区块见闻 区块见闻
Ctrl+D收藏区块见闻
首页 > 世界币 > 正文

USD:黑客在 Poly Network 狂揽 6.1 亿美元 在线演绎花式 DeFi 出金_OLY

作者:

时间:

8月10日,异构跨链协议PolyNetwork遭到攻击,损失达到6.1亿美元,包含2,857ETH、9,630万USDC、26,000WETH、1,000WBTC、3,340万USDT、2,590亿SHIB、14renBTC、673,000DAI和43,000UNI转至以太坊,6,600BNB、8,760万USDC、26,600ETH、1,000BTCb、3,210万BUSD转至BSC,8,500万USDC转至Polygon。

PeckShield「派盾」第一时间定位并分析发现,此次攻击源于合约漏洞。

以太坊客户端Geth在最新版本中加入了减少抢先交易的逻辑:以太坊官方客户端Geth在最新的双周维护版本1.9.19中加入了减少抢先交易(front-running)的机制。变更记录中表示,该版本将会在挖矿过程中,按交易收到时间对同价交易进行排序,以减少抢先交易的情况。[2020/8/17]

据了解,PolyNetwork是由小蚁Neo、本体Ontology、Switcheo基金会共同作为创始成员,分布科技作为技术提供方共同发起的跨链组织。

黑客如何狂揽6.1亿美元?

PeckShield「派盾」简述攻击过程:

Coinbase向DeFi网站Uniswap和PoolTogether注入110万美元USDC:金色财经报道,Coinbase周三宣布,已向以太坊上两个最受欢迎的去中心化金融(DeFi)应用程序Uniswap和PoolTogether的资金池投入了110万美元的USDC稳定币。[2020/4/2]

PolyNetwork中有一特权合约EthCrossChainManager,此合约主要用于触发来自其他链的信息。

在跨链交易中,任何人都可调用verifyHeaderAndExecuteTx来执行跨链交易,这个函数主要有三个作用:一是通过检验签名来验证区块头是否正确,二是利用默克尔树来验证交易是否包含在该区块中,三是调用函数_executeCrossChainTx,即目标合约。

动态 | 灰度的ETHE被美国金融业监管局批准在场外交易市场上公开报价:据globenewswire报道,Grayscale Investments,LLC(“灰度”)今天宣布在Graerscale Ethereum中的ETHE(类似股份)被美国金融业监管局(FINRA)批准在场外交易市场上公开报价。ETHE于2017年推出,由Grayscale投资,是一个开放式信托,投资者持有以太坊,并且从以太坊的价值中获得利润。截至2019年4月30日,每股ETHE代表0.09662399以太坊的所有权。[2019/5/23]

此次攻击事件源于PolyNetwork允许调用目标合约,但在此过程中没有限制用户调用EthCrossChainData合约,该合约可追踪来自其他链上数据的公钥列表,即便在没有盗取公钥的情况下,如果你已经获取了修改公钥列表的权限,那么只需要设置公钥来匹配自己的私钥,基本上就可以畅通无阻了。

公告 | 昨日EOS/ETH/TRON?仅10款Dapp新增用户大于100:据RatingDapp和RatingToken大数据监测显示,昨日,EOS/ETH/TRON三大主流公链平台Dapps交易笔数大于零的Dapp款数分别为ETH(252)>EOS(218)>TRON(151);交易笔数大于10000的Dapp总计51款,其中类占58.82%。从新增用户来看,昨日三条公链Dapp新增用户大于100共计10款,环比上周同期下降60%,新增用户TOP3 Dapp分别为Proethers(2508)、IDEX(529)、LIMITLESS(503)。[2019/5/23]

由于用户可通过发送跨链请求EthCrossChainManager合约调用EthCrossChainData合约,来蒙混onlyOwner的检验,此时,用户只需要杜撰一个正确的数据就能触发修改公钥的函数。

行情 | ETH 1小时涨幅超过2.50%:据Bitfinex数据显示,ETH 现报价116.34美元,1小时内涨幅超过2.50%,波动较大,请做好风险控制[2018/11/28]

接下来,攻击者离得手只有一步之遥,PolyNetwork的合约允许调用任意合约,但是,它只调用与签名哈希对应的合约函数,如上图合约C所示。?

