链资讯 链资讯
Ctrl+D收藏链资讯
首页 > 瑞波币 > 正文

POLY:写给黑客:如何靠漏洞赏金谈判追回资产?-ODAILY_Hash Bridge Oracle

作者:

时间:

自2020年10月至2023年3月,Web3.0领域中在遭受攻击后仍能收回或部分收回损失资金的事件共有25起。

在这25起事件中,被盗资金总计约13.5亿美元,其中的9.92亿美元被返还。

今年我们都有所耳闻的被盗资金返还事件有EulerFinance、Allbridge和SentimentProtocol,这三个项目均与攻击者进行了成功的谈判。

但其实这个情况是处于一个持续的灰色地带中——攻击者们既不是明确定义中参加漏洞赏金计划的白帽黑客,也并非是纯粹的盗取资产的黑帽黑客,我们可以将其称为“灰帽黑客”以作区分并加以分析。

漏洞的恶意利用在多年来一直困扰着Web3.0,这些恶意安全事件针对的目标往往是协议、智能合约和基于软件的应用程序,如自托管钱包,而其结果也通常是黑客「功成名就」,携款潜逃。

然而现在已经有越来越多的协议可以与攻击者成功谈判并协商资金返还。

CertiK统计了2020年10月至2023年3月中被利用而后又被返还资金的25个协议数据:

?总计约13.5亿美元的资金被盗

?总计约9.92亿美元(73%)的资金被退还

Shopify和Thirdweb联合推出能够构建支持Web3的电子商务应用程序:金色财经报道,电子商务公司Shopify和 Web3 基础设施协议 Thirdweb 将共同推出一个工具包,使开发人员能够构建支持 Web3 的电子商务应用程序。这个工具被称为“CommerceKit”,它使开发人员和商家可以更轻松地将 Web3 功能集成到他们的在线商店和网站中。

因此,店主将能够改进他们的电子商务应用程序。例如,他们可以使用该工具来集成基于 NFT 的数字收藏品,从而获得独家代币门禁项目或链上忠诚度计划。[2023/3/9 12:50:55]

?总计约3.145亿美元(23.1%)的资金被攻击者保留

?其余约3.9%的资金在此过程中丢失或被冻结

2023年到目前为止,8个导致约2.215亿美元资产被盗的重大漏洞恶意利用事件中有有大约1.88亿美元被退还。

一些未归还的资金被保留作为白帽赏金,以引起人们对协议漏洞的关注。

其他未返还的资金的部分情况是源自攻击者的要求。

而在这25个协议中,有四个协议的资金被全部返还了。

攻击者以不同的方式处理归还被盗资金的问题。其中一些归还了所有被盗资金,而另一些则归还了部分资金或拒绝归还。

因这些漏洞利用事件最初的恶意性质,以及一些攻击者在与受害者展开谈判后改变主意,我们将这些事件归类为灰帽情况。

Hydro-Quebec首席执行官Sophie Brochu将于4月离职:金色财经报道,根据 1 月 10 日的一份声明,Hydro-Quebec 的首席执行官 Sophie Brochu 将于 4 月 11 日离职。Hydro-Quebec 是魁北克省的一家公用事业公司,去年年底提议暂停向区块链行业提供新的电力供应。董事会主席 Jacynthe C?té 在声明中说,“在她的领导下,与许多内部贡献者和魁北克社会代表合作制定了一项新的战略计划,展示了她将人们聚集在一起的能力。”Hydro-Québec 没有任命 Brochu 的继任者,但表示董事会将推荐其候选人,最终任命将来自魁北克内阁。

去年,这家公用事业公司向加拿大能源监管机构提议,暂停为区块链行业规划的新 270 兆瓦 (MW) 电源的分配。该提案没有明确提及该行业的哪一部分是目标,但由于其丰富的清洁、可再生能源资源,加拿大省一直是加密货币矿工设立的理想场所。[2023/1/25 11:29:00]

