宇宙链 宇宙链
Ctrl+D收藏宇宙链

荣誉、剥削和代码:我们是如何损失了6.1亿美元又把它找回来的

作者:

时间:1900/1/1 0:00:00

发生在8月10日的PolyNetwork攻击事件可能是史上涉及金额最大的一起网络安全事件,超过6.1亿美元的加密资产在15天内被盗并被归还。整个Blockchain行业及所有相关方,和PolyNetwork一起经历了这跌宕起伏的过程。目前所有涉及资产已经全部归还用户,系统功能已经基本恢复至事件前水平,这起事件终于可以落下帷幕。在过去的两周我们也收到很多关于这个事件的询问,在此希望从我们的角度以一个公开透明的方式对此次事件进行一次回顾,以警示我们铭记本次事件,同时也让更多的人了解到整件事情的处理细节,在这次事件中我们也许做的并不完美,但是或许是一点宝贵的经验。

发生了什么

关于事故的具体描述,多家安全机构都进行了评述:1.慢雾:PolyNetwork攻击的分析和问答TheAnalysisandQ&AOfPolyNetworkBeingHackedKelvinfichter关于攻击原因的分析https://twitter.com/kelvinfichter/status/1425290462076747777慢雾:PolyNetwork攻击的总体技术陈述https://slowmist.medium.com/the-root-cause-of-poly-network-being-hacked-ec2ee1b0c68f事发当晚也是我们承受最大压力的一晚,我们尽量做到目标明确,有条不紊解决核心问题:锁定资产,减少社区猜测,建立沟通渠道。l尝试与攻击地址取得联系;https://etherscan.io/tx/0xf6488e1efacd9c280eb91133d04ba357beca8016df8b0b0524b9a2e207b2ad7f,https://twitter.com/PolyNetwork2/status/1425123153009803267l发现漏洞,寻找漏洞修补方案,分析资产去向和攻击者行为;https://twitter.com/PolyNetwork2/status/1425130017546149891,https://twitter.com/SlowMist_Team/status/1425197809058254849l清点受影响资产,联系资产发行方冻结资产,减小不可控制的损失;https://twitter.com/PolyNetwork2/status/1425073987164381196l通知各交易所,关注资金出金意图;l呼吁矿池矿工拦截攻击者试图的交易;https://twitter.com/PolyNetwork2/status/1425090228830842893l向用户、社区和媒体及时传达进展;https://twitter.com/PolyNetwork2/status/1425130017546149891最终进展如下:l通过ETH网络与0x8a地址建立加密沟通渠道;lTether宣布冻结了相关的超3300万USDT资产;https://twitter.com/paoloardoino/status/1425090760609832978l币安,Okex,火币等发布公告,会关注此事件资金流向;https://twitter.com/cz_binance/status/1425091869709570060,https://twitter.com/JayHao8/status/1425094897976193034,https://twitter.com/DujunX/status/1425100770588954626l与USDC,BSC,Polygon,Heco,wBTC,MetaMask等取得联系;lPolyNetwork推特持续发布事件进展,减少用户恐慌情绪,避免非属实的流言。https://twitter.com/PolyNetwork2/status/1425309429935710208去中心化还有很长的路要走

媒体公司Semafor已筹集1900万美元以回购SBF对其投资:5月25日消息,媒体公司Semafor已经从雅虎联合创始人杨致远和KKR&Co联合创始人Henry Kravis等投资者那里筹集了1900万美元,以回购FTX前首席执行官Sam Bankman-Fried(SBF)对其的投资。[2023/5/25 10:38:32]

