火星链 火星链
Ctrl+D收藏火星链

SCH:金色观察 | Poly Network被盗事件再引DeFi安全之争 监管或提上日程?

作者:

时间:1900/1/1 0:00:00

8月10日,跨链互操作协议Poly Network遭受黑客攻击。Poly Network发推文称,经过初步调查,已找到漏洞的原因。黑客利用了合约调用之间的一个漏洞,攻击不是由传闻中的单个保管人造成的。同时,Poly Network还发布了至攻击者的一封信。Poly Network表示,希望建立沟通,并敦促攻击者归还被黑资产。此次被黑的金额是Defi历史上最大的一笔。任何国家的执法部门都会将此视为重大经济犯罪,攻击者将受到追捕,再进行任何交易是非常不明智的。被盗资金来自数以万计的加密社区成员。希望攻击者与Poly Network团队交谈以制定解决方案。

慢雾团队回顾攻击细节指出,主要系因合约漏洞。本次攻击主要在于 EthCrossChainData 合约的 keeper 可由 EthCrossChainManager 合约进行修改,而 EthCrossChainManager 合约的 verifyHeaderAndExecuteTx 函数又可以通过 _executeCrossChainTx 函数执行用户传入的数据。因此攻击者通过此函数传入精心构造的数据修改了 EthCrossChainData 合约的 keeper 为攻击者指定的地址,并非网传的是由于 keeper 私钥泄漏导致这一事件的发生。

金色午报|1月9日午间重要动态一览:7:00-12:00关键词:NFT、印度央行、LCX

1.彭博分析师:2022年BTC和ETH将继续大涨;

2.Doodles 7日交易额近1.5万枚 ETH,目前地板价为11.5 ETH;

3.AMD:故意设计让Radeon RX 6500 XT不适合加密货币挖矿;

4.印度央行创建金融科技部用于研发 CBDC;

5.人民大会堂巨幅壁画《长江三峡》数字藏品启动发售;

6.哈萨克斯坦断网致比特币暴跌,比特币全球算力消失12%;

7.LCX 交易所遭黑客攻击,损失或超 600 万美元;

8.中国科学院院士何积丰:元宇宙很难实现真正的孪生;[2022/1/9 8:35:56]

随后慢雾团队给出细节描述:

金色晨讯 | 12月31日隔夜重要动态一览:21:00-7:00关键词:工信部、以太坊Virgil、BCH、哈希率

1. 工信部信软司将大力推动区块链与经济社会深度融合。

2. 以太坊开发者Virgil Griffith将被保释至阿拉巴马州。

3. 教育部陈钟:区块链的技术内涵需要映射到社会治理的意义上。

4. 经济日报:深圳加快推进“数字政府”建设。

5. 未知矿工的BCH哈希率突涨至68.75%。

6. BTC现报7317美元,24小时下跌1.50%,市值为1326.82亿美元。[2019/12/31]

1. 本次攻击的核心在于 EthCrossChainManager 合约的 verifyHeaderAndExecuteTx 函数可以通过 _executeCrossChainTx 函数执行具体的跨链交易。

分析 | 金色盘面:USDT溢价指数较昨日有所降低:金色盘面综合分析:USDT溢价指数较昨日有所降低,回到100以下,意味着长期来看散户资金进场动力不高。今日凌晨开始出现小幅上涨,短期内对大盘有支撑作用。[2018/8/27]

2. 由于 EthCrossChainData 合约的 owner 为 EthCrossChainManager 合约,因此 EthCrossChainManager 合约可以通过调用 EthCrossChainData 合约的 putCurEpochConPubKeyBytes 函数修改合约的 keeper。 

3. 其中 EthCrossChainManager 合约的 verifyHeaderAndExecuteTx 函数是可以通过内部调用 _executeCrossChainTx 函数执行用户指定的跨链交易,所以攻击者只需要通过 verifyHeaderAndExecuteTx 函数传入精心构造的数据来使 _executeCrossChainTx 函数执行调用 EthCrossChainData 合约的 putCurEpochConPubKeyBytes 函数以改变 keeper 角色为攻击者指定的地址。  

金色快评?| 比特币作为资产已在多国达成共识:据cryptovest报道,保加利亚当局在打击该国非法活动中收缴了很多比特币,这是因为许多犯罪活动都是用比特币支付的。目前,保加利亚政府已收缴了213519枚比特币,价值近十五亿美元,相当于该国国债的25%。现在还不清楚保加利亚政府将如何处置这些比特币。但是美国政府对于收缴的比特币通常会采取拍卖的态度。就目前来说,各国政府对于加密货币的态度都较为审慎。多数国家只承认加密货币为资产和商品,几乎没有国家承认其为货币。诺贝尔经济学奖得主、哥伦比亚大学教授Joseph Stiglitz几天前就曾表示,政府当局将对比特币进行打击。Stiglitz称,当试图创建一个透明的银行系统时,不可能有一种基于保密的支付方式。如果打开一个像比特币一样的漏洞,那么所有罪恶的活动都会经历那个漏洞,没有政府会允许这样做。但是,比特币显然又不是一般的商品,因为其并不具有一般商品的使用价值,它的“使用价值”就是它用于支付的价值。各国政府因此不得不面对一个现实,以比特币为代表的加密货币作为一种支付手段已然被越来越多的个人和组织所认可。尤其当一国政府收缴到大量加密货币时,他们显然很难下决心像对待一样对其进行销毁。?[2018/7/10]

4. 替换完成 keeper 角色地址后,攻击者即可随意构造交易从合约中取出任意数量的资金了。

金色财经讯:巴西和阿根廷比特币社区反对SegWit2x硬分叉。[2017/10/19]

