链资讯 链资讯
Ctrl+D收藏链资讯
首页 > DOT > 正文

黑客在 Poly Network 狂揽 6.1 亿美元 在线演绎花式 DeFi 出金

作者:

时间:

8 月 10 日,异构跨链协议 Poly Network 遭到攻击,损失达到 6.1 亿美元,包含 2,857 ETH、9,630万 USDC、26,000 WETH、1,000 WBTC、3,340万 USDT、2,590亿 SHIB、14 renBTC、673,000 DAI和 43,000 UNI 转至以太坊,6,600 BNB、8,760万 USDC、26,600 ETH、1,000BTCb、3,210万 BUSD 转至BSC,8,500万 USDC 转至 Polygon。

PeckShield「派盾」第一时间定位并分析发现,此次攻击源于合约漏洞。

据了解,Poly Network 是由小蚁 Neo、本体 Ontology、Switcheo 基金会共同作为创始成员,分布科技作为技术提供方共同发起的跨链组织。

PeckShield「派盾」简述攻击过程:

Poly Network 中有一特权合约 EthCrossChainManager,此合约主要用于触发来自其他链的信息。

在跨链交易中,任何人都可调用 verifyHeaderAndExecuteTx 来执行跨链交易,这个函数主要有三个作用: 一是通过检验签名来验证区块头是否正确,二是利用默克尔树来验证交易是否包含在该区块中,三是调用函数 _executeCrossChainTx,即目标合约。

此次攻击事件源于 Poly Network 允许调用目标合约,但在此过程中没有限制用户调用 EthCrossChainData 合约,该合约可追踪来自其他链上数据的公钥列表,即便在没有盗取公钥的情况下,如果你已经获取了修改公钥列表的权限,那么只需要设置公钥来匹配自己的私钥,基本上就可以畅通无阻了。

由于用户可通过发送跨链请求 EthCrossChainManager 合约调用 EthCrossChainData 合约,来蒙混 onlyOwner 的检验,此时,用户只需要杜撰一个正确的数据就能触发修改公钥的函数。

接下来,攻击者离得手只有一步之遥,Poly Network 的合约允许调用任意合约,但是,它只调用与签名哈希对应的合约函数,如上图合约 C 所示。 

8月10日晚 20:38 PM,Poly Network 官方在推特上公布攻击事件,并表示,为追回被盗资产,Poly Network 将采取法律行动,敦促黑客尽快还款,希望相关链上的矿工及各大交易所伸手援助,共同阻止黑客地址所发起的交易。

中心化机构、安全机构多方联动,试图阻止黑客。其中,稳定币 USDT 的发行方 Tether 响应极为快速,直接冻结攻击黑客以太坊地址中 3,300 万 USDT。

虽然已有多方积极参与对黑客的围堵,但黑客仍通过各种花式 DeFi 玩法快速混币,从这一点也可以看出,攻击者是个 DeFi 高阶玩家。

据 PeckShield 追踪显示,他先是在以太坊上利用 Curve 添加 9,600万 USDC/673,000 DAI 流动性,又在 BSC 上利用 Curve 分叉项目 Ellipsis Finance 添加 8,700万 USDC/3,200万 BUSD 流动性;很快,攻击者移除在 Curve 的流动性,全部兑换为 DAI,以防被冻。

一方面,Poly Network 在积极与黑客喊话,试图挽回所盗资产;另一方面,“看热闹不嫌事大”的吃瓜群众给黑客支起了招:“不要动用你的 USDT,你已经被列入黑名单了。”并收到了黑客馈赠的 13.5 ETH(价值 4.3 万美元);眼看着有利可图,吃瓜群众越发积极为黑客出谋划策,更有甚者,留言黑客一些可行的混币措施,试图换取看起来极为可观的回报。

