Multichain监守自盗，跨链桥不安全了嘛？

近日，Multichain官方发文回应此前被盗1.2亿美元事件的缘由，称是CEO Zhao Jun 的姐姐将用户的资产进行了转移，但随后其姐姐被昆明公安抓捕。但由于缺乏替代信息来源和相应的运营资金，团队被迫停止运营。如果有任何进一步的通知和进展，团队将告知社区。团队无任何主要权限，Multichain很不安全，希望用户不要再使用Multichain服务。

一个曾经辉煌一时的跨链桥，就这么宣告结束了，把一首凉凉送给了大家。我们翻阅Multichain的历史，会发现它曾经是个很牛的bridge。

Multichain的历史进程

我说multichain可能大家印象不深，但是它的另一个名字可能你会知道，那就是Anyswap，它是一个获得币安几千万投资的去中心化的资产跨链桥，由公链项目Fusion的核心成员孵化和开发，核心业务就是资产的跨链。

早期Anyswap曾经包含交易功能，后来将业务聚焦于资产跨链，将dex功能从产品中移除。巅峰时期Anyswap的跨链业务支持多达近50多条链，其中EVM链就有20多条，是当时上线的跨链桥中支持公链种类最丰富的一个。

Multichain是如何实现跨链资产的？

Multichain应用的技术叫做阈值签名方案（TSS），它属于多方计算（MPC）的一种类型，用于签名调动托管账户的用户资产，在该签名方案中，允许多方共同生成密钥和签名，但任何一方都没有自己的完整密钥，未经其他方同意，任何一方都不能签名划走资产。简言之，就是挪用资产需要经过几十个网络节点共同投票赞成。

V2版本中，跨链的业务流程是1对1的mint\burn（铸造\销毁）模式，具体来说：用户将要跨链的资产存入由DCRM管理的托管地址中，然后经由Anyswap选出的签名节点基于TSS签名方案签名后，原链的资产将被锁定，然后在跨链的目标链上铸造出原链资产的封装资产Anytoken（如AnyUSDT）给到用户，类似于BTC跨链后封装为WBTC给到用户一样。当用户将跨链的封装资产跨回时，就会销毁封装资产，并将原链上的锁定资产释放给用户。

当然，他还有其他的版本，而且这次事件出问题的很可能就是这个V3版本。

V3版本中，是多对多模式，允许在多条合作的链上有原生资产，此处的原生资产，除了BNB\ETH等主链代币之外，也包括由项目方铸造的BEP20、ERC20代币。

举个例子，某项目在BSC和ETH上均有项目代币A，只不过格式分别是BEP20和ERC20，这两种代币均由官方发行\铸造。那么在V3版本之下，当持有该代币A的用户想要将代币从BSC跨链至ETH，只要该代币在Anyswap以太坊主网上的资金池里有足额的该项目代币储备，用户就可以直接换得该项目ERC20版本的原生代币，而非由Anyswap封装的代币。

1.2亿美元异常转出回顾

7月14日multi chain团队公布了事件的发生过程，他们称在5月21日，Multichain首席执行官 Zhao Jun 被中国警方从家中带走，此后一直与Multichain团队失联。团队联系了 MPC 节点运营商，得知他们对 MPC 节点服务器的操作访问密钥已被撤销。而且，这些MPC节点服务器和其他普通服务器一样，实际上是运行在 Zhao Jun 的个人云服务器账号下的。团队中没有任何成员可以访问Zhao Jun的个人云服务器帐户，任何人都无法登录这些 MPC 服务器。

随后，团队与 Zhao Jun 家人取得联系，得知 Zhao Jun 的所有电脑、手机、硬件钱包、助记词均被当局没收。自项目启动以来，所有运营资金和投资者的投资均由 Zhao Jun 掌控。现在情况下，也就是说团队的所有资金和服务器的访问权限都在Zhao Jun 和警方手中。

根据律师的建议，团队选择尽可能配合 Zhao Jun 家属的要求，并遵守法律法规的要求，没有向公众透露未经授权的案件信息。

5月30日，团队运营困难，发布了Zhao Jun 失踪的消息，并向社区通报了目前面临的技术问题。

6月4日，Zhao Jun 家人利用家中电脑上的历史信息成功登录云服务器平台。在此期间，Zhao Jun 的家人和律师一直在与警方沟通。团队并未获悉案件详情，但获悉 Zhao Jun 即将出狱，并要求继续维护系统并等待进一步消息。 Multichain协议继续按设计运行。团队在有限的资源下竭尽全力维持多链协议的运行并尽可能解决用户问题。

7月7日，锁定在MPC地址上的用户资产异常转移至未知地址。云服务器平台上发现了昆明IP地址的登录信息，以及从 MPC 地址进行转账的一系列操作。

7月9日，Zhao Jun 姐姐转移了路由器池中剩余的用户资产，并随后称此次行动为“资产保全行动”。资金被转移到 Zhao Jun 姐姐控制的EOA地址。

7月13日，警方将Zhao Jun 的姐姐带走。Zhao Jun 的姐姐也失联了。资产状况尚也不确定，团队将所有已知情况告知社区。

所以，问题出在哪里呢？所谓多签认证，协议的漏洞是一个CEO说改就能改动的，所谓的去中心化多节点运营商，他们的权限是说改就能改的，对于跨链桥资金池的资产，是项目方个人说移动就可以转移的！那我们对于来说，应该做些什么？或者怎样规避呢？

跨链桥的风险规避

跨链桥的风向主要存在两方面一方面是黑客攻击，另一方面是监守自盗，去年仅仅在黑客攻击上造成的安全事故损失高达30亿美金以上，具体来说跨链桥资金风险主要体现在三个方面：

1. 充值代币方面：充币合约权限漏洞、假币充值问题、币种适配性问题。

2. 跨链消息转移：充币消息监听和处理发起、充币正确性验证、跨链处理确认。

3. 多重签名验证问题：多重签名的去中心化程度。

在万链互联的大环境下，跨链桥作为互联的关键点，其沉淀巨额资金，并且自身技术复杂、技术环节较多，加上其频繁更新，极易被黑客攻击或者存在项目方利欲熏心不守武德RUG PULL，出事的项目一定是有漏洞被利用，还没出事的项目也无法保证未来就不会有问题。我们又该如何自救？

1. 当事故出现时，尽快撤销对该跨链桥的合约授权，防止进一步风险蔓延，可以通过所在区块链的浏览器中approvalchecker进行撤销，同时建议大家定期审核清理一些对自身无用的合约授权，不良人常常会通过智能合约中的漏洞来多次提取资产。

2. 有频繁跨链需求的用户需要密切关注跨链桥的相关信息，比如安全公司预警的风险提示，官方预告的升级等，第一时间了解做好应对准备。

作为跨链桥 LP 的参与者，面对此类事件，要积极与项目方沟通，保存好项目方主要高管个人信息资料，锁定的资产要做好记录，如果出发生问题，及时寻求法律援助。