链资讯 链资讯
Ctrl+D收藏链资讯

POL:一文全流程重现Poly Network 6亿美元盗币案-ODAILY_POLY币

作者:

时间:

“我对钱没有兴趣。”

“攻击只是为了好玩。”

年度最大DeFi黑客事件,6亿美元盗币案的主角,他的攻击目的最终还是出乎了我们的意料。

是的,有技术,就是任性。

目前,PolyNetwork攻击者已基本退还所有资金,而TA说选择Poly作为攻击目标只是因为跨链是当前的热门。而之所以在攻击后将Poly的代币转移是为了这些资产的安全。

为了好玩?就这?

PolyNetwork项目方以及相关受害者可谓是冒了几十个小时虚汗,心惊胆战了三天啊。

当然,对于成都链安技术团队的分析师来说,黑客搞了这么大的一个事件,当然不能放过一根线索“头发丝”,必须把TA的攻击源头手法揪出来才行!

此前,成都链安技术团队对本次攻击事件进行了深入分析,重现全流程,纯技术讲解可以查看这之前的专业文章:

1年度最大DeFi黑客事件!成都链安关于PolyNetwork被攻击事件全解析

DeFIL2.0 FILST标准算力通证质押挖矿现已开启:据悉,Filecoin去中心化金融服务平台DeFIL2.0 FILST质押挖坑已于今日开启,用户现可通过Uniswap或者FILST首发交易所安银购买FILST后质押到DeFIL.ORG中进行挖矿。截止2021.8.25 16:00 UTC+8,矿池总质押量超115000 FILST,收益增强指数为10.15x。当前全网质押率为5.9%(<60%),挖矿收益的60%全部分配给质押用户,30%用于销毁平台治理通证DFL(将于今晚第一次销毁)。[2021/8/25 22:36:38]

2独家|拨开PolyNetwork攻击事件的迷雾,成都链安成为首家提前找到攻击源头的安全公司

对于吃瓜群众而言,技术确实很难看懂,那我们就用更通俗易懂的语言,为大家描述本次攻击事件吧!

把时间拉回到三天前,黑客正在悄无声息的预谋这场策划。

PolyNetwork被攻击事件最早发生于8月10日17:55,黑客在以太坊陆续从PolyNetwork智能合约转移了9638万个USDC、1032个WBTC等资产,总价值超过2.6亿美元。

Filecoin网络目前全网有效算力为2.08EiB:据IPFS100.com报道,Filfox浏览器数据显示,Filecoin网络当前区块高度为441724,全网有效算力为2.080EiB,总质押量约为3285万枚FIL,活跃矿工数为1192个,每区块奖励为19.3735FIL,近24小时产出量为270424FIL,24小时平均挖矿收益为0.1253FIL/TiB。

目前有效算力排名前三的分别为:F01248(智合云zh)以74.45PiB暂居第一,F02770(时空云&灵动)以72.63PiB位居第二,F09652(RRmine)以52.48PiB位居第三。[2021/1/25 13:26:15]

可能是因为“太好玩”,黑客继续输出。

18:04起,黑客在Polygon从该项目智能合约转移了8508万USDC。

18:08起,黑客在BSC从该项目智能合约转移了8760万个USDC、26629个ETH等资产。

“成都天府新区区块链产业协会”与“算力方舟&HelloFil”达成战略合作:据官方消息,“成都天府新区区块链产业协会”与“算力方舟&HelloFil”达成战略合作,双方就分布式存储领域展开研究、探讨。深化区块链产业落地应用,贯彻国家新基建战略,扎实数字产业底层基础设施。同时,“成都天府新区区块链产业协会”也将支持算力方舟在IPFS生态建设上形成相应的研究报告。[2021/1/7 16:38:36]

晚间,链必安-区块链安全态势感知平台舆情监测显示,跨链协议PolyNetwork遭受攻击,Ethereum、BinanceChain、Polygon3条链上近6亿美元资金被盗。