就在各关联方进退无门之时,黑客在区块高度 13001578 和区块高度 13001573 中留言表示,准备归还部分资产。在 Poly Network 提供多签钱包几个小时后,PeckShield 追踪到黑客开始在 Polygon 上归还部分 USDC,PeckShield 将持续关注和追踪相关资产流转情况。

据 PeckShield 统计,截至目前,2021年第三季度发生的跨链桥安全事件,已造成损失合计逾 6.4 亿美元,占总损失 44.5%。

PeckShield 观察发现,跨链协议这个新兴领域,打破了链与链之间的信息孤岛的壁垒,仍需要经受时间的考验。随着近期跨链桥的生态愈发多样化、丰富化,在它上面进行的交易、资金量大幅增长,例如,遭到攻击的 Poly Network,跨链资产转移的规模已经超过 100 亿美元,超过 22 万地址使用该跨链服务,这也就吸引了黑客对于跨链协议的关注,再加上跨链桥本身是黑客资金出逃的重要环节,因此,也会成为黑客攻击的目标。

PeckShield 建议设计一定的风控熔断机制,引入第三方安全公司的威胁感知情报和数据态势情报服务,在 DeFi 安全事件发生时,能够做到第一时间响应安全风险,及时排查封堵安全攻击,避免造成更多的损失;并且应联动行业各方力量,搭建一套完善的资产追踪机制,实时监控相关虚拟货币的流转情况;还要提升运维安全的重视度。

标签:比特币POLYOLYPOL比特币最高的时候是多少钱一枚2022POLYX币Polymath Networkpolkadot怎么读

DOT热门资讯
各国研发如火如荼 数字货币时代来临?

面对数字货币技术的高速发展,摆在全球央行面前两道难题:对加密货币是接受还是打压?对法定数字货币的研发是积极推进还是保守抗拒?一些国家已经达成了共识。 越来越多国家与地区货币当局有关于法定数字货币的工作进展不断传来。牙买加央行日前公告,该国首批央行数字货币(CBDC)已铸造完毕,在8月10日该国举行的一个财务会议上,相关部门还演示了数字货币的铸造过程。

这届年轻人想得多 数字遗产留还是删

聊天记录、通话记录、邮件记录,QQ空间、微博、朋友圈上的记录,手机中的照片,游戏装备……这些数字遗产在一个人去世后怎么处理?这是个新问题。 这届年轻人想得多,不仅思考生死,还考虑遗产,尽管可能还没有多少资产需要继承。但有一种遗产,人人都有。

如果弗里德曼和哈耶克还活着:他们会怎样看待比特币?

这是两位20世纪货币经济学巨人之间的一场传奇性的辩论。争论的焦点是,是否会有一种“挑战者货币”能够取代政府发行的法币,成为全球范围的一种新的支付媒介。

金色观察|“迷途知返”的黑客与区块链安全隐忧

截止到8月11日12时59分,Poly Network发生的O3资金池被盗事件,在持续发酵后,似乎有了最终结果。

Solana:DAO和区块链治理的理想土壤(上)

人类社会的发展正经历着一场去中心化的巨变。虽然人类社会不可能会完全去中心化,但是未来我们社会中去中心化和中心化都是共存的,并且去中心化将会占据一定比重。 以比特币为代表的加密货币最主要的特征之一就是去中心化。这意味着它们不受政府或中央银行等机构的管控。受到加密货币去中心化特性的启发,开发者们提出了一个新颖的概念——去中心化自治组织(DAO)。

科普:NFT 必知必会

在本文中,我们将讨论 NFT 是什么,数字艺术品分为哪些种类,数字艺术品存储在哪里以及选购 NFT 需要注意哪些事项。 简而言之,NFT 艺术品就是创建独一无二的代币来绑定艺术品,要么将艺术品链接至某个代币,要么将艺术品连同其 NFT 存储在区块链上。 NFT 艺术品主要分为两类:可繁殖艺术品和不可繁殖艺术品。不可繁殖艺术品由人类创作。