DeFi黑客攻擊背后的深入技術研究：隨機數不會說謊_DEF

由于以太坊gas費用在2021年牛市期間飆升至歷史新高，導致許多去中心化金融（DeFi）協議無法供臨時用戶使用，一些項目被迫部署在其他鏈上。

這導致了對跨鏈機制（稱為網橋）的需求激增，能夠將用戶資產從一條鏈安全地轉移到另一條鏈。跨鏈橋一般可以分為中心化托管橋（CCB）和去中心化非托管橋（DNCB）。

可以預料，對跨鏈橋的需求激增導致新一波不同聲譽的協議的出現。隨著跨鏈橋服務于越來越有價值的用戶資產池，惡意行為者和黑客注意到這一點只是時間問題。

一般來說，黑客會以DNCB為目標，因為他們可以利用缺乏經驗的開發團隊設計的協議中的缺陷。經驗豐富的黑客可以輕松利用邏輯錯誤或嵌入密碼學和設計不佳協議設計的漏洞。

這將我們帶到了今天：跨鏈橋多次襲擊的后果。又是一個久經沙場的行業的黑洞。回顧一下，僅在2021年7月：

ChainSwap于7月2日遭遇黑客攻擊，損失價值約80萬美元的用戶資產。

AnySwapV3流動性池在7月10日遭遇黑客攻擊，損失價值近800萬美元的USDC和$MIM。AnySwap是由FusionNetwork提供支持的跨鏈DEX。

數據分析平臺Nansen宣布將參與DeFi數據平臺APY.vision的種子輪融資:5月12日消息，區塊鏈數據分析平臺Nansen宣布將參與DeFi 數據平臺APY.vision正在進行的種子輪融資，并整合其數據，這是Nansen首次整合外部數據。（Invezz）[2022/5/12 3:11:20]

ChainSwap再次遭受黑客攻擊，距離第一次黑客攻擊僅9天。這一次損失價值400萬美元的用戶資產。ChainSwap是一個由alameda支持的平臺，它將以太坊連接到幣安智能鏈。

這篇文章的主要目的是相對詳細地教育和介紹去中心化跨鏈橋的兩個經常被忽視但至關重要的元素：安全多方計算（SMPC）中涉及的隨機數“k”及其導數“R”。

7月2日被黑客利用的ChainSwap代幣 圖片：CoinGecko

據報道，發生AnySwap黑客攻擊是因為使用相同的“R”值簽署了兩筆單獨的交易。黑客利用這兩個簽名反向設計了控制AnySwap跨鏈MPC賬戶的私鑰，竊取了用戶的資金。

21世紀經濟報道：大型銀行擁抱聯盟鏈，中小機構青睞DeFi:21世紀經濟報道刊文稱，隨著區塊鏈技術日益發展，金融機構對其應用方向的選擇正悄然分化。眾多大型銀行正積極擁抱聯盟鏈，通過聯盟鏈技術拓展供應鏈金融、基于信用證的跨境支付、大宗商品交易結算、票據融資等業務；相比而言，眾多中小金融科技機構則借助DeFi技術興起的東風，紛紛布局基于去中心化架構的數字貨幣抵押融資、信貸、保險、支付等新業態。此外，文章表示，值得注意的是，無論是大型銀行機構，還是涉足DeFi研發的中小金融科技平臺，都將資產、數據上鏈交易，視為今年區塊鏈+金融業態變革發展的重要突破口。[2021/1/12 15:56:11]

但是，究竟什么是“R”值？

區塊鏈中的每個人都學到的第一課是您錢包中的資金由您的私鑰控制。

你們都聽過這句話：“不是您的密鑰，不是您的代幣。這個習語意味著任何擁有錢包私鑰的人都可以完全控制該錢包中的資產。事實上，將資金從一個賬戶轉移到另一個賬戶所需的唯一事情就是使用該賬戶的私鑰簽署交易。

目前，區塊鏈中使用的標準數字簽名算法是橢圓曲線數字簽名算法（ECDSA）。

ECDSA屬于數字簽名算法的“非確定性”類別。與在給定特定輸入的情況下總是給出相同輸出的“確定性”算法不同，即使給定相同的輸入，“非確定性”算法也可以產生不同的輸出。對于ECDSA，這意味著相同的數據集或交易將具有多個合法簽名。

OKEx DeFi播報：DeFi總市值97.9億美元，OKEx平臺TRADE領漲:據OKEx統計，DeFi項目當前總市值為97.9億美元，總鎖倉量為130.7億美元，DeFi賺幣產品累計總投資額220,100,000美元。

行情方面，今日DeFi代幣普漲，OKEx平臺DeFi幣種漲幅前三位分別是TRADE、RSR、SRM。

截至17：00，OKEx平臺熱門DeFi幣種及賺幣產品數據如下：[2020/10/15]

