POLY:黑客在 Poly Network 狂揽 6.1 亿美元 在线演绎花式 DeFi 出金_USD

8月10日,异构跨链协议PolyNetwork遭到攻击,损失达到6.1亿美元,包含2,857ETH、9,630万USDC、26,000WETH、1,000WBTC、3,340万USDT、2,590亿SHIB、14renBTC、673,000DAI和43,000UNI转至以太坊,6,600BNB、8,760万USDC、26,600ETH、1,000BTCb、3,210万BUSD转至BSC,8,500万USDC转至Polygon。

PeckShield「派盾」第一时间定位并分析发现,此次攻击源于合约漏洞。

DefiLlama的ChatGPT插件将进行Beta测试,允许通过语言提示查询数据:6月4日消息,DefiLlama 创始人 0xngmi 发推表示,DefiLlama 的 ChatGPT 插件将进行 Beta 测试,如果用户在 ChatGPT 上具有插件访问权限,并愿意就插件提供反馈,可以加入等待名单。它将允许用户通过语言提示查询 DefiLlama 的数据,包括询问「3 月后哪些 LSD 项目增长最快?」等与数据相关的问题。[2023/6/4 11:56:57]

据了解,PolyNetwork是由小蚁Neo、本体Ontology、Switcheo基金会共同作为创始成员,分布科技作为技术提供方共同发起的跨链组织。

黑客如何狂揽6.1亿美元?

DeFi项目Sheesha Finance:现已支持迁移到新的SHEESHA智能合约:4月18日,DeFi项目Sheesha Finance发推称,现已支持迁移到新的SHEESHA智能合约,迁移可以获得额外的SHEESHA奖励,已参与LP代币质押的用户将继续获得奖励。[2021/4/18 20:32:19]

PeckShield「派盾」简述攻击过程:

PolyNetwork中有一特权合约EthCrossChainManager,此合约主要用于触发来自其他链的信息。

在跨链交易中,任何人都可调用verifyHeaderAndExecuteTx来执行跨链交易,这个函数主要有三个作用:一是通过检验签名来验证区块头是否正确,二是利用默克尔树来验证交易是否包含在该区块中,三是调用函数_executeCrossChainTx,即目标合约。

DeFiBox安全提示:警惕CORN项目安全风险:DeFi门户网站DeFiBox.com项目监测发现,Heco链上一个名为CORN的项目存在极高安全风险。用户在参与该项目挖矿过程中一旦退出质押,本金将会被扣除99%。据项目白皮书显示,该部分资金中94%将被默认捐赠给社区,5%的流动性资金将继续挖矿,但该情况未在挖矿页显著位置告知用户。另外需要注意的是,该项目未开源且未经任何安全机构审计通过。DeFiBox.com提醒广大用户警惕安全风险,远离此类未开源未审计的高危项目。[2021/4/15 20:21:31]

此次攻击事件源于PolyNetwork允许调用目标合约,但在此过程中没有限制用户调用EthCrossChainData合约,该合约可追踪来自其他链上数据的公钥列表,即便在没有盗取公钥的情况下,如果你已经获取了修改公钥列表的权限,那么只需要设置公钥来匹配自己的私钥,基本上就可以畅通无阻了。

HORIZEN中国区负责人:2021年会涌现更多除Defi之外的大量现实应用案例:金色财经年度巨献洞见财富密码2021投资策略会持续进行中,本期Horizen中国区负责人官印《Horizen被灰度相中的隐私web3.0基础网络及其展望》的精华看点如下:灰度选择ZEN的主要原因是:ZEN是市场上唯一一个隐私web3.0网络。在2021年,会涌现更多除Defi之外的大量现实应用案例,在传统资产上链、供应链金融、政务票据、医疗、保险、物流等领域。[2020/12/31 16:07:55]

由于用户可通过发送跨链请求EthCrossChainManager合约调用EthCrossChainData合约,来蒙混onlyOwner的检验,此时,用户只需要杜撰一个正确的数据就能触发修改公钥的函数。

火币尖峰对话索老头:以太坊DeFi生态崛起 未来还是公链老大:6月24日下午,在由火币主办的火币尖峰对话“Waiting For ETH2.0”系列AMA活动中,火币矿池与dForce创始人杨民道、Infstones Head of Bussiness Sili、Stafi&Wetez创始人卡咩、真本聪联合创始人索老头就“乘风破浪的以太坊DeFi ”展开主题讨论,深度解读ETH2.0将给行业带来的重大影响。

