ENS:黑客在 Poly Network 狂揽 6.1 亿美元 在线演绎花式 DeFi 出金_比特币市值跌破5000亿美元是真的吗

8月10日，异构跨链协议PolyNetwork遭到攻击，损失达到6.1亿美元，包含2,857ETH、9,630万USDC、26,000WETH、1,000WBTC、3,340万USDT、2,590亿SHIB、14renBTC、673,000DAI和43,000UNI转至以太坊，6,600BNB、8,760万USDC、26,600ETH、1,000BTCb、3,210万BUSD转至BSC，8,500万USDC转至Polygon。

PeckShield「派盾」第一时间定位并分析发现，此次攻击源于合约漏洞。

a16z、区块链协会均致函质疑美SEC拟议的收紧加密货币托管规则:5月9日消息，美国证券监管机构提出的一项收紧加密货币托管规则的提议遭到了至少两名业内支持者的反对。5月8日，加密行业倡导机构区块链协会（Blockchain Association）向SEC提交了一封信，批评其修改其监管规则的提议。3天前，Web3风险投资基金Andreessen Horowitz(a16z)也发出了一封类似的信函。区块链协会政策律师Marisa Tashman Coppel于5月8日在推特上表示，SEC拟议的规定将“大幅减少对数字资产的投资”，并声称以目前的形式，该规定是“非法的”。在信中，区块链协会提供了十几个单独的论据来反驳SEC。在其他声明中，它表示该规则超出了SEC权限，将禁止顾问与加密货币交易所进行交易，并使投资者的资产面临更大的风险。同一天，a16z总法律顾问Miles Jennings在推特上发布了其致SEC的信函，称该公司“没有含糊其词”，并称SEC的提议是“对加密货币发动战争的误导和明显的企图。”a16z在其信中详述了与区块链协会类似的论点，但更侧重于其对注册投资顾问的影响，即顾问将被禁止使用加密货币，并且这些规则可能违反SEC对此类公司的注意义务。[2023/5/9 14:51:45]

据了解，PolyNetwork是由小蚁Neo、本体Ontology、Switcheo基金会共同作为创始成员，分布科技作为技术提供方共同发起的跨链组织。

灰度：已对美SEC拒绝现货比特币ETF申请提起诉讼:10月12日消息，加密资产管理公司 Grayscale Investments 已就美国证券交易委员会（SEC）拒绝其申请现货比特币交易所交易基金的诉讼提交了开场简报。Grayscale 首席法律官 Craig Salm 表示，现货 ETF 和期货 ETF在比特币背景下没有区别，因为芝商所比特币期货的定价本身就低于现货比特币市场。简报中称，美国证券交易委员会未能证明为何会对比特币期货 ETP 和现货比特币 ETP 批准存在截然不同的处理方式，因此违反了美国《行政程序法》的最基本要求。[2022/10/12 10:32:00]

黑客如何狂揽6.1亿美元？

PeckShield「派盾」简述攻击过程：

Ripple律师指控美SEC滥用司法程序:8月9日消息，Ripple和这起与美国SEC的关键诉讼中的被告声称，SEC正寻求重启证据开示程序。然而，SEC已经对这一说法做出了回应。律师Jame Filan表示，SEC向法庭提交了一份只有一行字的答复。SEC表示，对于Ripple为了送达非当事人传票而要求重新调查事实的请求，它没有立场。被告努力执行Netburn法官关于认证包含SEC官员言论视频的裁决。Filan提到，Ripple要求这些传票寻求提供证据的许可，这不是请求开示证据。

信中提到，这一呼吁与Ripple在事实发现结束前服务的RFAs有关。需要提前执行法官的命令。Filan抨击了SEC对这一请求的回应。他写道，这封信是对司法程序的滥用，这是在浪费法庭的时间。他提到，SEC等了大约五天才提交了一句话的答复。在这封信中，SEC甚至误解了Ripple最初的请求。（Coin Gape）[2022/8/9 12:13:00]

Ripple要求法院强制美SEC提供有关比特币和以太坊的文件:金色财经报道，3月15日，律师已代表Ripple Labs、首席执行官Brad Garlinghouse和联合创始人Chris Larsen提出动议，要求法院强制美国证券交易委员会（SEC）出示有关比特币和以太坊的文件。这两种最大的加密货币被定义为非证券。Ripple声称XRP交易的“经济实质”与上述加密货币没有什么不同。Ripple指责SEC“扣留潜在的可辩明其无罪的证据”，并称“很明显”交易所被告知了XRP不是证券。Ripple还希望法院强迫从包括前SEC主席Jay Clayton在内的人处获得文件。SEC则声称与比特币和以太坊有关的文件与该案无关。[2021/3/16 18:47:26]

