黑客尝试将盗取的部分稳定币存入Curve和Ellipsis进行清洗;项目方正与黑客沟通协商,希望黑客归还被盗资产。
原文标题:《一文读懂PolyNetwork6亿盗币案DeFi历史金额最大全程复盘早有预兆》吴说作者:ColinWu、平兄本期编辑:ColinWu
起始
PolyNetwork自称是全球领先的「轻量级」异构链跨链互操作协议,其独特设计的异构链以及跨链桥技术将通过在源链部署智能合约控制跨链,从协议层一举打通各个异构链之间甚至各个主流公链之间的通信和交易。2020年8月主网上线。PolyNetwork是由Neo、Ontology、Switcheo基金会共同作为创始成员,分布科技作为技术提供方共同发起的跨链组织。
慢雾安全团队梳理发现,黑客初始的资金来源是门罗币(XMR),然后在交易所里换成了BNB/ETH/MATIC等币种并分别提币到3个地址,不久后在3条链上发动攻击。结合资金流向及多项指纹信息可以发现,这很可能是一次蓄谋已久的、有组织有准备的攻击行为。
Gate.io 将于明日16:00上线NUX锁仓理财:据官方公告,“Gate.io 理财宝”牛年超盈理财系列之《NUX锁仓理财(7天)》将于3月10日(明日)16:00开启,总额度73,300 NUX,锁仓7天。[2021/3/9 18:28:32]
攻击启动
1、8月10日晚上8点38分,跨链互操作协议PolyNetwork称遭到攻击,共计超6.1亿美元转出至3个地址。其中,转出至0x0D6e2开头币安智能链地址的资金有超2.5亿美元,转至0xC8a65开头的以太坊地址有超2.7亿美元,转至Polygon地址的有超8500万美元。
其中:
BSC资产:6613枚BNB、87,603,671枚USDC、26,629枚ETH、1,023枚BTCB、32,107,854枚BUSD
Gate.io将于今日上线OXT、SAND交易:据官方公告,Gate.io将于2月20日(今日)12:00上线 Orchid Protocol (OXT) 交易,并于14:00上线 SAND (SAND) 交易。风险提示:请务必注意价格变化,提前调整市场挂单,切勿追高。[2021/2/20 17:33:13]
Polygon资产:85,089,719枚USDC
以太坊资产:96,389,444枚USDC、1,032枚WBTC、673,227枚DAI、43,023枚UNI、14枚renBTC、33,431,197枚USDT、26,109枚WETH、616,082枚FEI
2、9点44分,Tether首席技术官PaoloArdoino发推称,Tether已经冻结攻击PolyNetwork的黑客地址3300万USDT。
Gate.io已开通DASH杠杆交易和理财服务:据官方公告,Gate.io现已开通DASH杠杆交易和理财借出服务,用户可以通过借入DASH的方式做空,或者通过借入USDT的方式做多。
Gate.io的理财和借贷市场是一个用户对用户的借贷平台(有抵押,理财无回本风险),平台不参与任何借贷和放贷。[2020/12/14 15:10:14]
外界不解的是,币安与Circle没有冻结BUSD与USDC,这也直接导致后续1.2亿美金的稳定币被转出。CZ回应没有人能控制BSC,Circle对此没有回应。
币安CEO赵长鹏表示,我们都知道的PolyNetwork盗币案今天发生。虽然没有人控制BSC,但我们正在与所有安全合作伙伴进行协调,以主动提供帮助。无法给出任何,但我们将尽我们所能。
3、9点56分,涉事以太坊地址开头0xC8a65开始尝试将资金存入Curve.fi,开始的几笔交易尝试由于USDT被冻结导致交易失败,随后便只存入DAI和USDC,共存入近一亿的稳定币。
Gate.io已上线CFX/USDT永续合约实盘交易(USDT结算):据官方公告,Gate.io已上线CFX/USDT永续合约实盘交易(USDT结算),支持1-20倍做多和做空操作,杠杆率可以在下单时自行选择。Gate.io永续合约是全球最活跃的区块链资产合约市场之一,日交易量高达8亿美金,结算类型分为“BTC结算永续合约”和“USDT结算永续合约”两种。Gate.io提示:请用户务必在完全了解风险并能承担风险的情况下参与,Gate.io平台不对投资行为承担担保、赔偿等责任。[2020/11/18 21:14:08]
4、10点03分,涉事币安智能链地址开头0x0d6e2又将近1.2亿美元的稳定币转入Curve分叉项目EllipsisFinance。
5、10点27分,涉事以太坊地址开头0xC8a65将此前存入稳定币获得的3CrvLP份额再次兑换为约96,942,061枚DAI。