值得注意的是,本次此次被黑的金额是DeFi历史上最大的一笔,共计超 6.1 亿美元转出至 3 个地址。受此影响 O3 Swap 跨链池大额资产被转出。目前,安全团队梳理发现,黑客初始的资金来源是门罗币(XMR),然后在交易所里换成了 BNB/ETH/MATIC 等币种并分别提币到 3 个地址,不久后在 3 条链上发动攻击。 结合资金流向及多项指纹信息可以发现,这很可能是一次蓄谋已久的、有组织有准备的攻击行为。 

事件发生后,Tether 已冻结 Poly Network 攻击者地址上的 3300 万 USDT。截止发稿,攻击者也回应,如果我转移了剩余的币,那将是十亿美金级别的攻击。我刚刚是拯救了这个项目吗?我对金钱不太感兴趣,现在考虑归还一些代币,或者将它们留在此处。随后该攻击者还称,如果我制作一个新的代币并让DAO决定代币的去向会怎样?

随着事件的发酵,8月11日,攻击Poly Network的黑客在区块高度 13001631 转账中又表示,已决定归还资产,不再创建 DAO 组织。同时,在描述中,黑客自称为传奇。

尽管黑客已决定归还资产,但有关DeFi安全的讨论还在继续。事实上,随着DeFi的爆发式发展,相关安全事件频发,跨链攻击也不在少数。此前,Rari Capital就在跨链攻击事件中损失1500万美元。有分析声音就此指出,DeFi协议之间的互操作性变得越来越复杂,相关的攻击媒介也在增多,预计相关攻击也会增加。

Roxe支付网络技术VP Jesse对此指出,DeFi本来就是个黑暗森林,很多别有用心的人一直都在暗中虎视眈眈,甚至有些漏洞发现后,攻击者只是在等更合适的机会,并不一定会急于出手,就像病的潜伏期一样,在等更大的利益机会,未知的漏洞一定还有很多,只是还未爆发而已。

有市场声音担心,DeFi安全如果始终无法妥善处理,可能会打击行业的信心。当然,另一方面可能会加快全球对行业监管。Roxe支付网络技术VP Jesse表示,从长期看,监管是必须的,随着区块链行业的不断成熟,各国也一定会加强监管,这也是行业成熟的标记。无监管的混乱除早期带来的所谓自由的快感,随后一定会被少量的各类地下组织利用,从而损害大众的利益。虽然有时候我们不喜欢政府的监管,但这种监管带来的正面意义要远比负面意义大。

在此背景下,作为普通投资者,应该如何保护好自己的财产?

Roxe支付网络技术VP Jesse指出,区块链一个很大的问题就是亲民性不足,未接触过的人很难理解,从而让区块链变成一个小众游戏。安全性上看似自己掌握自己的资产,但它却要求每个用户自己必须成为安全专家,随时面对来自暗处的黑客攻击。问题是,大众并没有足够的能力去甄别和自我保护,很多时候只能依赖安全公司的审计,但这也不是100%安全的。相对传统行业,DeFi还很年轻,很多东西还不完善,无法像政府背书的银行一样提供良好的安全保障。DeFi最大的优势是去信任,但这份信任是基于代码的,而代码的安全大众又无法有效甄别,而黑客攻击来源于知识的巨大不对等性,这也造成的DeFi的安全不是一个是或否的简单问题。对于DeFi投资者,目前只能保护好自己的私钥,不泄露,防止丢失。另外,尽可能的识别好的项目、识别经审计的合约。

比特派也在相关微博中建议,参与DeFi要用多地址,不同DeFi、不同资产用不同地址区分开来,这样即使某个DeFi项目有危险,也不会影响到你的其他资产。同时也要定期检查钱包地址的授权,不频繁操作的项目要及时收回授权。

标签:ETHCROSSSCHAINpeth18c币在哪里交易crosswayglobaltokenpccschainFESSChain

狗狗币价格热门资讯
HTT:玩转NFT夏季:这份工具宝典值得收藏

与DeFi夏季一样,NFT也正在经历NFT夏季。许多人期待的 DeFi 夏季2.0的到来,现在却变成了 NFT夏季!现在围绕 NFT每天发生的事情太多了,要把住这个蓬勃发展的生态系统不断发生的事.

1900/1/1 0:00:00
DEF:库克金融重磅推出“去中心化”金融领域指数基金

一个正确的投资策略是实现财富增长的关键。然而大多数人既缺乏相关技能,也没有时间去研究股票、债券、加密货币或者其他资产。更何况,在特定的风险偏好范围内找到收益率令人满意的资产本来也不是一件容易事.

1900/1/1 0:00:00
数字货币:研究货币要有结构视角

实践呼唤新的货币理论不知从何时开始,一向神秘且枯燥的货币问题(注意!不是货币政策问题)成为金融界议论的热点,并有成为一般公众话题之势.

1900/1/1 0:00:00
POL:金色前哨 | 慢雾余弦:是否定位出PolyNetwork黑客已不重要 只是阶段性战争结束

8月10日晚上8点38分,跨链协议Poly Network遭到黑客攻击,共计超6.1亿美元加密资产转出至3个地址。被盗资金之巨,使其成为DeFi史上金额最大的一次黑客攻击事件.

1900/1/1 0:00:00
ICE:一文概览 50+加密货币定量分析指标

在之前的一篇文章里,我们简单介绍了目前行业中应用比较广泛的几个指标,即定量分析「四大金刚」,包括价格、交易量、供应量以及市值。本文我们将补充更多介绍更多的数据指标.

1900/1/1 0:00:00
LNT:详解闪电网络的入账容量问题

原文标题:《The Inbound Capacity Problem in the Lightning Network》 几个星期以来.

1900/1/1 0:00:00