真本聪联合创始人索老头对ETH2.0的到来表示欢迎,在他看来,随着以太坊DeFi生态的崛起,以太坊作为公链老大的地位将继续得到巩固,新公链和以太坊杀手杀出重围的可能性又减少了很多。他进一步表示,以太坊发展至今,仍然在不断进行自我迭代,生态也在不断发展。而新公链发展至今,收效甚微,令人倍感失望。因此总体来说,以太坊2.0虽然会很曲折,但是它将继续扩大以太坊DeFi生态。[2020/6/24]

接下来,攻击者离得手只有一步之遥,PolyNetwork的合约允许调用任意合约,但是,它只调用与签名哈希对应的合约函数,如上图合约C所示。

黑客在线演绎花式DeFi出金

8月10日晚20:38PM,PolyNetwork官方在推特上公布攻击事件,并表示,为追回被盗资产,PolyNetwork将采取法律行动,敦促黑客尽快还款,希望相关链上的矿工及各大交易所伸手援助,共同阻止黑客地址所发起的交易。

中心化机构、安全机构多方联动,试图阻止黑客。其中,稳定币USDT的发行方Tether响应极为快速,直接冻结攻击黑客以太坊地址中3,300万USDT。

虽然已有多方积极参与对黑客的围堵,但黑客仍通过各种花式DeFi玩法快速混币,从这一点也可以看出,攻击者是个DeFi高阶玩家。

据PeckShield追踪显示,他先是在以太坊上利用Curve添加9,600万USDC/673,000DAI流动性,又在BSC上利用Curve分叉项目EllipsisFinance添加8,700万USDC/3,200万BUSD流动性;很快,攻击者移除在Curve的流动性,全部兑换为DAI,以防被冻。

年度大戏:吃瓜群众频支招黑客欲还所盗资产

一方面,PolyNetwork在积极与黑客喊话,试图挽回所盗资产;另一方面,“看热闹不嫌事大”的吃瓜群众给黑客支起了招:“不要动用你的USDT,你已经被列入黑名单了。”并收到了黑客馈赠的13.5ETH;眼看着有利可图,吃瓜群众越发积极为黑客出谋划策,更有甚者,留言黑客一些可行的混币措施,试图换取看起来极为可观的回报。

就在各关联方进退无门之时,黑客在区块高度13001578和区块高度13001573中留言表示,准备归还部分资产。在PolyNetwork提供多签钱包几个小时后,PeckShield追踪到黑客开始在Polygon上归还部分USDC,PeckShield将持续关注和追踪相关资产流转情况。

据PeckShield统计,截至目前,2021年第三季度发生的跨链桥安全事件,已造成损失合计逾6.4亿美元,占总损失44.5%。

为何跨链桥频遭攻击?

PeckShield观察发现,跨链协议这个新兴领域,打破了链与链之间的信息孤岛的壁垒,仍需要经受时间的考验。随着近期跨链桥的生态愈发多样化、丰富化,在它上面进行的交易、资金量大幅增长,例如,遭到攻击的PolyNetwork,跨链资产转移的规模已经超过100亿美元,超过22万地址使用该跨链服务,这也就吸引了黑客对于跨链协议的关注,再加上跨链桥本身是黑客资金出逃的重要环节,因此,也会成为黑客攻击的目标。

PeckShield建议设计一定的风控熔断机制,引入第三方安全公司的威胁感知情报和数据态势情报服务,在DeFi安全事件发生时,能够做到第一时间响应安全风险,及时排查封堵安全攻击,避免造成更多的损失;并且应联动行业各方力量,搭建一套完善的资产追踪机制,实时监控相关虚拟货币的流转情况;还要提升运维安全的重视度。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

区块博客

中币OLY:FTX真相浮出水面_polyx币是什么币

关于FTX事件真相:绝对是有组织有预谋,本人11月2日看过Coindesk原文,一直高度关注,并成功预测带领伙伴清仓逃劫! 观点1:整个事件有组织有预谋,但参与主角除主动做空币市阴谋家.

[0:15ms0-3:950ms