通过与白帽先生的沟通,双方缓和了情绪,基本信任建立。8月11日,攻击者宣布「准备归还资产」。随后PolyNetwork的收款地址部署完成,8月11日8:43:57AM+UTCPoly团队开始回收第一批退还资产。截止到8月13日,系统收回足够的资产以恢复部分功能,在与白帽先生确认后,项目进入了恢复重建阶段,核心目标还是两点:促成资产收回,快速系统修复。l与白帽先生确认收款流程;https://etherscan.io/tx/0x910b00b2b60b76d7c29a1855f9a1ebf204356eed22498334ddd46e46d96e06c2l向用户承诺将收回全部资产作为首要目标;https://twitter.com/PolyNetwork2/status/1425785007486820368l修复系统漏洞,确保系统的安全性;https://github.com/polynetwork/eth-contracts/pull/12/filesl确认系统重启计划和筹备路线图;https://medium.com/poly-network/poly-network-roadmap-for-the-next-phase-9f84c03c2e53?source=social.tw&_branch_match_id=549963884981436182l开放恢复资产的项目方申请通道;https://twitter.com/PolyNetwork2/status/1427233445185409026l与Tether协商冻结的USDT处理方式;l与社区保持沟通;https://twitter.com/PolyNetwork2/status/1425739339820982275最终进展如下:l回收BSC,Polygon资产;https://twitter.com/PolyNetwork2/status/1425309429935710208l建立共管账户;https://etherscan.io/tx/0xf391ec8d5935d4ec11efb2c8b99ba3586cb0b0f05c5e0b9c44c74a1c40386bd7l完成修复系统漏洞并公布新安全方案;https://twitter.com/PolyNetwork2/status/1426819500263890946l宣布系统重启路线图;https://twitter.om/PolyNetwork2/status/1426490057276280832l确认可恢复功能项目清单并支持功能恢复;https://twitter.com/PolyNetwork2/status/1427839007501680640白帽先生自己也在区块链上阐述了自己此次攻击的原因,过程和给大家的诚恳建议,我们对全文进行了记录:https://docs.google.com/spreadsheets/d/14hMTpPNylZG6DizU3K-fpDbfYZxenI_KtbHpWkdc7VM/edit#gid=0期间,PolyNetwork团队也在经历着前所未有的评议与争论,我们看到最大的争议也同样是白帽先生提出自己最大的顾虑-PolyNetwork的去中心化进程;在此,我们也想为此疑虑做出解释,事实上项目已经在去中心化的路径上探索许久,我们相信去中心化永远是优秀的协议非常重要的一环,如果有兴趣,大家可以关注下:https://github.com/polynetwork/Zion,在半年前,我们已经启动了PolyNetwork的新版本的开发,我们希望未来通过完整的经济模型和治理机制,来保证整个网络的去中心化管理。因为跨链协议不同于单链项目,由于要实现不同特性链之间的互操作性,除了实现安全性要比单链更加复杂外,如何更有效的治理也是一个重要的部分,实现多元化世界的一致性,需要各个相关方进行更加高效的共识。安全就是一切

美SEC对Coinme和相关被告处以近400万美元的罚款:金色财经报道,美国证券交易委员会对总部位于西雅图的 Coinme 和相关被告处以近 400 万美元的罚款,SEC表示,Coinme 的 Up Global 部门和领导这两个实体的 Neil Bergquist 于 2017 年末在以太坊区块链上的 UpToken 首次代币发行中误导了投资者。

SEC 表示,投资者被引导相信 Up Global 将限制 UpToken 的供应,而 Coinme 将创造对 UpToken 的持续需求,为比特币自动柜员机奖励计划提供资金,从而帮助推高 UpToken 的价格。根据监管机构的说法,这些说法具有误导性,它还表示,Up Global 和 Bergquist 错误地告诉投资者此次发行筹集了 1000 万至 1890 万美元,但实际上筹集的资金只有 365 万美元。Coinme 和 Up Global 将总共支付 377 万美元罚款, Bergquist 将支付 15 万美元,35 岁的Bergquist 被禁止担任上市公司高管或董事三年。[2023/4/29 14:34:14]

