宇宙链 宇宙链
Ctrl+D收藏宇宙链
首页 > MEXC > 正文

金色观察 | Poly Network被盗事件再引DeFi安全之争 监管或提上日程?

作者:

时间:1900/1/1 0:00:00

8月10日,跨链互操作协议Poly Network遭受黑客攻击。Poly Network发推文称,经过初步调查,已找到漏洞的原因。黑客利用了合约调用之间的一个漏洞,攻击不是由传闻中的单个保管人造成的。同时,Poly Network还发布了至攻击者的一封信。Poly Network表示,希望建立沟通,并敦促攻击者归还被黑资产。此次被黑的金额是Defi历史上最大的一笔。任何国家的执法部门都会将此视为重大经济犯罪,攻击者将受到追捕,再进行任何交易是非常不明智的。被盗资金来自数以万计的加密社区成员。希望攻击者与Poly Network团队交谈以制定解决方案。

慢雾团队回顾攻击细节指出,主要系因合约漏洞。本次攻击主要在于 EthCrossChainData 合约的 keeper 可由 EthCrossChainManager 合约进行修改,而 EthCrossChainManager 合约的 verifyHeaderAndExecuteTx 函数又可以通过 _executeCrossChainTx 函数执行用户传入的数据。因此攻击者通过此函数传入精心构造的数据修改了 EthCrossChainData 合约的 keeper 为攻击者指定的地址,并非网传的是由于 keeper 私钥泄漏导致这一事件的发生。

金色晚报 | 1月11日晚间重要动态一览:12:00-21:00关键词:重庆市、工信部、东京奥运会、USDT、斯洛文尼亚

1. 重庆市长:2020年重庆将建设以区块链等技术为支撑的赋能平台。

2. 工信部李琰:区块链技术对实现国家治理体系和治理能力现代化有重要作用。

3. 日本参议院原议员滨田和幸:2020年东京奥运会将在多领域应用区块链技术。

4. 监测:Tether链上再次出现超10亿枚USDT的无效转账。

5. 前Coinbase CTO发文:比特币成为技术旗帜。

6. 韦氏评级:以太坊2.0将解决以太坊拥堵这一主要问题。

7. 斯洛文尼亚推出区块链基础设施平台SiChain。

8. 比特币日内窄幅震荡,最高涨至8253.96美元,最低跌至7912.30美元。[2020/1/11]

随后慢雾团队给出细节描述:

金色晨讯 | USDT听证会已结束 法官未做出裁决 称需要更仔细地考虑:1.昨夜比特币巨鲸转移BTC价值超过30亿美元。

2.USDT听证会已结束 法官未做出裁决 称需要更仔细地考虑。

3.Bitfinex:已明确表示不为纽约客户提供服务。

4.Bitfinex:因为Tether不是证券或商品 所以法院没有标的物管辖权。

5.斯洛文尼亚将惩罚从事加密货币挖矿、交易活动而未纳税的个人。

6.澳大利亚财政部新草案引入1万澳元现金支付限额 但豁免数字货币支付。

7.伊朗政府已批准加密采矿作为一项工业活动。

8.Ripple致国会公开信:数字货币有机会补充美元等现有货币,而不是取代它们。

9.Tether 市值突破40亿美金 主要来自以太坊平台大规模增发。

10.台积电获比特大陆急单 紧急追加7纳米产能。[2019/7/30]

1. 本次攻击的核心在于 EthCrossChainManager 合约的 verifyHeaderAndExecuteTx 函数可以通过 _executeCrossChainTx 函数执行具体的跨链交易。

分析 | 金色盘面:通过持仓异常波动发现机会:金色盘面综合分析:据OKEX数据, OKEX的BTC期货合约在今天9:15分出现异常波动,做多账户数量从8点的59%在一个多小时的时间内增加到65%,而我们发现BTC现货价格在9点开始暴力拉升,短短5分钟涨幅超过240美元,而在前一个5分钟价格波动只有10美元,8点到9点价格还微跌了0.4%,这说明多头主力大幅增仓导致后面出现的快速上升行情。[2018/8/22]

