“我对钱没有兴趣。”
“攻击只是为了好玩。”
年度最大DeFi黑客事件,6亿美元盗币案的主角,他的攻击目的最终还是出乎了我们的意料。
是的,有技术,就是任性。
目前,PolyNetwork攻击者已基本退还所有资金,而TA说选择Poly作为攻击目标只是因为跨链是当前的热门。而之所以在攻击后将Poly的代币转移是为了这些资产的安全。
为了好玩?就这?
PolyNetwork项目方以及相关受害者可谓是冒了几十个小时虚汗,心惊胆战了三天啊。
当然,对于成都链安技术团队的分析师来说,黑客搞了这么大的一个事件,当然不能放过一根线索“头发丝”,必须把TA的攻击源头手法揪出来才行!
此前,成都链安技术团队对本次攻击事件进行了深入分析,重现全流程,纯技术讲解可以查看这之前的专业文章:
1年度最大DeFi黑客事件!成都链安关于PolyNetwork被攻击事件全解析
Axie Infinity日活用户数量相比去年11月峰值减少45%:4月5日消息,在3月23日Axie Infinity侧链Ronin黑客攻击事件发生之前,Sky Mavis旗下P2E游戏Axie Infinity的日活用户数就已经出现下滑。
Sky Mavis的最新数据显示,Axie Infinity的每日活跃用户数在去年11月达到峰值,但在2022年3月28日之前已经降至148万,降幅达45%。自去年12月该游戏更新以来以及3月23日当天,用户数量的下降尤为显著。
去年12月,游戏中的实用代币Smooth Love被迅速抛售,价格下跌。Nansen数据记者Martin Lee认为,“每日收入下降,人们对游戏的兴趣也下降了。那些在高点买入的人开始感到恐惧,自然而然地开始产生怀疑。”Lee补充说,玩家正在等待游戏的“Origin”升级,该补丁旨在振兴、改进和增加游戏的深度。
Sky Mavis和Ronin表示,他们将尽快偿还玩家,但没有提供有关其计划如何补偿的详细信息,导致玩家存在担忧并转移到其他游戏,进一步减少了Axie的用户数量。
据此前报道,Ronin跨链桥被攻击,超6亿美元资产被盗。Animoca Brands正与Sky Mavis团队就赔偿Ronin攻击事件受损玩家进行讨论。(Beincrypto)[2022/4/5 14:05:10]
2独家|拨开PolyNetwork攻击事件的迷雾,成都链安成为首家提前找到攻击源头的安全公司
Axie Infinity8月收入超过7月,逼近2亿美元:8月16日,NotBoring Club创始人Packy McCormick在推特称,截止8月16日,AxieIn finity8月收入超2亿美金,已超7月全月收入,创下单月历史新高。[2021/8/16 22:17:41]
对于吃瓜群众而言,技术确实很难看懂,那我们就用更通俗易懂的语言,为大家描述本次攻击事件吧!
把时间拉回到三天前,黑客正在悄无声息的预谋这场策划。
PolyNetwork被攻击事件最早发生于8月10日17:55,黑客在以太坊陆续从PolyNetwork智能合约转移了9638万个USDC、1032个WBTC等资产,总价值超过2.6亿美元。
可能是因为“太好玩”,黑客继续输出。
声音 | Traxion首席执行官:区块链技术将用于众筹平台:据coincryptorama消息,今天Traxion首席执行官Anna Cuisia表示将很快推出使用区块链技术的众筹平台,援助机构可以通过使用区块链技术的众筹平台更好地跟踪其资金分配情况。Cuisia说,除了移动钱包、资金转移和众筹之外,政府还可以使用区块链来保护国民身份证系统中的数据,甚至在选举期间。[2018/11/12]
18:04起,黑客在Polygon从该项目智能合约转移了8508万USDC。
18:08起,黑客在BSC从该项目智能合约转移了8760万个USDC、26629个ETH等资产。
晚间,链必安-区块链安全态势感知平台舆情监测显示,跨链协议PolyNetwork遭受攻击,Ethereum、BinanceChain、Polygon3条链上近6亿美元资金被盗。
此刻成都链安的警报群开始响起来,技术团队成员此刻已经下班在家,大家远程电话开始讨论分析黑客的手段。
讨论刚开始,大家的表情都是:
DCG发言人:该公司不知晓任何美国司法部纽约东区的调查:金色财经报道,美国司法部纽约东区 (EDNY) 和美国证券交易委员会(SEC)的官员正在调查Digital Currency Group (DCG)与该集团旗下子公司Genesis之间的资金流动、财务往来等内部金融交易,他们还在深入研究投资者是否被告知这些交易。报告称,美国司法部纽约东区办事处的检察官已要求DCG和Genesis进行面谈并提供文件,而SEC似乎也处于类似的早期调查阶段。该报告援引知情人士的话称,迄今为止,Genesis和DCG均未“被指控有不当行为。一位熟悉刑事调查的人士表示,美监管机构对DCG的调查在FTX崩溃之前就开始了。
DCG 发言人周五对彭博社表示,该公司不知晓任何 EDNY 调查,而 Genesis 发言人表示,它与监管机构“保持定期对话”,但无法就任何具体问题发表评论。[2023/1/8 11:00:44]
作为不太懂技术的小编,也加入远程沟通之中,那一晚大家都很亢奋,毕竟“抓黑客”这件事,确实很刺激,而作为守护区块链生态安全的成都链安,必须要把这个黑客摸清楚。
只是一整晚过去,ETH资金还没动,也没发币,我司安全团队成员小A说,黑客难道还在睡觉?还没开始行动?