币赢CoinW平台DeFi币种 STAKE领涨:据币赢行情数据显示,截止今日10:00(GMT+8),平台内DeFi币种今日有波动,STAKE领涨,今日涨幅102.03%,现价11.7568USDT;SWTH今日涨幅45.87%,现价0.078USDT;PLU今日涨幅为41.86%,现价12.74USDT;STA今日涨幅为39.44%,现价0.3355USDT。行情波动较大,请注意风险控制[2020/8/17]
双方沟通
11日凌晨,PolyNetwork发出对黑客的信,表示我们希望与你建立联系,并希望你归还被盗的资产。你盗取的金额在DeFi历史上是最大的一次,任何国家的法律都会把它视为一次重要的经济犯罪,你会遭到追捕。再进行任何的交易对你来说是不明智的。你盗取的资金是成千上万社区成员的财产。你应该与我们对话寻求一个解决方案。
随后黑客回应:如果我转移了剩余的币,那将是十亿美金级别,我难道不是拯救了这个项目?我对金钱不太感兴趣,现在考虑归还一些Token,或者将它们留在此处;如果我制作一个新的代币并让DAO决定代币的去向会怎样。
截止到8月11日上午9点40分,仍没有最新的进展。
原因
安全公司BlockSec发布了最新的分析报告,针对PolyNetwork被攻击事件,BlockSec安全团队初步分析认为,导致攻击发生的原因可能为用于跨链签名的私钥被泄漏或者签名程序有逻辑漏洞导致签署出攻击交易。BlockSec认为,攻击者可能拥有对消息进行签名的合法密钥,这表明签名密钥可能已泄露,或者PolyNetwork的签名过程中存在一个bug,被滥用于对精心制作的消息进行签名。慢雾安全团队分析称是由于跨链合约keeper被修改为黑客制定地址,从而使黑客可以随意构造交易从合约中取出任意数量的资金。
其他
O3作为锁仓量最大的跨链协议之一,早先就已经发生多起有组织的攻击事件,但似乎没有引起PolyNetwork与O3的警惕。O3与PolyNetwork都属于NEO生态,也属于中文地区最大的加密公链之一,近年来往DeFi领域发力。
7月14日巴比特文章指出,在此之前,跨链攻击事件寥寥无几。但在短短半个月内,已出现5起安全事件,损失超过1700万美元。跨链攻击明显增多,这是否意味着黑客正在瞄准跨链协议生态?
TheBlock研究分析师IgorIgamberdiev曾表示,「DeFi协议之间的互操作性变得越来越复杂,因此开辟了新的攻击媒介,并且将来会变得更加频繁。」此外,攻击者成功得手后也会通过跨链桥将资产快速转移,再结合混币服务将资产洗白。
10日晚间谣传甚广的官方私留超级控制权导致监守自盗,可能性并不大。NEO集团实力极为雄厚,并无需要进行如此操作;而如果是内鬼或合作伙伴操作,又会过于容易暴露。
公开资料显示,PolyNetwork的审计由NCCGroup完成,以太坊智能合约审计由Certik完成。
行业人士指出,目前美国金融监管层对DeFi非常关注,中国相关部门也开始予以关注。日前美国SEC指控了首起DeFi案件。此次历史金融最大的DeFi盗币案如果无法善终,一方面可能影响行业对DeFi的信心,另一面可能诱发全球监管对DeFi的打压。
免责声明:作为区块链信息平台,本站所发布文章仅代表作者个人观点,与链闻ChainNews立场无关。文章内的信息、意见等均仅供参考,并非作为或被视为实际投资建议。
以太坊
以太坊
开放的分布式区块链应用平台,通过其专属加密货币Ether以太币提供去中心化的虚拟机,处理点对点合约。允许任何人建立和使用通过区块链技术运行的去中心化应用,没有任何欺诈、审查、第三方监管。以太坊的概念首次在2013至2014年由维塔利克·布特林VitalikButerin受比特币启发后提出,旨在共同构建一个更全球化、更自由、更可靠的互联网。以太坊EthereumETHERC20ERC-20ERC20ERC721ERC-721以太坊2.0以太坊2.0查看更多Curve
尊敬的用户: 应项目方要求,WBF将于2021年8月13日11:00取消BITP的充值即锁仓业务,并对用户持仓的BITP代币进行解锁,届时用户可以自由进行交易,请您做好准备,如有任何问题.
Gate.io“芝麻金融”双币宝理财服务现已推出BTC/USDT、ETH/USDT双币投资理财产品,BTC专区新品持仓期限1-17天,挂钩参考价格为38000-55000美元.
为帮助用户更轻松实现数字资产量化交易,Gate.io量化交易中心全面升级,改名“量化跟单”全新上线,功能及页面全面升级.
为帮助用户更轻松实现数字资产量化交易,Gate.io量化交易中心全面升级,改名“量化跟单”全新上线,功能及页面全面升级.
亲爱的ZT用户: ZT创新板即将上线JASMY,SKT,并开启JASMY/USDT,SKT/USDT交易对.
尊敬的ZT用户: ZT创新板即将上线GALA,并开启GALA/USDT交易对。具体上线时间如下:充值:已开启;交易:2021年8月12日17:30?; GALA 项目简介:GalaGames由游.