区块见闻 区块见闻
Ctrl+D收藏区块见闻

IBOX:金色观察|“迷途知返”的黑客与区块链安全隐忧_区块链技术通俗讲解知乎

作者:

时间:

截止到8月11日12时59分,PolyNetwork发生的O3资金池被盗事件,在持续发酵后,似乎有了最终结果。

黑客使用攻击地址“自己给自己”发送交易,在交易附带信息里说到“INEEDASECUREDMULTISIGWALLETFROMYOU”

随后PolyNetwork回复:“Wearepreparingamulti-sigaddresscontrolledbyknownPolyaddresses”并在50分钟后回复了以太坊、BSC、Polygon三条链的接受地址,分别为:

ETH:0x71Fb9dB587F6d47Ac8192Cd76110E05B8fd2142f

金色晨讯 | 7月6日隔夜重要动态一览:21:00-7:00关键词:NFT、美联储、巴克莱银行

1.马云、蔡崇信家族财富管理基金蓝池资本投资NFT开发商Animoca Brands;

2.NFT销售额在今年上半年升至25亿美元;

3.预测美联储7月维持利率在0%-0.25%区间的概率为100%;

4.全球DeFi联盟向FATF提出六项规范DeFi行业的提议;

5.法国央行已与法国巴黎银行等进行第五次CBDC实验;

6.英国银行业巨头巴克莱禁止其用户向币安付款;

7.央行:鼓励银行业金融机构通过区块链等科技手段提升贷款效率;

8.Bitcoin.org遭到大规模DDoS攻击。[2021/7/6 0:29:53]

BSC:0xEEBb0c4a5017bEd8079B88F35528eF2c722b31fc

金色午报 | 12月6日午间重要动态一览:7:00-12:00关键词:稳定币、Flare Networks、Yearn.Finance

1. 印度《经济时报》:税务部门可能会对比特币投资者进行征税。

2. 数据:2020年稳定币供应量增长超3倍。

3. Yearn.Finance核心开发者:yearn v2 vaults已完成部署。

4. 数据:持有1枚ETH以上的钱包地址数量创历史新高,达逾117万个。

5. Mythos Capital创始人:ETH也许是所有加密货币中最被低估的资产。

6. Coinbase将支持Flare Networks的Spark空投。

7. CME杠杆资金净空头未平仓量达两周以来高点。

8. 以太坊研发者:ETH2.0为运行节点创造了一个重要激励机制。[2020/12/6 14:12:11]

Polygon:0xA4b291Ed1220310d3120f515B5B7AccaecD66F17

金色财经行情播报丨BTC下跌反弹 行情区间有所下移:据火币行情显示,今日凌晨BTC加速下跌,最低探至8841USDT,而后震荡整理,14时许开始反弹,局部价格在9050USDT附近。日线图BTC从6月24日开启下跌后,迄今已经连续收跌5日,均线MA5拐头向下构成直接打压,但下午的反弹构成锤子线,多头反击。4小时图反弹承压于均线MA10,9100USDT压力位还待考验。1小时图均线MA10是这一轮下跌的主要节奏,下午改变方向后,多头在8900USDT附近建立阵地,但后市多空搏杀的行情区间应有所下移。截至18:30,主流币的具体表现如下:[2020/6/28]

这场漫长的沟通经历差不多15小时,第一次尝试沟通,PolyNetwork尝试取得沟通,并留下了沟通邮箱。2小时后,继续沟通表示,如果归还资产,会因为这次发现安全漏洞给予安全奖励。