PolyNetwork中有一特权合约EthCrossChainManager，此合约主要用于触发来自其他链的信息。

WisdomTree向美SEC提交比特币ETF申请:金色财经报道，总部位于纽约市的资产管理公司WisdomTree Investments已向美国证券交易委员会（SEC）提交申请以启动比特币交易所交易基金（ETF）。如果获得批准，WisdomTree比特币信托的份额将以“BTCW”代码在CBOE BZX交易所交易。去年，WisdomTree曾申请推出名为“增强商品策略基金”的ETF，计划投资于能源、工业金属、贵金属和农产品，比特币将只占很小一部分。[2021/3/12 18:38:03]

在跨链交易中，任何人都可调用verifyHeaderAndExecuteTx来执行跨链交易，这个函数主要有三个作用:一是通过检验签名来验证区块头是否正确，二是利用默克尔树来验证交易是否包含在该区块中，三是调用函数_executeCrossChainTx，即目标合约。

此次攻击事件源于PolyNetwork允许调用目标合约，但在此过程中没有限制用户调用EthCrossChainData合约，该合约可追踪来自其他链上数据的公钥列表，即便在没有盗取公钥的情况下，如果你已经获取了修改公钥列表的权限，那么只需要设置公钥来匹配自己的私钥，基本上就可以畅通无阻了。

由于用户可通过发送跨链请求EthCrossChainManager合约调用EthCrossChainData合约，来蒙混onlyOwner的检验，此时，用户只需要杜撰一个正确的数据就能触发修改公钥的函数。

接下来，攻击者离得手只有一步之遥，PolyNetwork的合约允许调用任意合约，但是，它只调用与签名哈希对应的合约函数，如上图合约C所示。?

黑客在线演绎花式DeFi出金

8月10日晚20:38PM，PolyNetwork官方在推特上公布攻击事件，并表示，为追回被盗资产，PolyNetwork将采取法律行动，敦促黑客尽快还款，希望相关链上的矿工及各大交易所伸手援助，共同阻止黑客地址所发起的交易。

中心化机构、安全机构多方联动，试图阻止黑客。其中，稳定币USDT的发行方Tether响应极为快速，直接冻结攻击黑客以太坊地址中3,300万USDT。

虽然已有多方积极参与对黑客的围堵，但黑客仍通过各种花式DeFi玩法快速混币，从这一点也可以看出，攻击者是个DeFi高阶玩家。

据PeckShield追踪显示，他先是在以太坊上利用Curve添加9,600万USDC/673,000DAI流动性，又在BSC上利用Curve分叉项目EllipsisFinance添加8,700万USDC/3,200万BUSD流动性；很快，攻击者移除在Curve的流动性，全部兑换为DAI，以防被冻。

年度大戏：吃瓜群众频支招黑客欲还所盗资产

一方面，PolyNetwork在积极与黑客喊话，试图挽回所盗资产；另一方面，“看热闹不嫌事大”的吃瓜群众给黑客支起了招：“不要动用你的USDT，你已经被列入黑名单了。”并收到了黑客馈赠的13.5ETH；眼看着有利可图，吃瓜群众越发积极为黑客出谋划策，更有甚者，留言黑客一些可行的混币措施，试图换取看起来极为可观的回报。

就在各关联方进退无门之时，黑客在区块高度13001578和区块高度13001573中留言表示，准备归还部分资产。在PolyNetwork提供多签钱包几个小时后，PeckShield追踪到黑客开始在Polygon上归还部分USDC，PeckShield将持续关注和追踪相关资产流转情况。

据PeckShield统计，截至目前，2021年第三季度发生的跨链桥安全事件，已造成损失合计逾6.4亿美元，占总损失44.5%。

为何跨链桥频遭攻击？

PeckShield观察发现，跨链协议这个新兴领域，打破了链与链之间的信息孤岛的壁垒，仍需要经受时间的考验。随着近期跨链桥的生态愈发多样化、丰富化，在它上面进行的交易、资金量大幅增长，例如，遭到攻击的PolyNetwork，跨链资产转移的规模已经超过100亿美元，超过22万地址使用该跨链服务，这也就吸引了黑客对于跨链协议的关注，再加上跨链桥本身是黑客资金出逃的重要环节，因此，也会成为黑客攻击的目标。

PeckShield建议设计一定的风控熔断机制，引入第三方安全公司的威胁感知情报和数据态势情报服务，在DeFi安全事件发生时，能够做到第一时间响应安全风险，及时排查封堵安全攻击，避免造成更多的损失；并且应联动行业各方力量，搭建一套完善的资产追踪机制，实时监控相关虚拟货币的流转情况；还要提升运维安全的重视度。

标签：ENS比特币USDOLYKazama Senshi比特币市值跌破5000亿美元是真的吗泰达币usdt钱包Polyswap

波场热门资讯