安全一定不是一蹴而就的事,对于网络安全,此次事件已经凝聚了全行业最直接深刻的体会。https://twitter.com/PolyNetwork2/status/14261973611774935118月15日,在确定并公布恢复计划后,团队开始持续推进和落实路线图中的工作,包括在immunefi的平台上发布了总额为50万美金的安全赏金计划,希望吸引全球安全机构和白帽组织为PolyNetwork的安全助力,当然这只是安全的第一步,系统恢复期内我们也:l邀请白帽先生作为PolyNetwork的首席安全顾问并提供160ETH安全赏金https://twitter.com/PolyNetwork2/status/1427574236483231749l与PeckShield、BlockSecTeam、Beosin(ChengduLianAnTech)等安全机构确认修复和重启方案1)PeckShield:https://peckshield.medium.com/polynetwork-bug-review-and-patch-analysis-88bde84412972)BlockSecTeam:https://blocksecteam.medium.com/the-informal-security-review-of-the-patch-of-the-poly-network-1a0a532b731e3)Beosin(ChengduLianAnTech):https://beosin.medium.com/boesins-analysis-of-the-fix-code-on-poly-network-smart-contracts-a305639ea626https://medium.com/poly-network/latest-updates-aug-20-a12447c6d899https://medium.com/poly-network/latest-updates-aug-19-ed7ab8e5c2f0https://medium.com/poly-network/latest-updates-aug-17-241398d64a40同时我们也想引用白帽先生阐述的对区块链安全的一些建议,我们觉得在一定程度上是中肯客观的。https://etherscan.io/tx/0x078063e9574e1937a64b6552919b9fc0035429df1e601d79e200bf211e75f337https://etherscan.io/tx/0x42446ccc66bb48eac7bd905ae7d79708f303849802b280eb4d65770c1bfc0997我们相信协议的安全始终是重要的一环,但是我们也相信在crypto的世界里,代码之上仍有更广袤和丰富的存在,或许大家有着不同的价值观和知识储备,但是依旧可以公平的参与到这个世界建设和治理里,我们在未来想建立的不仅仅是一个安全的协议,更是一个对所有人公平透明的协议。所有的代币都还给你了所有的故事都会有一个尾声,很欣慰,这次的故事是一个HappyEnding。l8月19日,白帽先生归还了Ethereum上的96,942,063个DAI。l8月22日,除wBTC和ETH资产已尽数归还。PolyNetwork开始进行稳定币的资产清点和复原,以协助O3Hub的功能恢复。l8月23日完成了白帽先生返回的96,942,063个DAI与USDC之间的转换,同时将BSC上的87,557,051个BUSD转换为USDC(BEP-20)。对于在交易中产生的滑点损耗和手续费,PolyNetwork团队用自有资金进行补偿。https://etherscan.io/tx/0x814e6a21c8eb34b62a05c1d0b14ee932873c62ef3c8575dc49bcf12004714edahttps://medium.com/poly-network/latest-updates-aug-23-7f6cca47b574l8月23日白帽先生公布了多签钱包的私钥。https://twitter.com/PolyNetwork2/status/1429738587046563841l8月25日,此次攻击事件受影响的WBTC和ETH资产全部恢复。https://twitter.com/PolyNetwork2/status/1430485302527741954l同日,Tether将此前冻结的33,431,200USDT资产全数释放至PolyNetwork接收资产的多签钱包内。https://twitter.com/Tether_to/status/1430510652582416387l8月26日,PolyNetwork完成USDT资产的复原工作。至此,所有受此次攻击事件影响的资产恢复完毕。https://medium.com/poly-network/poly-network-asset-recovery-complete-a7ba33c2f2e4

BTC全网难度预计将在下次调整中首破40 T:金色财经报道,据BTC.com数据显示,比特币全网难度预计将在下次调整中增长4.65%,达到40.98 T,若按预期进行,则下次调整将是比特币全网难度首次突破40 T。

此前比特币全网难度39.35 T高点发生在1月29日,当前距离下次难度调整还有约8天21小时。[2023/2/16 12:10:34]