金色沙龙丨吕国宁:区块链和互联网协议的分工和协作模式是互相依存,取长补短:在本期金色沙龙上,Nervos联合创始人吕国宁发言指出:区块链协议相比于互联网协议,核心差别是区块链的协议带有 enforcement 特性,按照中文的说法,区块链带有强制执行的效力。这是互联网协议在设计的时候不曾考虑的一个角度。从历史角度看,互联网底层基础协议, TCP/IP 这个协议支撑了整个互联网信息和通讯,从底层物理层到上层应用层,都依附于这个协议本身。区块链协议则先要考虑协议本身的设计和取舍,然后才是实现,并且协议的上下文环境是去中心化,这导致协议必须带有强制效力才能维持运行。互联网协议解决的是信息流通问题,而区块链解决的事价值流通问题,解决问题的方法是不一样的,区块链和互联网协议的分工和协作的模式,最合适的方式是互相依存,取长补短。[2020/3/25]

随后黑客在攻击地址表示,可能会建立一个DAO决定地址中资金的流向。

金色财经现场报道 首支深圳天使母基金战略投资的区块链专项基金成立:金色财经现场报道 首支深圳天使母基金战略投资的区块链专项基金在2018全球首届万国区块链技术博览会上成立,深圳天使母基金在今年3月24日成立。之前杭州有区块链基金26天内募集100亿元人民币,不过深圳对于区块链产业的投资和关注不弱于杭州,这支区块链专项基金是政府引导,合规打造区块链\"强关系\"生态社群。挖掘和培育优质区块链项目,致力成为行业领导者。 该支基金首期5亿元人民币,深圳市政府出资占比40%,其中深圳天使母基金战略投资2亿元人民币。[2018/4/22]

PolyNetwork再次回复,建立DAO也改变不了资金被盗的事实,如果归还资产,会为黑客提供安全赏金,并且这也会成为历史上最大金额的“白帽”黑客事件而被铭记。

随后便是黑客表示自己是传奇,而将退还资产的关键消息的发布。

白帽黑客指正义的黑客,区块链圈很多安全公司的中流砥柱都出自白帽。

也许这次参与的黑客真的如其所说,对钱不感兴趣。

在下午5时左右,Poly公布的Polygon地址收到了101万枚USDC。发稿前,其他地址暂时还没有将资产转入。

但作为区块链从业者、用户来说,面对攻击事件,小概率可以得到善终,大概率是会波及项目和用户资产安全。

此次安全事件发生后,在事件的评论中,有一条极为反讽的评论“讲个笑话,区块链是安全的。”

外行看热闹,内行看门道。

区块链的安全是一个相对概念,而不是一个绝对概念。

在巨额收益的引诱、加密货币无监管、合约设计不成熟的情况下,加密货币网络中的合约漏洞被当成黑客提款机也就不足为奇了。

传统金融领域,安全不仅仅在于软件,更多安全保证在于流程防护。但当全部的流程通过智能合约自动执行的时候,就会出现多个漏洞。

最大的保障变成了代码正确性和安全案例的设计实践。

此次Poly的问题就在于黑客可以控制资金池中管理账户转账的权限,当把转出地址换成黑客自己的地址后,只要向合约发送虚拟的数据转出交易,那资金池的资产就会顺利被转出。

这个漏洞主要在于,因为设计了一些合约接受某些数据而执行行为的操作,但可以执行这个动作又有多个因素管理,其中有一个因素漏洞被黑客利用了,劫取了“权限”。

这类事件还要有一个理解框架。

其中分为链的安全和合约安全。

一条公链,首先要保证链的安全,即总帐本的安全、交易打包的安全。然后是合约执行的安全。

软件的安全依赖开发者代码的成熟性,正所谓没有绝对安全的系统,只有良莠不齐的开发者。

链的安全是指链上的共识算法设计、基础协议的编写不能有漏洞,其次是基础协议执行的合约没有问题,例如在以太坊上发型代币,其合约是一个基础流程,但如果合约漏洞里有明显的增发漏洞,那极有可能被利用增发代币。

链的安全,主要是共识来保证,比特币使用中本聪共识,以太坊使用Ethash,波卡使用NPOS。其保证的是总帐本不能篡改。合约安全就只能考究其设计问题和编码成熟度了。