黑客在线演绎花式DeFi出金

8月10日晚20:38PM,PolyNetwork官方在推特上公布攻击事件,并表示,为追回被盗资产,PolyNetwork将采取法律行动,敦促黑客尽快还款,希望相关链上的矿工及各大交易所伸手援助,共同阻止黑客地址所发起的交易。

中心化机构、安全机构多方联动,试图阻止黑客。其中,稳定币USDT的发行方Tether响应极为快速,直接冻结攻击黑客以太坊地址中3,300万USDT。

虽然已有多方积极参与对黑客的围堵,但黑客仍通过各种花式DeFi玩法快速混币,从这一点也可以看出,攻击者是个DeFi高阶玩家。

据PeckShield追踪显示,他先是在以太坊上利用Curve添加9,600万USDC/673,000DAI流动性,又在BSC上利用Curve分叉项目EllipsisFinance添加8,700万USDC/3,200万BUSD流动性;很快,攻击者移除在Curve的流动性,全部兑换为DAI,以防被冻。

年度大戏:吃瓜群众频支招黑客欲还所盗资产

一方面,PolyNetwork在积极与黑客喊话,试图挽回所盗资产;另一方面,“看热闹不嫌事大”的吃瓜群众给黑客支起了招:“不要动用你的USDT,你已经被列入黑名单了。”并收到了黑客馈赠的13.5ETH;眼看着有利可图,吃瓜群众越发积极为黑客出谋划策,更有甚者,留言黑客一些可行的混币措施,试图换取看起来极为可观的回报。

就在各关联方进退无门之时,黑客在区块高度13001578和区块高度13001573中留言表示,准备归还部分资产。在PolyNetwork提供多签钱包几个小时后,PeckShield追踪到黑客开始在Polygon上归还部分USDC,PeckShield将持续关注和追踪相关资产流转情况。

据PeckShield统计,截至目前,2021年第三季度发生的跨链桥安全事件,已造成损失合计逾6.4亿美元,占总损失44.5%。

为何跨链桥频遭攻击?

PeckShield观察发现,跨链协议这个新兴领域,打破了链与链之间的信息孤岛的壁垒,仍需要经受时间的考验。随着近期跨链桥的生态愈发多样化、丰富化,在它上面进行的交易、资金量大幅增长,例如,遭到攻击的PolyNetwork,跨链资产转移的规模已经超过100亿美元,超过22万地址使用该跨链服务,这也就吸引了黑客对于跨链协议的关注,再加上跨链桥本身是黑客资金出逃的重要环节,因此,也会成为黑客攻击的目标。

PeckShield建议设计一定的风控熔断机制,引入第三方安全公司的威胁感知情报和数据态势情报服务,在DeFi安全事件发生时,能够做到第一时间响应安全风险,及时排查封堵安全攻击,避免造成更多的损失;并且应联动行业各方力量,搭建一套完善的资产追踪机制,实时监控相关虚拟货币的流转情况;还要提升运维安全的重视度。

标签:ETHUSDPOLYOLYCream ETH 2KXUSDPolySwarmolympus币最新消息

世界币热门资讯
HEC:首发|灵踪安全:对XSURGE受攻击事件的完整回顾_near币价格

由灵踪安全授权,金色财经独家发布。8月17日,灵踪安全的监测系统检查到BSC链上的DeFi协议XSURGE遭到闪电贷攻击。?关于闪电贷攻击,我们在此前的文章中曾经有过多次介绍.

HEC:从投资的“四块基石”分析:币圈存在“价值投资”吗?_IRD

原标题:《价值投资在币圈真的管用吗?》研究机构:MintVentures在各个中文的加密投资聊天群里,“价值投资”常常是一个梗一样的存在,人们往往用它来进行自嘲,当投资者被套牢时.

PEN:ETH回弹的背后:NFT和游戏的爆炸性增长_区块链dapp开发一个多少钱

ETH继续从7月的低点反弹,在网络使用增加的情况下,突破了2500美元。这种兴趣的增加主要是由NFTs和游戏的爆炸性增长推动的.

OLY:Uniswap V1/V2/V3 AMM做市全面解析_Arkane Network

作为DeFi领域的头部去中心化交易所,Uniswap一骑绝尘,稳定占据Dex市场TOP1的席位.

DEFI:DeFi治理之痛:如何避免被寡头裹挟?_NFTS

DeFi治理是近期DeFi行业讨论热度最高的话题之一,从Uniswap通过提案为DeFi教育基金资助100万UNI,到Sushiswap提议向部分投资机构以折扣价出售代币.

DEFI:如何发现一个好的 NFT_EFI

NFT涉及艺术、游戏等等众多门类,是否购买一个NFT通常与个人爱好及品味息息相关。然而,作为一类数字资产,资产属性决定了必然有多种方式可以让我们对其进行主观或客观的评价和估值.