宇宙链 宇宙链
Ctrl+D收藏宇宙链
首页 > 屎币 > 正文

黑客在 Poly Network 狂揽 6.1 亿美元 在线演绎花式 DeFi 出金

作者:

时间:1900/1/1 0:00:00

8 月 10 日,异构跨链协议 Poly Network 遭到攻击,损失达到 6.1 亿美元,包含 2,857 ETH、9,630万 USDC、26,000 WETH、1,000 WBTC、3,340万 USDT、2,590亿 SHIB、14 renBTC、673,000 DAI和 43,000 UNI 转至以太坊,6,600 BNB、8,760万 USDC、26,600 ETH、1,000BTCb、3,210万 BUSD 转至BSC,8,500万 USDC 转至 Polygon。

PeckShield「派盾」第一时间定位并分析发现,此次攻击源于合约漏洞。

外媒:Yearn黑客在攻击过程中偿还了Aave V1版本用户的USDT债务:4月14日消息,Yearn攻击事件的不同之处在于,部分用户没有遭遇损失,反而赚了。前Aave集成负责人Marc Zeller表示,这是因为攻击者使用了闪电贷攻击的方式,并在此过程中偿还了Aave V1版本用户的USDT债务。

在4月12日,也就是该攻击事件发生的前一天,Aave V1协议的USDT借贷池中27%被借出,但截至发稿时,Aave v1协议上借出的USDT金额现在为0美元。根据Aave v1 USDT市场的网站,大约有131万美元USDT可用于流动性。

此前昨日消息,Yearn Finance项目遭受攻击,黑客获利超1000万美元。[2023/4/14 14:03:37]

据了解,Poly Network 是由小蚁 Neo、本体 Ontology、Switcheo 基金会共同作为创始成员,分布科技作为技术提供方共同发起的跨链组织。

CremaFinance:找到了黑客在黑客事件中使用的可疑discord账户:金色财经报道,CremaFinance在社交媒体上称,根据合作伙伴提供的线索,我们找到了黑客在黑客事件中使用的可疑discord账户。我们正在与有关方面接触,以获得更多可能有助于侦查的信息。

金色财经此前报道,CremaFinance被黑客攻击损失约880万美元。[2022/7/4 1:50:09]

PeckShield「派盾」简述攻击过程:

Poly Network 中有一特权合约 EthCrossChainManager,此合约主要用于触发来自其他链的信息。

Gearbox Protocol 已修复白帽黑客在 Immunefi 上提出的漏洞:金色财经消息,DeFi 可组合性杠杆协议 Gearbox Protocol 在推特上宣布,目前已修复白帽黑客在 Immunefi 上提出的漏洞,协议已恢复正常使用。Gearbox 表示,此前发现的漏洞与 Uniswap V3 的适配器相关,目前已部署新的适配器,协议已恢复正常使用,此期间没有资金收到损失。此外,Gearbox 已经向白帽黑客支付了超过 15 万美元的漏洞赏金。[2022/3/27 14:21:08]

在跨链交易中,任何人都可调用 verifyHeaderAndExecuteTx 来执行跨链交易,这个函数主要有三个作用: 一是通过检验签名来验证区块头是否正确,二是利用默克尔树来验证交易是否包含在该区块中,三是调用函数 _executeCrossChainTx,即目标合约。

Peck Shield:黑客在Wolf Game上以0美元的价格购买了3 个价值约1 ETH的NFT:金色财经报道,Peck Shield Alert发推称,我们检测到黑客在区块链游戏Wolf Game上以 0 美元的价格购买3个价值约1 ETH的NFT。[2022/3/4 13:37:22]

此次攻击事件源于 Poly Network 允许调用目标合约,但在此过程中没有限制用户调用 EthCrossChainData 合约,该合约可追踪来自其他链上数据的公钥列表,即便在没有盗取公钥的情况下,如果你已经获取了修改公钥列表的权限,那么只需要设置公钥来匹配自己的私钥,基本上就可以畅通无阻了。

由于用户可通过发送跨链请求 EthCrossChainManager 合约调用 EthCrossChainData 合约,来蒙混 onlyOwner 的检验,此时,用户只需要杜撰一个正确的数据就能触发修改公钥的函数。

动态 | 因巴尔的摩拒绝支付比特币赎金 黑客在推特泄露被盗数据:据cointelegraph消息,因美国巴尔的摩市政府拒绝支付13个比特币的赎金,黑客最近在社交平台泄露了被盗账户的敏感数据。此外,黑客的推特账户声称已向媒体发送了被盗的财务文件和公民个人信息。据市长办公室发言人称,袭击事件中没有任何个人数据被盗。[2019/6/5]

接下来,攻击者离得手只有一步之遥,Poly Network 的合约允许调用任意合约,但是,它只调用与签名哈希对应的合约函数,如上图合约 C 所示。 

8月10日晚 20:38 PM,Poly Network 官方在推特上公布攻击事件,并表示,为追回被盗资产,Poly Network 将采取法律行动,敦促黑客尽快还款,希望相关链上的矿工及各大交易所伸手援助,共同阻止黑客地址所发起的交易。