所以合约设计者和开发者要严格设计合约,要检查合约的设计漏洞,代码编写漏洞,设计逻辑,以及在业务场景里可能出现的问题。

在这里,我们还是再次通过合约审计的思路,来为大家提供理解合约安全的思路。

安全审计团队拿到审计需求后,会先用团队内部的安全审计工具过一遍,不过工具是一个辅助,然后进行人工审计,这个流程会按照审计列表将常规漏洞点审计一遍。

然后进行业务上的审计,其中包含什么业务场景、业务规模、业务逻辑。然后业务的描述如何,看代码里是否有和描述功能不一致,是否会被薅羊毛,代币是否有被锁,权限设置错误问题,是否会增发或无限铸币等等。

但这些流程进行完毕后,上文讲到,代码的安全要看代码编写成熟度,而不同开发者因为其惊艳,对合约的判断也不同,再加上智能合约的特殊性和DeFi业务逻辑复杂性,代码审计必须要进行交叉审计,相互审查的。

就像Poly的以太坊合约问题,其在该合约后续的流程上是没问题的,但在黑客看来,通过合约流程前面的一些数据伪造,就控制了其合约转出的权限。也是一种迂回击破的方式了。

或者因为Poly是一个跨链系统,出问题的部分可以称为跨链合约交互部分,这也代表着跨链案例的实践,要逻辑更为严密。

从智能合约的设计来看,绝大部分DeFi合约出问题都出在资产转移、价格计算和权限控制上,因此这些方面开发者需要入手向上延展,并找到这条路径上可能存在的薄弱环节加以防范。

Poly此次是万幸的,黑客可以归还资产,尽管目前归还了一小部分,我们还在等待更多的资产转账。笔者从Poly处获取的消息是,目前合约已经在升级,最优先级的目标是追回用户资产,其他的细节会后续公布。

从黑客公布的消息看,似乎黑客已经接受了Poly提出的安全赏金,也希望在这场博弈里,双方可以快速结束相互的拉扯。就像Poly说的,让这一次安全事件,成为历史上最大的白帽黑客事件。

标签:NFTIBOX区块链BOXPIXLS Vault (NFTX)FLOKIBOX价格区块链技术通俗讲解知乎gearbox币前景

比特币价格实时行情热门资讯
WEB:收益分层协议 Gro 如何实现高低两类风险结构产品?_稳定币

稳定币收益协议Gro目前提供低风险储蓄产品PWRD和高风险产品Vault,会使用用户提供的稳定币在第三方DeFi协议获取收益,不同的是,Vault在享受高收益的同时,需要为PWRD充当承保人.

CBD:美联储主席:是否应发行数字货币是个很有趣很有挑战性的问题_超级比特币最新价格

当地时间8月17日,美联储主席鲍威尔与全美教师和学生进行线上市政厅会议。他在会议上表示,目前尚不清楚德尔塔株的蔓延是否会对美国经济产生显著影响.

数字资产:布局NFT平台 加密货币交易所的差异化竞争_binance

从NBA球星勒布朗·詹姆斯的经典扣篮镜头,到推特创始人杰克·多西的历史第一条推文的NFT拍卖,再到加密艺术家Beeple的数字作品《每一天:前5000天》拍出6934万美元的高价.

ETF:巴西推出首只生态友好型比特币 ETF_加密货币

巴西推出了第一个绿色比特币ETF——BITH11,现在股票市场上有4个与加密相关的ETF。巴西在创造与加密货币相关的新投资机会方面继续取得进展.

AME:GameFi 到底是风口还是泡沫?_GAM

在AxieInfinity引爆整个链游市场以来,推动了整个链游版块的极速发展,而Axie也成为整个Dapp领域的巨无霸.

GAME:以太坊半天销毁3000 ETH NFT项目成燃烧大户_1Shoot Game

昨晚,随着以太坊伦敦硬分叉升级的正式完成,EIP-1559的效用已经开始发挥。对于以太坊社区而言,这是一个特殊的时刻,它足足酝酿了2年的时间,而EIP-1559的激活更新了以太坊的费用市场系统,