在Cashio.App经历了一次被攻击者盗取5000万美元的事件后,他们最终将资金返还给那些账户中不足10万美元的投资者,剩余的钱据称被捐给了慈善机构。

MangoMarket的情况较为特殊:攻击者AvrahamEisenberg总计盗取了该协议的1.17亿美元,最后归还了约6700万美元,但他声称他的行为是合法的——“只是一种高利润的交易策略而已”。尽管与MangoMarket达成了协议,但AvrahamEisenberg后来仍因策划对MangoMarket的攻击行为而被美国证券交易委员会起诉。

Sushi公布新代币经济学提案,将激励流动性并促进去中心化:12月31日消息,SushiSwap新任CEO Jared Grey公布新代币经济学提案,旨在增加流动性,为其原生代币寿司创造更多效用,并为利益相关者提升最大价值。正式提案表示“就像最初希望实现的xSushi模型一样,新经济学的主要目标是通过整体和可持续的奖励机制来促进去中心化所有权和奖励流动性增长,该奖励机制随数量和费用而扩展。我们的目标是激励长期参与寿司生态系统,同时减少提取参与者的数量。”

该提案概述了协议代币经济学的四个关键变化。其中最大变化是关于质押Sushi(xSushi)将不再获得交易费用收益奖励,而是获得以Sushi支付的基于排放的奖励。产生最多交易量的交易池的流动性提供者将获得大部分Swap费用。此外,玩家还可以选择新的时间锁定机制来提高奖励。浮动比例的交易费用还将用于从公开市场回购和销毁Sushi,并锁定流动性,以提供更多的价格支撑。最后的变化则是将把Sushi的排放改为1-3% APY,以降低通胀,并在整体排放与回购、燃烧和锁定流动性之间取得平衡,这些流动性用于交易费用的价格支持。(TheBlock)[2022/12/31 22:17:48]

在过去的几年里,Web3.0货币行业一直遭受着越来越多的漏洞利用和黑客攻击。但协议似乎正在试图与攻击者们进行更深入的谈判,以期收回大量被盗资金。

通常情况下,这些谈判发生在公开场合中——在交易中给匿名黑客留下信息,往往是与他们取得联系的唯一途径。

Circle将在Arbitrum、Cosmos、NEAR等链上发行USDC:9月29日消息,稳定币USDC发行商Circle计划在Arbitrum、Cosmos、NEAR、Optimism、Polkadot上发行USDC,其中2022年年底计划在Arbitrum、NEAR、Optimism和Polkadot上提供原生服务,Cosmos上的USDC计划在2023年初上线,开发人员将能够在他们的产品以及可编程钱包基础设施中使用Circle API来实现USDC的法币出入金操作。[2022/9/29 22:38:51]

这样的趋势可能表明Web3.0行业正在发生越来越大的转变,协议和投资者的风险变得更小,安全性更高,尤其是在项目可创造市场激励措施以推动攻击者进行谈判的情况下。

为了进一步探讨这种可能性,我们想通过分析这些公开谈判及其最终结果来研究受害者采用的不同谈判策略。

我们选择研究四个不同的协议的谈判过程。之所以选择这些安全事件,是因为它们均属于大规模攻击事件,而且除了PolyNetwork之外,大部分都在一个月内成功地收回了资金。尽管这四个协议使用了不同的策略,但它们都将赏金作为黑客返还资金的激励。

PolyNetwork

2021年8月10日,黑客利用PolyNetwork代码中的一个漏洞,窃取了超过12种不同Web3.0货币的资金,总损失超过6.1亿美元。同一天,PolyNetwork通过链上信息直接联系了该黑客,要求他们与之取得联系。

Doodles 2 GenesisBox结束拍卖,筹集到逾万枚ETH:7月1日消息,Doodles 2可穿戴设备NFTGenesis Box现已结束拍卖,拍卖最终价格为0.508ETH,共出售了2万个,筹集到10160枚ETH(当前约合1069万美元),还有4000个保留给团队用于在其Genesis Factory IRL活动中为Doodlers和Dooplicator持有者分发。

