火星链 火星链
Ctrl+D收藏火星链

NET:黑客在 Poly Network 狂揽 6.1 亿美元 在线演绎花式 DeFi 出金

作者:

时间:1900/1/1 0:00:00

8 月 10 日,异构跨链协议 Poly Network 遭到攻击,损失达到 6.1 亿美元,包含 2,857 ETH、9,630万 USDC、26,000 WETH、1,000 WBTC、3,340万 USDT、2,590亿 SHIB、14 renBTC、673,000 DAI和 43,000 UNI 转至以太坊,6,600 BNB、8,760万 USDC、26,600 ETH、1,000BTCb、3,210万 BUSD 转至BSC,8,500万 USDC 转至 Polygon。

PeckShield「派盾」第一时间定位并分析发现,此次攻击源于合约漏洞。

PeckShield:黑客在6月窃取了价值约227万美元的NFT,较上月下降23%:金色财经报道,PeckShield分析表示,黑客在6月窃取了价值约227万美元的NFT。较上月下降23%,上月为295万美元。这可以归因于底价下降。一半被盗NFT在盗窃发生后的三个小时内立即在各个市场上出售。Blur等著名NFT市场成为热点,近86%的非法资金被出售,其次是OpenSea,占13.76%。

与此同时,Bored Ape Yacht Club (BAYC)、Otherdeed、Mutant Ape Yacht Club、Azuki Elementals以及DeGods等NFT系列的底价均大幅下跌。从数字资产行业的整体表现来看,6月份是今年第二高的月份。黑客通过42次黑客攻击窃取了超过9200万美元。[2023/7/4 22:16:21]

据了解,Poly Network 是由小蚁 Neo、本体 Ontology、Switcheo 基金会共同作为创始成员,分布科技作为技术提供方共同发起的跨链组织。

加拿大NetWalker勒索软件黑客在美国法庭认罪:6月29日消息,加拿大一名前政府工作人员Sebastien Vachon-Desjardins已经与美国联邦检察官达成协议,承认自己是一个勒索软件团伙的成员。据报道,自2020年以来,该团伙以NetWalker为名号从受害者那里获利4600万美元。

今年3月,Vachon-Desjardins被执法机构逮捕后被从加拿大引渡到佛罗里达州。他们没收了价值2800万美元的比特币,但Vachon-Desjardins的参与程度仍不确定。(BeInCrypto)[2022/6/29 1:40:02]

PeckShield「派盾」简述攻击过程:

攻击Poly Network的黑客在BSC上归还近1.2亿BUSD:PeckShield追踪显示,攻击Poly Network的黑客在BSC上于区块9939700归还近1.2亿BUSD。[2021/8/11 1:49:09]

Poly Network 中有一特权合约 EthCrossChainManager,此合约主要用于触发来自其他链的信息。

在跨链交易中,任何人都可调用 verifyHeaderAndExecuteTx 来执行跨链交易,这个函数主要有三个作用: 一是通过检验签名来验证区块头是否正确,二是利用默克尔树来验证交易是否包含在该区块中,三是调用函数 _executeCrossChainTx,即目标合约。

此次攻击事件源于 Poly Network 允许调用目标合约,但在此过程中没有限制用户调用 EthCrossChainData 合约,该合约可追踪来自其他链上数据的公钥列表,即便在没有盗取公钥的情况下,如果你已经获取了修改公钥列表的权限,那么只需要设置公钥来匹配自己的私钥,基本上就可以畅通无阻了。

动态 | 白猫黑客在2周内修复了加密货币相关公司的20个安全漏洞:据thenextweb报道,根据HackerOne数据,在过去两周(3月14日至28日期间)白帽黑客在七家加密货币相关公司发现了20个软件漏洞,这些公司向白帽黑客发放了至少7400美元的奖励。其中,Omise提交了八份漏洞报告;Crypto.com和Augur各提交了三份;Monero向白帽黑客支付了两次修补费用;ICON处理了一个补丁;Stellar修复了一个漏洞;Robinhood为两个安全修复程序颁发了漏洞奖励。[2019/3/29]

由于用户可通过发送跨链请求 EthCrossChainManager 合约调用 EthCrossChainData 合约,来蒙混 onlyOwner 的检验,此时,用户只需要杜撰一个正确的数据就能触发修改公钥的函数。

币安创始人赵长鹏:异常交易已完成回滚处理,黑客在此次攻击中损失了货币:币安创始人赵长鹏在其推特上表示:“币安上所有异常交易已完成回滚处理。充值、交易和提现均已恢复。将会对今日凌晨所发生的事情进行更详细的说明。有趣的是,黑客在此次攻击中损失了货币。我们将把这些币捐给币安慈善。”今日币安出现故障,多名网友反应持有币种被出售,币安也关闭了提现功能。[2018/3/8]