2. 由于 EthCrossChainData 合约的 owner 为 EthCrossChainManager 合约,因此 EthCrossChainManager 合约可以通过调用 EthCrossChainData 合约的 putCurEpochConPubKeyBytes 函数修改合约的 keeper。 

金色相对论|币小宝联合创始人刀马:期待的利好政策有五个方面:在本期金色相对论中,关于“行业内最期待的利好政策在哪些方面及未来的展望”这一主题中,币小宝联合创始人刀马这样说道:“资金合法化,证券准入化,行业制度化,退出完善化,利息透明化。这些是行业期待的利好政策的五个方面。健康的市场和良性的竞争,以及合理的经营,并能够完善打磨产品是这个行业最期待的发展。”他同时表示:行业自强也是责任,担心政策不如自强,币圈是上进的,锐意进取的,也是灵活的。[2018/7/27]

3. 其中 EthCrossChainManager 合约的 verifyHeaderAndExecuteTx 函数是可以通过内部调用 _executeCrossChainTx 函数执行用户指定的跨链交易,所以攻击者只需要通过 verifyHeaderAndExecuteTx 函数传入精心构造的数据来使 _executeCrossChainTx 函数执行调用 EthCrossChainData 合约的 putCurEpochConPubKeyBytes 函数以改变 keeper 角色为攻击者指定的地址。  

金色财经讯:沙特王子阿尔瓦利德:比特币将从内部崩塌,认同比特币是“欺诈”。[2017/10/24]

4. 替换完成 keeper 角色地址后,攻击者即可随意构造交易从合约中取出任意数量的资金了。

值得注意的是,本次此次被黑的金额是DeFi历史上最大的一笔,共计超 6.1 亿美元转出至 3 个地址。受此影响 O3 Swap 跨链池大额资产被转出。目前,安全团队梳理发现,黑客初始的资金来源是门罗币(XMR),然后在交易所里换成了 BNB/ETH/MATIC 等币种并分别提币到 3 个地址,不久后在 3 条链上发动攻击。 结合资金流向及多项指纹信息可以发现,这很可能是一次蓄谋已久的、有组织有准备的攻击行为。 

事件发生后,Tether 已冻结 Poly Network 攻击者地址上的 3300 万 USDT。截止发稿,攻击者也回应,如果我转移了剩余的币,那将是十亿美金级别的攻击。我刚刚是拯救了这个项目吗?我对金钱不太感兴趣,现在考虑归还一些代币,或者将它们留在此处。随后该攻击者还称,如果我制作一个新的代币并让DAO决定代币的去向会怎样?

随着事件的发酵,8月11日,攻击Poly Network的黑客在区块高度 13001631 转账中又表示,已决定归还资产,不再创建 DAO 组织。同时,在描述中,黑客自称为传奇。

尽管黑客已决定归还资产,但有关DeFi安全的讨论还在继续。事实上,随着DeFi的爆发式发展,相关安全事件频发,跨链攻击也不在少数。此前,Rari Capital就在跨链攻击事件中损失1500万美元。有分析声音就此指出,DeFi协议之间的互操作性变得越来越复杂,相关的攻击媒介也在增多,预计相关攻击也会增加。

Roxe支付网络技术VP Jesse对此指出,DeFi本来就是个黑暗森林,很多别有用心的人一直都在暗中虎视眈眈,甚至有些漏洞发现后,攻击者只是在等更合适的机会,并不一定会急于出手,就像病的潜伏期一样,在等更大的利益机会,未知的漏洞一定还有很多,只是还未爆发而已。

有市场声音担心,DeFi安全如果始终无法妥善处理,可能会打击行业的信心。当然,另一方面可能会加快全球对行业监管。Roxe支付网络技术VP Jesse表示,从长期看,监管是必须的,随着区块链行业的不断成熟,各国也一定会加强监管,这也是行业成熟的标记。无监管的混乱除早期带来的所谓自由的快感,随后一定会被少量的各类地下组织利用,从而损害大众的利益。虽然有时候我们不喜欢政府的监管,但这种监管带来的正面意义要远比负面意义大。

在此背景下,作为普通投资者,应该如何保护好自己的财产?

