AlexChen31337/bridge-security-monitor

# 🌰 Bridge 安全 Monitor [](https://github.com/AlexChen31337/bridge-security-monitor/actions/workflows/deploy.yml) [](https://alexchen31337.github.io/bridge-security-monitor/) **在线仪表板：** https://alexchen31337.github.io/bridge-security-monitor/ ## 🌰 项目简介 跨链桥是 DeFi 中价值最高的攻击目标——在 10 起重大攻击事件中，被盗资金总额超过 **28.5 亿美元**。然而，大多数 DeFi 安全工具侧重于广泛的智能合约漏洞；目前尚无专门针对跨链桥的安全情报层。 **Bridge Security Monitor** 填补了这一空白。它会自动： - 🌰 获取 100 多个活跃跨链桥的实时数据（通过 DeFiLlama） - 🌰 使用多因子算法对每个跨链桥的风险进行评分 - 🌰 追踪历史攻击模式及完整的事件详情 - 🌰 生成每周 AI 情报简报（GitHub Models / gpt-4o-mini） - 🌰 将整洁的仪表板部署到 GitHub Pages——每周更新 ## 🌰 核心功能 ### 🔴 风险评分引擎 每个跨链桥根据三个加权因子获得 0-100 的评分： | 因子 | 权重 | 依据 | |--------|--------|-----------| | 💰 TVL / Volume | 0–40 pts | 规模越大的跨链桥 = 价值越高的目标 | | 💀 攻击历史 | 0–40 pts | 曾经遭受攻击 = 复发风险更高 | | 🌐 链覆盖面 | 0–20 pts | 支持的链越多 = 攻击面越大 | **风险等级：** - 🔴 **CRITICAL** (≥70)：需要立即关注 - 🟠 **HIGH** (50–69)：高风险，需密切监控 - 🟡 **MEDIUM** (30–49)：中等风险 - 🟢 **LOW** (<30)：较低风险 ### 🤖 AI 情报简报 由 **GitHub Models (gpt-4o-mini)** 生成的每周分析： - 当前风险概况摘要 - 交易量分析与攻击者经济学 - 历史攻击模式分析 - 可操作的建议 ### 📊 历史攻击数据库 精心整理的重大跨链桥黑客攻击数据集，包括： - 🌰 **Ronin/Axie Infinity** ($625M) — 验证者密钥失陷 - 🌰 **Poly Network** ($611M) — 智能合约权限提升 - 🌰 **BNB Token Hub** ($570M) — 密码学证明伪造 - 🌰 **Wormhole** ($320M) — 签名验证绕过 - 🌰 **Nomad** ($190M) — 输入验证不当 - 🌰 **Multichain** ($125M) — 疑似密钥失陷 - 🌰 **Harmony Horizon** ($100M) — 多重签名失陷 - 🌰 **Orbit Chain** ($82M) — 多重签名失陷 - 更多… ## 🌰 架构 ``` ┌─────────────────────────────────────────────────────┐ │ GitHub Actions (weekly cron: Monday 00:00 UTC) │ │ │ │ 1. api-call.js │ │ └── GET https://bridges.llama.fi/bridges │ │ └── Score each bridge (risk algorithm) │ │ └── Save → data/bridges.json │ │ │ │ 2. generate-report.js │ │ └── Read bridges.json + exploits.json │ │ └── POST → GitHub Models API (gpt-4o-mini) │ │ └── Save → data/report.json + data/report.md │ │ │ │ 3. Deploy → GitHub Pages (index.html + data/) │ └─────────────────────────────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────────────────┐ │ index.html (Client-side dashboard) │ │ └── Loads data/*.json via fetch() │ │ └── Renders bridge risk table with filters │ │ └── Shows AI brief + exploit timeline │ └─────────────────────────────────────────────────────┘ ``` ## 🌰 数据来源 | 来源 | 用途 | API Key? | |--------|-------|----------| | [DeFiLlama Bridges](https://bridges.llama.fi) | 实时跨链桥交易量与元数据 | ❌ 无需 | | [GitHub Models](https://github.com/marketplace/models) | AI 情报简报 | ✅ `GITHUB_TOKEN` (自动) | | `data/exploits.json` | 历史攻击数据库 | 不适用 (人工整理) | **无需外部 API 订阅。** DeFiLlama 完全公开。GitHub Models 使用 GitHub Actions 中自动提供的 `GITHUB_TOKEN`。 ## 🌰 设置与部署 ### 通过 3 步完成 Fork 与部署 1. **Fork 本仓库**（或作为模板使用） 2. **启用 GitHub Pages：** - 进入 Settings → Pages - Source: `GitHub Actions` 3. **运行工作流：** - 进入 Actions → "🌰 Update Bridge Data & Deploy" - 点击 "Run workflow" - 仪表板将在约 2 分钟后上线！ ### 🌰 无需密钥！ - `GITHUB_TOKEN` 由 GitHub Actions 自动提供 - DeFiLlama API 对公共端点没有速率限制 ## 🌰 方法论说明 ### 为什么专门关注跨链桥安全？ 跨链桥具有独特的风险，因为： 1. 它们在智能合约中锁定了巨额储备金 2. 它们是具有多重信任假设的复杂系统 3. 它们跨越多条链——每一条都增加了攻击面 4. 遭到攻击通常意味着全额损失（无熔断机制） 5. 历史损失率：平均每起 incident 损失 2.85 亿美元 ### 风险评分局限性 🌰 本工具提供**方向性风险指标**，而非投资建议： - TVL 数据是近似值（交易量 ≠ 锁定价值） - 新的跨链桥可能存在未被发现的隐藏漏洞 - 审计状态未被直接纳入考量 - 风险评分反映的是攻击者的*动机*，而非*能力* ## 🌰 每周更新计划 数据通过 GitHub Actions 在每周一 **00:00 UTC** 刷新。 可通过 Actions → "Run workflow" 手动触发。 ## 🌰 贡献 发现了遗漏的攻击事件？想要改进风险模型？ 1. 开启一个 Issue 并提供详细信息 2. 欢迎提交针对 `data/exploits.json` 增补的 PR 3. 提交信息中必须包含栗子 emoji 🌰 ## 🌰 技术栈 - **GitHub Actions** — 自动化每周数据管道 - **GitHub Models** (gpt-4o-mini) — AI 分析 - **DeFiLlama API** — 实时跨链桥数据 - **GitHub Pages** — 免费托管 - **Vanilla HTML/CSS/JS** — 零依赖，加载快速 *🌰 非财务建议。数据仅供参考。跨链桥安全是一个复杂领域——本工具提供情报指标，不作任何保证。* *为 [DN Institute Product Development Kit Challenge](https://github.com/1712n/dn-institute/issues/489) 构建*

标签：AI安全情报, DeFi安全, GitHub Pages, GPT-4o, Python, TVL分析, 加密货币, 区块链安全, 后端开发, 威胁情报, 安全态势感知, 密码管理, 开发者工具, 攻击面分析, 数据可视化, 文档安全, 无后门, 智能合约审计, 漏洞追踪, 网络安全, 自动化监控, 调试辅助, 跨链桥监控, 金融科技, 链上分析, 隐私保护