此次拍卖采用Bucke tAuction,竞标者可以在初始出价中选择出价多少ETH,并可选择提高出价。出售的NFT数量和拍卖时间都是固定的。在拍卖结束时,将确定清算价格,超过清算价格的成功出价将获得NFT以及从计算个人用户出价/清算价格中获得的任何ETH余额的退款。低于清算价格的未成功出价将获得全额退款。[2022/7/1 1:43:10]

最终协议提出,如果资金被归还,将给予黑客赏金。PolyNetwork还在推特上发表了一封致黑客的公开信,称“任何国家的执法部门都会将此视为重大经济犯罪,你将会被追究责任”。在事件的最后,PolyNetwork甚至对黑客加以赞赏,称他们“希望将作为历史上最大规模的白帽黑客而被铭记”。

但黑客回应称,一开始他还未来得及回复PolyNetwork时,该协议就在让投资者和其他人敦促和指责他们,而他们其实并没有将被盗资金的打算。不仅如此,在这个过程里,黑客还在通过交易票据与PolyNetwork进行沟通,表示他们打算先从返还altcoins开始,并询问是否可以将被盗的USDT解冻,如果成功解冻,他们将归还被盗的USDC。

PolyNetwork并未对该问题进行回应,这一步应该是走对了,因为黑客第二天就开始向三个PolyNetwork地址归还资金了。

黑客后来又发来消息说,他们将提供他们用来归还资金的多签名钱包的最终密钥。

黑客最终归还了所有被发送到多重签名账户的被盗资产。

除了价值3300万美元的USDT被Tether冻结外,大部分损失的资金都被返还给了PolyNetwork。

礼尚往来之下,PolyNetwork向黑客创建的一个独立账户支付了160个ETH的漏洞赏金。但黑客将赏金退回给了PolyNetwork,并要求将该笔费用分配给那些受影响的投资者。

复制链接至浏览器查看PolyNetwork和黑客之间的完整谈判记录。

Allbridge

2023年4月1日,Allbridge遭受了一次针对其在BNBChain上BUSD/USDT池的攻击。该项目最初表示,该攻击只影响那些BNBChain池,但漏洞可能扩展到其他池中。为了防止这种情况,Allbridge停止了他们的桥接平台,并为流动性资金池运营商创建了一个网络接口来提取余额。

就像PolyNetwork一样,在攻击发生后不久,Allbridge宣布将向黑客提供赏金,并补充说如果被盗资金被返还,黑客将免于承担任何法律后果。4月3日,该团队宣布收到了攻击者的信息,1,500BNB被返还给了该项目。黑客手中仍保留价值约10.8万美元的资产。

Allbridge提到还有另一名黑客使用了与第一个攻击者相同的手法,但这个黑客尚未主动与平台取得联系。Allbridge敦促第二个黑客露面并开启谈判,讨论返还资金的条件。截至撰稿时,尚未获得该事件进展的任何消息。

EulerFinance

EulerFinance黑客攻击是2023年迄今为止发生的最大规模漏洞利用事件。

2023年3月13日,EulerFinance资金池遭遇闪电贷攻击,损失总计约1.97亿美元。

如同PolyNetwork和Allbridge案例,EulerFinance表示如果攻击者归还剩余资产,会向攻击者提供10%的赏金。

然而,该项目在谈判策略上采取了更激进的方式,在发出赏金声明的同时也发出了警告:如果攻击者不退还剩余的90%的资金,他们将悬赏100万美元获取有关攻击者的信息。尽管有此警告,黑客还是向TornadoCash转移了大约178万美元的被盗资金。

随后黑客通过链上消息与EulerFinance进行了联系。

3月21日,EulerFinance履行了警告中的行动,在攻击者不再回应后发起了100万美元的赏金悬赏攻击者信息,四天后,攻击者选择将资金返还Euler并道歉:

4月3日,EulerFinance在其推特账户上宣布,与黑客谈判后他们收回了所有的“可收回资金”。

另外EulerFinance还补充表示,由于黑客“做了正确的事”,他们将不再接受可能导致攻击者被捕的新信息,意味着100万美元的悬赏行动到此为止。

SentimentProtocol

2023年4月4日,SentimentProtocol遭到攻击,损失近100万美元。

4月5日,SentimentProtocol在其推特账户上公布了该漏洞,并暂停了主合约,以减轻进一步资金损失。

SentimentProtocol提出与攻击者进行谈判,承诺赏金的同时发出警告:如果攻击者在4月6日之前没有返还资金,那么原本承诺给他们的“白帽”赏金将变为悬赏追捕他们的赏金。与Allbridge一样,该协议还承诺如果资金返还,他们将不会对攻击者采取法律行动:

次日,SentimentProtocol向攻击者提供了9.5万美元的赏金,前提是攻击者在4月6日UTC8:00之前归还资金。

4月6日,SentimentProtocol宣布攻击者已返还90%资金。

如何与灰帽黑客谈判?

正如在本文四个案例中看到的那样,所有协议都发布了用以换取被盗资产的赏金。

EulerFinance和SentimentProtocol均向攻击者发出警告。Allbridge和SentimentProtocol还宣布称如果资金被退回,则不会对黑客采取法律行动,而PolyNetwork明确表示将联系执法部门。

在这四个协议中,其中两个的“可收回”资金被全额返还,Allbridge仍在与第二个黑客进行谈判。SentimentProtocol则是在经过两天的谈判后成功收回了90%的资金。

由此我们可以看出,在与攻击者的谈判中,赏金是一个非常有效的手段。然而其也有一定的潜在风险。例如攻击者拿到赏金后不履行承诺,而继续泄露数据或再次攻击。另外,一些国家和地区可能会对支付赏金的行为采取法律措施。

因此,组织需要对风险和合法性进行评估,并制定有效的策略以确保安全地进行赎金支付并尽快恢复被盗的资产。

标签:POLYWORBRIRIDGEMetropolyPower Crypto WorldBribe ProtocolHash Bridge Oracle

瑞波币热门资讯
区块链:王峰十问| 对话老猫:相信中本聪,还是相信巴菲特?_ESCO

王峰:先让我们看一看他的经历——老猫传奇。年轻时曾在江苏常州一家事业单位工作,30多岁辞职去了上海。后来,给朋友打过工,在淘宝上卖过保暖内衣,还给某体检品牌运营过淘宝店.

马斯克:马斯克想做的媒体可信度评级,会借鉴区块链社区的思路吗?_STE

今日,马斯克在Twitter上发了一条消息,称想要成立一个媒体可信度评级网站,并就此事发起一个投票活动。目前有30多万网友参与投票,其中87%的网友表示支持.

区块链:不做“背锅侠”,百度将百科内容数据上链_lightningantpay

5月28日晚,百度百科悄然上链,此举旨在利用区块链不可篡改特性,留存百科历史版本。百度区块链负责人肖伟发朋友圈证实了这一消息,其在朋友圈中写道:“百科与区块链的结合,虽然简单,但是太经典了!从此.

区块链:区块链日报 | 360曝EOS存在漏洞;百度将推出区块链新产品;原乐视体育团队研发区块链内容平台获投_EOS

今日头条 360安全负责人:EOS存在更多漏洞,但有漏洞的不止EOS今日360官方微博表示,公司Vulcan团队发现了区块链平台EOS的一系列高危安全漏洞,受该消息影响.

区块链:区块链日报 | 百万EOS被盗是因用户操作不当;百度内测区块链应用绿洲;摩拜回应数据泄露传闻_区块链域名价格排行

头条 百万EOS是因用户操作不当被盗,并不是交易所EOS被盗据IMEOS消息,百万EOS是因用户操作不当被盗,并不是交易所EOS被盗,各大节点正努力协同找回.

加密货币:成人网站Pornhub接受加密货币支付,真的便利和安全吗?_EOS

据IT之家消息,全球最大成人网站Pornhub今天宣布已开始接受Verge加密货币支付,用户可使用加密货币支付Pornhub所有功能.