谢谢大家支持我们

这个故事到了一个尾声,但是对于我们来说却是下一个征程的开始,在新的征程开始之前,我们想对所有使用PolyNetwork的项目和用户,表示诚挚的感谢和深切的歉意。很抱歉由于系统漏洞给所有用户带来的困扰。感谢你们对项目的信任,虽然我们有可能会失去了一部分曾经相信我们的人,但我们会用之后的行动重新建立大家对项目的信心。同时,我们也将会用我们的方式去感谢所有使用过,支持过,一起经历过这次事件的每个人,后续具体的细则我们将在系统完全恢复后在官方渠道公布,请大家保持关注。最后我们想说,项目安全始终是PolyNetwork以及整个行业永恒的主题,希望PolyNetwork事件不仅能帮助我们建设一个更健壮的项目,还能给整个行业带来足够深刻和持久的警示。对于我们来说,这段经历将成为我们永不会忘却的记忆,它不仅仅代表了一个协议的安全,更有关对信任、权力、欲望、责任、信仰新的理解。

Curve Finance:已解决网站漏洞,将指导用户撤销近期合约:金色财经报道,自动化做市商 Curve Finance 在 Twitter 上警告用户其网站存在漏洞,不过 curve.exchange 交易所似乎没有受到攻击的影响,因为它使用了不同的域名系统 (DNS) 提供商。

Curve指出,DNS 服务器提供商 Iwantmyname 很可能被黑客入侵并补充说他们已经更改了其域名服务器,目前该问题已得到解决,将指导用户撤销近期合约。(cointelegraph)[2022/8/10 12:14:34]

“影子银行”一案被告Reginald Fowler已认罪:4月26日消息,在上周提交认罪变更申请后,Reginald Fowler今天承认了银行欺诈、银行欺诈共谋、经营未经许可的资金传输业务、共谋经营未经许可的资金传输业务和电信欺诈。据悉,Fowler被控通过其公司Crypto Capital为加密货币交易所从事“影子银行业务”。(The Block)[2022/4/26 5:11:53]

标签:POLPOLYOLYNETpolkawallet钱包质押POLY Maximuspoly币行情Aztec Network

以太坊价格今日行情热门资讯
Rangers Protocol进度报告02: Rangers Engine改造已完成

萨尔瓦多将在Algorand上启动其政府区块链基础设施:金色财经报道,萨尔瓦多政府与拉丁美洲区块链资产代币化和金融基础设施公司Koibanx签署了一项协议,以在Algorand之上开发其区块链基础设施.

1900/1/1 0:00:00
大卫马库斯:Facebook和Novi钱包如何修复全球支离破碎的支付系统

为什么货币流动的方式必须改变最近在美国有很多关于稳定币、加密货币和其他数字资产的对话和辩论。我很高兴看到讨论获得了动力,尤其是现在。因为改造我们破碎的支付基础设施从未像现在这样紧迫。疫情的大流行加速了全球数字经济的扩张.

1900/1/1 0:00:00
彭博社:比特币跌破这一关键趋势线,需警惕未来走势

Odaily星球日报译者|余顺遂在经历三个月来最好的一周后,比特币正在回吐部分涨幅。策略师们指出,比特币跌破一条关键趋势线,这通常预示着比特币将进一步走弱。比特币已经从上周刚刚达到的近期高点回落,自上周五以来下跌约7%.

1900/1/1 0:00:00
不同声音:解析NFT价值的真与假

自CryptoKitties热潮以来,NFT再次成为关注的中心已经很久了。谷歌趋势指数在不到一个月的时间里从2021年2月的个位数飙升至100,这要归功于佳士得拍卖的艺术家毕普(Beeple)以6900万美元的拍出NFT的创纪录价格.

1900/1/1 0:00:00
Circle和Coinbase共同创立的Centre宣布成立新团队以构建“稳定币全球网络”

Odaily星球日报译者|念银思唐 摘要: -CentreConsortium推出了一个由六名成员组成的新团队,其中包括C级管理人员.

1900/1/1 0:00:00
Perun是什么?| 不一样的「DFINITY」词贴

Perun是一个企业级的区块链Layer2框架,可以无缝集成到企业的区块链解决方案之中。Perun框架具备实时交易、无限可扩展性、增强隐私和低费用等特点,让用户享受到更好的区块链服务.

1900/1/1 0:00:00