接下来,攻击者离得手只有一步之遥,Poly Network 的合约允许调用任意合约,但是,它只调用与签名哈希对应的合约函数,如上图合约 C 所示。 

8月10日晚 20:38 PM,Poly Network 官方在推特上公布攻击事件,并表示,为追回被盗资产,Poly Network 将采取法律行动,敦促黑客尽快还款,希望相关链上的矿工及各大交易所伸手援助,共同阻止黑客地址所发起的交易。

中心化机构、安全机构多方联动,试图阻止黑客。其中,稳定币 USDT 的发行方 Tether 响应极为快速,直接冻结攻击黑客以太坊地址中 3,300 万 USDT。

虽然已有多方积极参与对黑客的围堵,但黑客仍通过各种花式 DeFi 玩法快速混币,从这一点也可以看出,攻击者是个 DeFi 高阶玩家。

据 PeckShield 追踪显示,他先是在以太坊上利用 Curve 添加 9,600万 USDC/673,000 DAI 流动性,又在 BSC 上利用 Curve 分叉项目 Ellipsis Finance 添加 8,700万 USDC/3,200万 BUSD 流动性;很快,攻击者移除在 Curve 的流动性,全部兑换为 DAI,以防被冻。

一方面,Poly Network 在积极与黑客喊话,试图挽回所盗资产;另一方面,“看热闹不嫌事大”的吃瓜群众给黑客支起了招:“不要动用你的 USDT,你已经被列入黑名单了。”并收到了黑客馈赠的 13.5 ETH(价值 4.3 万美元);眼看着有利可图,吃瓜群众越发积极为黑客出谋划策,更有甚者,留言黑客一些可行的混币措施,试图换取看起来极为可观的回报。

就在各关联方进退无门之时,黑客在区块高度 13001578 和区块高度 13001573 中留言表示,准备归还部分资产。在 Poly Network 提供多签钱包几个小时后,PeckShield 追踪到黑客开始在 Polygon 上归还部分 USDC,PeckShield 将持续关注和追踪相关资产流转情况。

据 PeckShield 统计,截至目前,2021年第三季度发生的跨链桥安全事件,已造成损失合计逾 6.4 亿美元,占总损失 44.5%。

PeckShield 观察发现,跨链协议这个新兴领域,打破了链与链之间的信息孤岛的壁垒,仍需要经受时间的考验。随着近期跨链桥的生态愈发多样化、丰富化,在它上面进行的交易、资金量大幅增长,例如,遭到攻击的 Poly Network,跨链资产转移的规模已经超过 100 亿美元,超过 22 万地址使用该跨链服务,这也就吸引了黑客对于跨链协议的关注,再加上跨链桥本身是黑客资金出逃的重要环节,因此,也会成为黑客攻击的目标。

PeckShield 建议设计一定的风控熔断机制,引入第三方安全公司的威胁感知情报和数据态势情报服务,在 DeFi 安全事件发生时,能够做到第一时间响应安全风险,及时排查封堵安全攻击,避免造成更多的损失;并且应联动行业各方力量,搭建一套完善的资产追踪机制,实时监控相关虚拟货币的流转情况;还要提升运维安全的重视度。

标签:POLNETPOLYOLYpolkadotted读音MonetasPolypuXPolySwarm

SHIB最新价格热门资讯
NFT:全面解析开源跨链NFT协议Rarible Protocol

8 月 13 日,NFT 市场 Rarible 宣布推出一套开源工具(称为「Rarible Protocol」),以极大地简化 NFT 项目和想法的上线流程.

1900/1/1 0:00:00
NFT:金色DeFi日报 | DeFi用户地址量达317万 为年初时的2.7倍

DeFi数据1.DeFi总市值:1010.2亿美元 市值前十币种排名数据来源DeFiboxDeFi总市值数据来源:Coingecko2.过去24小时去中心化交易所的交易量:46.

1900/1/1 0:00:00
COI:新思路科技2021年全球线上发布会:志“存”高远

企业应用的移动化和智能化趋势十分明显,应用生成的数据类型正在发生变化,图片、视频、语音、文档等非结构化数据占企业总数据量的比重已经成为绝对多数,传统存储在企业数字化转型中已成为瓶颈.

1900/1/1 0:00:00
NFT:FOMO情绪涌入NFT 重蹈动物币崩盘覆辙?

8月23日,支付巨头Visa宣布花费15万美元买入CryptoPunk#7610头像,进一步推动了NFT的大流行.

1900/1/1 0:00:00
RON:弯道超车暴雪?游戏巨头育碧的GameFi野心

对于游戏爱好者来说,育碧(Ubisoft)这个名字并不陌生。作为法国最大的电子游戏开发商和发行商,育碧手上有着大量的AAA级游戏,包括《刺客信条》、《孤岛惊魂》和《看门狗》等等.

1900/1/1 0:00:00
区块链:金色观察 | 聚焦央行数字货币热:主要经济体研发进展一览

随着数字化的纵深发展,不同的动机驱动着世界各国及经济体开展CBDC的研发工作。或是为提升国内或国际支付结算效率与安全及金融普惠性,或是为顺应“无现金”社会的发展趋势及丰富货币政策工具,或是为打击.

1900/1/1 0:00:00