此刻成都链安的警报群开始响起来,技术团队成员此刻已经下班在家,大家远程电话开始讨论分析黑客的手段。

讨论刚开始,大家的表情都是:

作为不太懂技术的小编,也加入远程沟通之中,那一晚大家都很亢奋,毕竟“抓黑客”这件事,确实很刺激,而作为守护区块链生态安全的成都链安,必须要把这个黑客摸清楚。

Gate.io 已完成11月21日FIL代币转化分发,总量约1.3万枚:据官方公告,Gate.io今日(11月21日)已经根据用户FIL6持仓情况完成FIL分发,总计约1.3万枚,用户可在账户账单明细中查看详情。目前Gate.io已经支持Filecoin(FIL)现货交易,充值提现,杠杠交易,币币理财,永续合约交易等全线系列产品和服务。[2020/11/21 21:36:10]

只是一整晚过去,ETH资金还没动,也没发币,我司安全团队成员小A说,黑客难道还在睡觉?还没开始行动?

而在当晚,最担忧的还是项目方,PolyNetwork一直在尝试与这位淡定的黑客沟通。

这场漫长的沟通经历差不多15小时,第一次尝试沟通,PolyNetwork留下了沟通邮箱。

2小时后,项目方继续沟通表示,如果归还资产,会因为这次发现安全漏洞给予安全奖励。

那一整晚,黑客策划本次行动之后,还在社区自问自答,比如对钱不感兴趣,攻击只是为了好玩等让大家继续“吃瓜”。

1475:Filecoin Plus机制细则将出,18日会议值得关注:11月18日零点Filecoin官方将与社区就Filecoin Plus Beta提案进行再次的zoom会议讨论。据悉,会议将就Beta提案的状态和时间,公证人策略,客户分配方案讨论,服务条款,内容策略(与客户和矿工设定期望)等进行讨论。

对此技术龙头1475表示:目前公证人分配多少数据,分配给怎么样的用例,分配是否公开进行还没有具体的操作指引,但基本方向已经定调。这个机制的设计一方面鼓励了Filecoin生态的持续建设,推动有效存储数据业务的落地,另一方面也为Filecoin币价提供新的价格支撑。预计有效数据业务落地将产生大量实质性的质押需求,短期或将刺激币价明显上涨。[2020/11/16 20:57:07]

让我们回到本次事件中。

简单来说,事情的经过就是:黑客攻击了一个跨链桥的协议,然后转走6亿美金资产。

先来说什么是”跨链桥协议“?

简单来说,每一个公链就是一个生态,那么在这个生态上发行的代币互换很简单,但是你要和其它公链的币进行互换,就比较麻烦了。

比如今年BSC、HECO、Solana、Near等各大公链出来后,用户在不同公链间进行资产转移的时候流程就非常复杂。

这个有点类似于比如我想把A交易所的币卖掉,去B交易所买另一种币,那我必须先把A交易所的币卖掉换成USDT,再用USDT去买B交易所的另一种币。

为了解决这个问题,跨链桥协议就出来了,就相当于把所有生态链都连接起来。

你想在不同的公链上进行换币操作,那这个跨链桥的协议就自动在后台用程序帮你处理了。

本次受攻击的这个跨链桥协议名字叫O3swap,这是O3Labs团队孵化的跨链聚合交易协议,通过与以太坊、BSC、Heco、Neo等主流公链和Layer2跨链交互,进行多链DEX的流动性聚合,从而实现不同链上主流资产的自由兑换,DeFi用户可以享受快速一键跨链交易的便捷。

那黑客是如何得手的呢?

第一件事情,就是必须找到黑客攻击的源头。

攻击者是如何拿到正常的Keeper的签名的?难道是Keeper私钥泄漏?

