰的救援工具。
至 16:10(UTC),我們的工具僅用了 20 分鐘就迅速恢復了該機器人的私鑰。按照我們標準的救援程序,我們立即將資金轉移到了安全帳戶。這項措施確保了即使其他人也恢復了該私鑰,也無法存取帳戶並危害這些資金。
然而,我們遇到了一個障礙:資金並非保存在該機器人的 EOA 帳戶中,而是存在於該機器人部署的 合約 中。透過對合約進行反編譯,我們識別出了一個可用於提取資金的 withdraw 函數(如下圖所示)。
我們以代幣地址作為第一個參數,並以零作為第二個參數,執行了 一筆交易,成功地將資金從合約提取到機器人地址,隨後再 轉移到我們的安全帳戶。
幾個小時後,我們的系統偵測到 針對 TransitSwap 的另一次攻擊。在多筆攻擊交易中,其中一筆再次被該機器人搶先截獲。然而,由於機器人這次部署的合約與上一次不同,轉出資金的函數也隨之改變了。
我們決定將資金歸還給受攻擊的項目方(而非留給該機器人),原因如下:
- 首先,該機器人透過搶先交易攻擊交易來獲取資金,我們認為此行為本身也是一種攻擊;
- 其次,這些資金屬於攻擊的受害者,即受影響 DeFi 協議的用戶。這些用戶已經因 DeFi 協議的漏洞而蒙受損失,理應取回這些資金。
這種系統化的方法在應對現實世界的安全威脅時極具優勢,也強調了在瞬息萬變的網路安全環境中,持續學習與適應的重要性。
如何使用服務
讓 Phalcon 為您的協議築起一道防線。這無需在協議端進行過多投入,也不會引入額外風險,它就像一面提供額外安全保障的盾牌。立即 預約演示!
查看更多 Phalcon 成功案例
- 阻斷 HomeCoin 攻擊:業界首個成功阻斷案例
- 阻斷 Saddle Finance 攻擊:業界首次拯救 380 萬美元的重要阻斷行動
- 阻斷 Platypus 攻擊:業界首次反制駭客合約的案例
- 阻斷 Paraspace 攻擊:業界最重要的阻斷行動,拯救了 500 萬美元
- 阻斷 Loot 攻擊:Phalcon 如何從惡意提案中拯救 120 萬美元
關於 Phalcon
Phalcon 是由 BlockSec 推出的攻擊監控與自動化阻斷平台。該平台能夠精準識別攻擊並進行自動化阻斷。Phalcon 旨在為 Web3 項目提供全面的發布後安全防護,包括持續監控、攻擊阻斷及緊急響應,為協議提供方、LP (流動性提供者) 以及 DAO 組織參與者守護鏈上資產。
迄今為止,Phalcon 已成功阻斷超過 20 次駭客攻擊,拯救了超過 2,000 萬美元的資產。即使在早期階段,Phalcon 就獲得了頂級 DeFi 協議 Compound 的認可與補助,並為其建立了攻擊阻斷平台。
網站:https://blocksec.com/phalcon
Twitter:@Phalcon_xyz
Telegram:https://t.me/BlockSecTeam