每次使用ECDSA簽署交易時，都會生成一個加密安全的隨機數“k”。“k”然后用于計算橢圓曲線上的一個點，該點又用于計算“R”值。每次使用ECDSA簽署交易時，都必須生成一個新的隨機數“k”。

如果用同一個“k”來簽署多筆交易，那么兩筆交易的“R”值就會相同，私鑰就會泄露。這被稱為“k”值沖突，是2010年底索尼PS3黑客攻擊的原因。這也是AnySwap黑客攻擊的原因。

接下來，我們來看看AnySwap黑客是如何逆向控制AnySwap跨鏈MPC賬戶的私鑰，竊取用戶資金。

考慮使用相同的隨機數“k”簽署兩個交易時會發生什么。由于“k”用于派生“R”，因此兩筆交易的“R”值也將相同。讓我們稱這兩個簽名為(s1)和(s2)。

報告：DeFi的發展將遠遠超越以太坊網絡，甚至超越加密貨幣本身:根據加密貨幣投資公司Bitwise Asset Management最近的月度投資者報告，以太坊的價值遠遠超過了支付，它的網絡具有“可編程性”，可能是“區塊鏈技術最令人興奮的應用之一”。根據Bitwise的說法，以太坊“令人興奮的應用”之一是DeFi，其中兩個“數十億美元的使用案例”是穩定幣和去中心化借貸市場。盡管這些方面在2020年取得了成功，推動了以太坊的價格上漲，但報告認為，DeFi的發展將遠遠超越以太坊網絡，甚至超越加密貨幣本身。

在承認DeFi好處的同時，報告也認為基于ETH和BTC使其存在一定的風險，強調了“有限的業績記錄”和“使用困難”，以及這些科技產品在更大范圍的金融世界中存在的信息不對稱情況。盡管存在這種差距，Bitwise認為，這一資產類別提供的敞口是一種“機會”，理由是“一項好的投資不在于沒有風險，而在于具有與風險相稱的回報潛力。”報告還指出，如果以太坊成為一種新的替代性金融服務體系的基礎層，其好處是巨大的。（AMBCrypto）[2020/7/11]

根據ECDSA，代表這兩筆交易的方程式是：

動態 | DeFi Saver 清算保護系統因以太坊網絡擁堵導致清算大量 ETH 抵押品:由于 ETH 價格暴跌、以太坊網絡擁堵和 Gas 費飆升，導致 MakerDAO 服務自動化 CDP 清算監控系統出現延遲，沒能及時執行所有的 CDP 比率調整，2 個受監控的 CDP 被清算，每個 CDP 可能包含大量的 ETH 抵押品。在過去的 24 小時內，以太坊價格暴跌，從最高的 197 美元暴跌至最低 154 美元左右，導致 DeFi Saver 自動化系統未及時執行所有 CDP 比率調整，清算了 2 個受監控的 CDP。DeFi Saver 社區經理 Nikola Jankovi?表示，自動化系統問題的根源與以太坊網絡上大量交易延遲有關。在某一時刻，系統發送到以太坊網絡的交易被延遲了，由于以太坊價格突然下跌導致以太坊交易數量大量增加。該公司表示，目前其他受監控的 CDP 都是安全的，并且處于其配置的比率內。Gas 費已作相應調整，自動化工作也恢復正常，并表示會對損失者作出補償。9 月 15 日，DeFi Saver 在其儀表板中新增一個 CDP Automation 的功能，該工具允許客戶配置 CDP，以更好地保護他們免遭清算，同時還允許用戶設置比率目標自動排列安全的 CDP 值。[2019/9/26]

其中S1、S2和‘R’代表簽名數據和交易數據。這是區塊鏈上公開可見的所有數據。這留下了兩個剩余的未知參數：隨機數“k”和帳戶的私鑰。

那些記得高中代數的人會立即知道如何使用這兩個方程求解未知參數。因此，私鑰sk可以寫為：

AnySwap黑客注意到兩個交易具有相同的“R”值，這意味著兩者都使用了相同的隨機數“k”。這使得黑客可以使用簡單的代數對控制AnySwap跨鏈MPC賬戶的私鑰進行逆向工程，竊取用戶的資產。

關鍵錯誤是在多個交易中使用了相同的隨機數“k”。顯然，“k”不是隨機生成的！那么如何避免這種情況呢？

與基本交易簽名相比，安全多方計算（SMPC）確實相當復雜。然而，額外的努力是值得的。如果SMPC（與多重簽名非常不同）被正確地用于生成真正的隨機數，則不存在隨機數“k”被暴露的風險。