成都链安技术团队带着这个疑问进行了深入分析,终于解决了这个疑问。

简单来说就是攻击者利用了一个区块链跨链协议PolyNetwork的技术漏洞,获取了检索加密货币钱包所有者的私钥所需的信息,并最终盗取了链上资产。

攻击完成后,这位攻击者又去进行混币处理,也可以说是一个的过程,让大家无法追踪他的盗币。

反正就是一系列操作,黑客得逞了,然后项目方发现后,直接哭晕在厕所。

怎么办?赶紧联系黑客啊。

PolyNetwork在推特发布了致攻击者的一封信。PolyNetwork表示,希望建立沟通,并敦促攻击者归还被黑资产。此次被黑的金额是DeFi历史上最大的一笔。任何国家的执法部门都会将此视为重大经济犯罪,攻击者将受到追捕,再进行任何交易是非常不明智的。被盗资金来自数以万计的加密社区成员。希望攻击者与PolyNetwork团队交谈以制定解决方案。

但是这位攻击者却很淡定的表示:“如果我转移了剩余的币,那将是十亿美金级别的攻击。我刚刚是拯救了这个项目吗?我对金钱不太感兴趣,现在考虑归还一些代币,或者将它们留在此处。”

8月12日晚,PolyNetwork通过以太坊网络转账留言回复黑客称:

自官方公布被盗之后,无论是项目方还是安全机构、媒体都在时刻关注PolyNetwork事件的最新进展,并尽全力协助冻结追回资金。

在后面几十个小时的时间里,在多方的共同努力与沟通下,PolyNetwork安全事件有了新的进展。

根据消息,这位白帽黑客目前已退还几乎所有被盗资金。

项目方终于松了一口气。

当然,此次事件是对DeFi所有参与者的一次警示,随着DeFi的爆发式发展,相关安全事件频发,跨链攻击也成为很多攻击者的袭击目标。

本次攻击事件主要原因还是中继器对链上跨链消息检验不完善以及合约权限管理逻辑存在问题。成都链安在此提醒各大项目方一定要加强智能合约安全审计。

关于解决智能合约和区块链平台面临的诸多问题,大家可以随时Call成都链安,我们随时在线!

遇到安全事件攻击,我们会用最专业的技术告诉你:

标签:POLPOLYOLYETWPOLZ价格polyx币怎么样POLY币ARTT Network

以太坊交易热门资讯
狗狗币:加密出圈记录:狗狗币标志现身英超联赛-ODAILY_PHOENIX价格

英格兰足球超级联赛是由英格兰本地球队组成的最高级别的联赛,因为比赛场面激烈,注重身体对抗、比赛节奏较快,英超总是被认为是世界上最好的联赛,现时英超联赛已经成为世界上最受欢迎的体育赛事之一.

FILE:Filecoin Grant Hackathon评委票选和二次方投票人气项目一览-ODAILY_STACK

7月18日,FilecoinGrantHackathon在DoraHacks开发者平台HackerLink圆满落幕.

AscendEX:AscendEX“顶峰之约”杭州加密酒会成功举办,畅谈行业发展新机遇-ODAILY_DEX

7月24日晚,由顶峰AscendEX、BUKON以及PANews联合主办的“顶峰之约”加密私享酒会在数字化创新之都——杭州盛大举行.

NFT:APENFT为第三届世界数字资产峰会慈善拍卖捐赠拍品-ODAILY_LUNAPE

2021年5月19日-20日,第三届世界数字资产峰会在上海宝丽嘉酒店成功举行,在5月20日WDAS21×HuobiCharity的NFT拍卖晚宴中.

NFT:在这里,体验不一样的二次元 | 「PolkaFantasy 」链游馆开幕-ODAILY_FAN

“不一样生态城”---「第一届线上NFT加密狂欢节」已经上线。这一次,Odaily星球日报联合一线互联网公司以及行业头部NFT明星项目在线上打造了一座“NFT生态城”。带你进入神奇的加密世界.

SPR:Rangers Protocol测试网上线,开发者表示dApp移植过程友好-ODAILY_RAN

区块链基础设施RangersProtocol测试网已在7月19日完成最后部署并上线,并公布了其第一个从以太坊移植的dApp——去中心化借贷协议BlueStone.