中心化机构、安全机构多方联动,试图阻止黑客。其中,稳定币 USDT 的发行方 Tether 响应极为快速,直接冻结攻击黑客以太坊地址中 3,300 万 USDT。

虽然已有多方积极参与对黑客的围堵,但黑客仍通过各种花式 DeFi 玩法快速混币,从这一点也可以看出,攻击者是个 DeFi 高阶玩家。

据 PeckShield 追踪显示,他先是在以太坊上利用 Curve 添加 9,600万 USDC/673,000 DAI 流动性,又在 BSC 上利用 Curve 分叉项目 Ellipsis Finance 添加 8,700万 USDC/3,200万 BUSD 流动性;很快,攻击者移除在 Curve 的流动性,全部兑换为 DAI,以防被冻。

一方面,Poly Network 在积极与黑客喊话,试图挽回所盗资产;另一方面,“看热闹不嫌事大”的吃瓜群众给黑客支起了招:“不要动用你的 USDT,你已经被列入黑名单了。”并收到了黑客馈赠的 13.5 ETH(价值 4.3 万美元);眼看着有利可图,吃瓜群众越发积极为黑客出谋划策,更有甚者,留言黑客一些可行的混币措施,试图换取看起来极为可观的回报。

就在各关联方进退无门之时,黑客在区块高度 13001578 和区块高度 13001573 中留言表示,准备归还部分资产。在 Poly Network 提供多签钱包几个小时后,PeckShield 追踪到黑客开始在 Polygon 上归还部分 USDC,PeckShield 将持续关注和追踪相关资产流转情况。

据 PeckShield 统计,截至目前,2021年第三季度发生的跨链桥安全事件,已造成损失合计逾 6.4 亿美元,占总损失 44.5%。

PeckShield 观察发现,跨链协议这个新兴领域,打破了链与链之间的信息孤岛的壁垒,仍需要经受时间的考验。随着近期跨链桥的生态愈发多样化、丰富化,在它上面进行的交易、资金量大幅增长,例如,遭到攻击的 Poly Network,跨链资产转移的规模已经超过 100 亿美元,超过 22 万地址使用该跨链服务,这也就吸引了黑客对于跨链协议的关注,再加上跨链桥本身是黑客资金出逃的重要环节,因此,也会成为黑客攻击的目标。

PeckShield 建议设计一定的风控熔断机制,引入第三方安全公司的威胁感知情报和数据态势情报服务,在 DeFi 安全事件发生时,能够做到第一时间响应安全风险,及时排查封堵安全攻击,避免造成更多的损失;并且应联动行业各方力量,搭建一套完善的资产追踪机制,实时监控相关虚拟货币的流转情况;还要提升运维安全的重视度。

标签:USDPOLYOLYPOLATUSD币Polymath NetworkPOLYX币Akropolis

屎币热门资讯
空投也能割韭菜 这5个隐藏套路你不知道

现在的币圈,即使严打的情况下,还能看到大家整天在各类千奇百怪的群里抢空投。空投,是白捡还是风险?今天就带你了解下。 什么是空投? 其实就是炒作。项目方在上线代币前,他们会分发一部分币,让用户免费领取,增加人气.

1900/1/1 0:00:00
加密货币里的吸血鬼攻击

实际上,吸血鬼攻击是DeFi的一种利用一个协议提供比另一个协议更好的利率以窃取他们的客户和投资者的方法。我相信我们的大多数读者在人生的某个阶段都有过女朋友或男朋友。大部分加密投资者是男性,我会在后续用女朋友举例.

1900/1/1 0:00:00
Axie Infinity的经济模型是否可持续?

原标题:Axie Infinity (AXS) 是否可持续?Axie 经济目前依赖于在 Axies 需求的驱动下将 ETH 存入生态系统。当前的 Axie 需求可能主要由新玩家推动.

1900/1/1 0:00:00
金色前哨 | 比特币算力持续回升 矿工日收入达到2月初水平

继今年6月矿机出海潮后,比特币算力已持续回升。据BTC.com数据,截至8月16日15时,过去一天的平均算力为143.12EH/s,过去三天的平均算力为127.81EH/s,过去7天的平均算力为118.75EH/s.

1900/1/1 0:00:00
CryptoPunks引领的NFT头像热潮

作为最早的NFT项目之一,CryptoPunks 毫无疑问是现今最令人垂涎的 NFT Avatar,其中一个稀有的外星人头像早前在苏富比以1,175万美元的惊人价格售出.

1900/1/1 0:00:00
Coin Metrics报告:NFT 市场 OpenSea 上周每日销售数量逾6万 8月交易量已超10亿美元

加密分析公司 Coin Metrics 发布的一份报告显示,在过去的两周里,NFT的销售量爆炸式增长,远远超过了3月份出现的NFT热潮。最大的NFT市场OpenSea的每日销售数量在过去一周达到了6万的峰值,接近3月份峰值的8倍.

1900/1/1 0:00:00