在利用SMPC時，簽名代理不再是個人，而是多人協同工作來簽署交易。

有了基本的交易簽名，一個真正的隨機數生成器就足以生成“R”值并保證安全性。但是，由于SMPC涉及多個不相關方，因此始終存在這些方中的一個或多個惡意的威脅。

因此，允許一個人單獨生成“R”值是不合理的，因為他們可能是惡意行為者。如果他們單獨控制隨機數“k”和“R”值，他們將能夠逆向工程帳戶的私鑰并竊取資產。因此，在使用SMPC生成‘R’值時必須遵守三個原則：

“R”值不能由一個人產生；

沒有一個人可能知道用于推導“R”值的隨機數“k”；

隨機數“k”必須足夠隨機，才能無偏且不可預測。

用外行的話來說，SMPC需要一群人一起完成一項任務，但不知道他們在做什么，也不知道他們在和誰一起工作。

Wanchain的跨鏈橋依賴于一種獨特的機制，該機制使用SMPC將跨鏈資產鎖定在由25個稱為Storeman節點的匿名方管理的帳戶中。Storeman節點的數量可以根據需要增加。

當從鎖定賬戶簽署交易時，“R”值由這25個Storeman節點通過一個稱為公開驗證秘密共享的過程共同確定。此過程可確保不會有兩筆交易具有相同的“R”值。

這25個Storeman節點所承擔的具體步驟如下：

每個Storeman節點(Pi)使用真隨機數生成器在本地生成一個隨機數“ki”；

每個Storeman節點(Pi)通過使用Shamir的秘密共享的安全通道與其他節點共享其隨機數“ki”。Shamir’sSecretSharing是一種秘密共享方案，旨在以分布式方式共享秘密。秘密被分成多個部分，稱為共享。可以使用最少數量的共享來重建秘密。Shamir的秘密共享經常用于密碼學。

 每個Storeman節點收到其他節點的秘密份額后，收集秘密份額，乘以橢圓曲線基點，廣播結果；

每個Storeman節點使用廣播數據執行拉格朗日插值，以獲得橫坐標為“R”值的橢圓曲線點。

上述過程雖然相當復雜，但核心概念卻相當簡單。“R”值由25個Storeman節點共同確定。每個Storeman節點貢獻部分加密隨機數“k”。然后通過加密操作確定“R”值。

換句話說，這25個Storeman節點一起協同工作，而不知道它們在做什么，也不知道其他的Storeman節點是誰。

可公開驗證的秘密共享可確保：

1. 任何兩筆交易不可能有相同的R值

這有兩個主要原因。首先，“R”值由25個Storeman節點共同決定，而不是由個人決定。理論上，只要有一個誠實節點，‘R’值就會是隨機的。其次，每個Storeman節點的貢獻是由真隨機數生成器生成的。

結合起來，如果兩個交易中所有25個Storeman節點選擇的隨機數的總和相同，則兩個交易將僅具有相同的“R”值。這種情況發生的概率是2^(-256)。當您閱讀這句話時，這比您現在被隕石擊中的可能性要小。

2. 用于導出“R”值的隨機數“k”保持隱藏

如前所述，一旦知道隨機數“k”，就可以對私鑰進行逆向工程。從鎖定帳戶簽署交易時，每個Storeman節點僅生成隨機數“k”的一部分。由于每個份額都通過安全通道傳輸，因此沒有Storeman節點可以恢復隨機數“k”的全部值。

換句話說，由于Wanchain的SMPC設計，用于導出“R”值的隨機數“k”始終保持隱藏狀態。Wanchain行業領先的跨鏈橋中使用的鎖定帳戶非常安全。私鑰不存在泄露的可能。

判決

Wanchain研發團隊不同意AnySwap黑客對采用SMPC的其他項目構成普遍風險。Wanchain研發團隊與業界其他實施SMPC的開發者保持一致，不認為允許AnySwap黑客攻擊的漏洞或錯誤視為一般風險。

該團隊還想強調隨機數在區塊鏈中的重要作用。隨機數不僅用于簽署交易。它們用于多個技術設計層面，是PoS共識和分片算法的重要組成部分，直接決定了區塊鏈網絡的安全性。

有效地生成可靠的隨機數并非易事。它是整個數學和密碼學領域的圣杯。才華橫溢的人們將他們的一生和他們的思想奉獻給了優化隨機數的生成。

世界各地的區塊鏈開發者需要延續這一傳統，開發更好的分布式隨機數生成算法，同時繼續優化鏈上隨機數生成。實際上，DeFi的未來是整個區塊鏈，它將建立在今天所做的工作之上。

Tags：DEFEFIDEFIMANDEFC價格PoodleFiDeFinitionMANGO Chain

歐易okex官網