Roxe支付网络技术VP Jesse指出,区块链一个很大的问题就是亲民性不足,未接触过的人很难理解,从而让区块链变成一个小众游戏。安全性上看似自己掌握自己的资产,但它却要求每个用户自己必须成为安全专家,随时面对来自暗处的黑客攻击。问题是,大众并没有足够的能力去甄别和自我保护,很多时候只能依赖安全公司的审计,但这也不是100%安全的。相对传统行业,DeFi还很年轻,很多东西还不完善,无法像政府背书的银行一样提供良好的安全保障。DeFi最大的优势是去信任,但这份信任是基于代码的,而代码的安全大众又无法有效甄别,而黑客攻击来源于知识的巨大不对等性,这也造成的DeFi的安全不是一个是或否的简单问题。对于DeFi投资者,目前只能保护好自己的私钥,不泄露,防止丢失。另外,尽可能的识别好的项目、识别经审计的合约。

比特派也在相关微博中建议,参与DeFi要用多地址,不同DeFi、不同资产用不同地址区分开来,这样即使某个DeFi项目有危险,也不会影响到你的其他资产。同时也要定期检查钱包地址的授权,不频繁操作的项目要及时收回授权。

标签:HAIETHCHAAINFLOKICHAINETH2.0币CHART币Chain Flowers

MEXC热门资讯
金色观察丨 Pantera Capital合伙人:我为何会投资数字艺术NFT市场MakersPlace

金色财经 区块链8月13日讯? MakersPlace 是首屈一指的数字艺术 NFT 市场,去年取得了巨大的增长,销售额超过 1 亿美元,独立收藏家数量增加了 10 倍.

1900/1/1 0:00:00
金色DeFi日报 | DeFi协议总锁仓量突破1100亿美元

DeFi数据 1.DeFi总市值:1255.35亿美元 市值前十币种排名数据来源DeFiboxDeFi总市值数据来源:Coingecko2.过去24小时去中心化交易所的交易量:38.

1900/1/1 0:00:00
《扫黑风暴》全集遭泄露 区块链能否破解盗版顽疾

原标题:《扫黑风暴》全集遭泄露,技术手段能否杜绝侵权?日前,热播连续剧《扫黑风暴》送审样片全集版本被曝光网络并在极短时间内广泛传播.

1900/1/1 0:00:00
中小银行抢滩数字人民币 两大接入模式浮现

越来越多商业银行参与数字人民币测试工作。目前已有35家银行嵌入数字人民币App,App相关功能也在近期升级扩容。“通过数字人民币App充值可以发现,近期界面中增加了很多银行,此前仅支持国有六大行。”一位参与测试的上海居民表示.

1900/1/1 0:00:00
一文看懂:最受热捧的合成资产平台之间有哪些区别

合成资产(synthetic assets)只是DeFi的一部分,它模仿传统金融,但移动了链上的一切。虽然交易的产品仍然是一样的:股票、黄金和衍生品,但它们背后的逻辑是全新的。合成资产的创建将传统金融工具的流动性引入了DeFi世界.

1900/1/1 0:00:00
NTNFT:当钱包能记录你的一生

你能想象,在多年后,你所经历过的一切都被记录在链上,你人生中每一个值得被记录的瞬间都永久地保留在了这个世上。那么我们应该用什么载体去记录这一切呢?首先,若想这一切永久保存在世上不被监管、删改,我们需要一个去中心化系统基建.

1900/1/1 0:00:00