运动品牌茵宝(Umbro)推出The Nations' Collection系列NFT:10月26日消息,运动品牌茵宝(Umbro)宣布推出 NFT 系列The Nations' Collection,每个 NFT 都拥有独特的 UmbroID 并配上著名的 Umbro 标志。NFT 将直接通过Equitbl的Web3市场Dnizn提供,UmbroID 数字馆藏的预注册现已通过 Dnizn 进行。[2022/10/26 11:45:20]
而在当晚,最担忧的还是项目方,PolyNetwork一直在尝试与这位淡定的黑客沟通。
这场漫长的沟通经历差不多15小时,第一次尝试沟通,PolyNetwork留下了沟通邮箱。
2小时后,项目方继续沟通表示,如果归还资产,会因为这次发现安全漏洞给予安全奖励。
那一整晚,黑客策划本次行动之后,还在社区自问自答,比如对钱不感兴趣,攻击只是为了好玩等让大家继续“吃瓜”。
让我们回到本次事件中。
简单来说,事情的经过就是:黑客攻击了一个跨链桥的协议,然后转走6亿美金资产。
先来说什么是”跨链桥协议“?
简单来说,每一个公链就是一个生态,那么在这个生态上发行的代币互换很简单,但是你要和其它公链的币进行互换,就比较麻烦了。
比如今年BSC、HECO、Solana、Near等各大公链出来后,用户在不同公链间进行资产转移的时候流程就非常复杂。
这个有点类似于比如我想把A交易所的币卖掉,去B交易所买另一种币,那我必须先把A交易所的币卖掉换成USDT,再用USDT去买B交易所的另一种币。
为了解决这个问题,跨链桥协议就出来了,就相当于把所有生态链都连接起来。
你想在不同的公链上进行换币操作,那这个跨链桥的协议就自动在后台用程序帮你处理了。
本次受攻击的这个跨链桥协议名字叫O3swap,这是O3Labs团队孵化的跨链聚合交易协议,通过与以太坊、BSC、Heco、Neo等主流公链和Layer2跨链交互,进行多链DEX的流动性聚合,从而实现不同链上主流资产的自由兑换,DeFi用户可以享受快速一键跨链交易的便捷。
那黑客是如何得手的呢?
第一件事情,就是必须找到黑客攻击的源头。
攻击者是如何拿到正常的Keeper的签名的?难道是Keeper私钥泄漏?
成都链安技术团队带着这个疑问进行了深入分析,终于解决了这个疑问。
简单来说就是攻击者利用了一个区块链跨链协议PolyNetwork的技术漏洞,获取了检索加密货币钱包所有者的私钥所需的信息,并最终盗取了链上资产。
攻击完成后,这位攻击者又去进行混币处理,也可以说是一个的过程,让大家无法追踪他的盗币。
反正就是一系列操作,黑客得逞了,然后项目方发现后,直接哭晕在厕所。
怎么办?赶紧联系黑客啊。
PolyNetwork在推特发布了致攻击者的一封信。PolyNetwork表示,希望建立沟通,并敦促攻击者归还被黑资产。此次被黑的金额是DeFi历史上最大的一笔。任何国家的执法部门都会将此视为重大经济犯罪,攻击者将受到追捕,再进行任何交易是非常不明智的。被盗资金来自数以万计的加密社区成员。希望攻击者与PolyNetwork团队交谈以制定解决方案。
但是这位攻击者却很淡定的表示:“如果我转移了剩余的币,那将是十亿美金级别的攻击。我刚刚是拯救了这个项目吗?我对金钱不太感兴趣,现在考虑归还一些代币,或者将它们留在此处。”
8月12日晚,PolyNetwork通过以太坊网络转账留言回复黑客称:
自官方公布被盗之后,无论是项目方还是安全机构、媒体都在时刻关注PolyNetwork事件的最新进展,并尽全力协助冻结追回资金。
在后面几十个小时的时间里,在多方的共同努力与沟通下,PolyNetwork安全事件有了新的进展。
根据消息,这位白帽黑客目前已退还几乎所有被盗资金。
项目方终于松了一口气。
当然,此次事件是对DeFi所有参与者的一次警示,随着DeFi的爆发式发展,相关安全事件频发,跨链攻击也成为很多攻击者的袭击目标。
本次攻击事件主要原因还是中继器对链上跨链消息检验不完善以及合约权限管理逻辑存在问题。成都链安在此提醒各大项目方一定要加强智能合约安全审计。
关于解决智能合约和区块链平台面临的诸多问题,大家可以随时Call成都链安,我们随时在线!
遇到安全事件攻击,我们会用最专业的技术告诉你:
作者|克里斯托弗·康登 编译|白泽研究院 想象一下在美国联邦储备局登录您自己的帐户。使用笔记本电脑或手机,您可以立即在任何地方使用现金。没有中间人,没有费用,无需等待存款或付款清算.
2021年上半年,动物币的火爆令人印象深刻,当时SHIB的价格已经从4月初的0.00000006美元飙升至的0.00004美元.
今天加密市场被一条消息惊呆了:区块链游戏AxieInfinity单日收入超过800万美元。据TokenTerminal数据,NFT+区块链游戏项目AxieInfinity近30天的收入再创新高,
在最近的EthCC2021大会上,ProtocolLabs创始人JuanBenet进行了演讲,阐述了为什么Filecoin和以太坊的结合,能够引领我们走向实现Web3的道路.
近年来,随着NFT在数字资产领域的人气不断上升,越来越多的人开始认识到它所蕴含的巨大价值,NFT具有的独特属性令其成为以数字形式保存人类文化的绝佳方式,围绕着它所构建的各类应用层出不穷.
据外媒报道,投资银行高盛(GoldmanSachs)于本月26日向SEC申请DeFi相关的ETF,不少媒体认为,这将为全球去中心化金融和区块链领域的上市公司提供机会.