宇宙链 宇宙链
Ctrl+D收藏宇宙链
首页 > ICP > 正文

黑客在 Poly Network 狂揽 6.1 亿美元 在线演绎花式 DeFi 出金

作者:

时间:1900/1/1 0:00:00

8月10日,异构跨链协议PolyNetwork遭到攻击,损失达到6.1亿美元,包含2,857ETH、9,630万USDC、26,000WETH、1,000WBTC、3,340万USDT、2,590亿SHIB、14renBTC、673,000DAI和43,000UNI转至以太坊,6,600BNB、8,760万USDC、26,600ETH、1,000BTCb、3,210万BUSD转至BSC,8,500万USDC转至Polygon。

PeckShield「派盾」第一时间定位并分析发现,此次攻击源于合约漏洞。

Poly Network攻击黑客在多条链上铸造超340亿美元资产:7月2日消息,据 Beosin Alert 监测,跨链互操作协议 Poly Network 攻击黑客在多条链上铸造了超过 340 亿美元的资产,其中部分被盗资金(约合 80 万美元)被转移至以太坊地址:0xe0Afadad1d93704761c8550F21A53DE3468Ba599。

此前报道,Poly Network 在 2021 年曾遭黑客攻击被盗 6 亿美元。[2023/7/2 22:13:02]

据了解,PolyNetwork是由小蚁Neo、本体Ontology、Switcheo基金会共同作为创始成员,分布科技作为技术提供方共同发起的跨链组织。

黑客如何狂揽6.1亿美元?

PeckShield「派盾」简述攻击过程:

加密黑客在2022年的三个季度内盗取了超过25亿美元:金色财经报道,根据Atlas进行的分析结果,在2022年第三季度,尽管最近一个季度的区块链黑客数量与第二季度相比下降了43%,但黑客成功窃取了总计约4.83亿美元的资金,在三个季度中,区块链黑客损失的总金额为 2,570,117,825 美元,损失的金额是根据黑客或欺诈发生时特定加密货币的兑换率确定的。[2022/10/26 11:45:44]

PolyNetwork中有一特权合约EthCrossChainManager,此合约主要用于触发来自其他链的信息。

在跨链交易中,任何人都可调用verifyHeaderAndExecuteTx来执行跨链交易,这个函数主要有三个作用:一是通过检验签名来验证区块头是否正确,二是利用默克尔树来验证交易是否包含在该区块中,三是调用函数_executeCrossChainTx,即目标合约。

匿名黑客在暗网出售1.29亿俄罗斯车主的数据以获取比特币:援引俄罗斯媒体RBC报道称,匿名黑客获取了超过1.29亿俄罗斯车主的数据,并将其暴露在“暗网”上,以获取加密货币。据报道,泄露的信息包括数百万俄罗斯汽车司机的全名、地址、护照号码和其他数据。当地一家汽车共享公司的一名员工证实了数据的真实性。RBC援引当地媒体Vedomosti 的报告称,泄露的数据将以加密货币的形式出售,数据库的完整版本为0.3 BTC。报告指出,黑客还提出以1.5 BTC(14400美元)的价格购买一些“独家”数据。(Cointelegraph)[2020/5/15]

此次攻击事件源于PolyNetwork允许调用目标合约,但在此过程中没有限制用户调用EthCrossChainData合约,该合约可追踪来自其他链上数据的公钥列表,即便在没有盗取公钥的情况下,如果你已经获取了修改公钥列表的权限,那么只需要设置公钥来匹配自己的私钥,基本上就可以畅通无阻了。

币安创始人赵长鹏:异常交易已完成回滚处理,黑客在此次攻击中损失了货币:币安创始人赵长鹏在其推特上表示:“币安上所有异常交易已完成回滚处理。充值、交易和提现均已恢复。将会对今日凌晨所发生的事情进行更详细的说明。有趣的是,黑客在此次攻击中损失了货币。我们将把这些币捐给币安慈善。”今日币安出现故障,多名网友反应持有币种被出售,币安也关闭了提现功能。[2018/3/8]

由于用户可通过发送跨链请求EthCrossChainManager合约调用EthCrossChainData合约,来蒙混onlyOwner的检验,此时,用户只需要杜撰一个正确的数据就能触发修改公钥的函数。

黑客在Word文档中插入脚本挖XMR:以色列网络安全公司Votiro的安全研究人员表示,近日,黑客在微软Word文档中插入脚本,来劫持用户的计算机利用其秘密进行XMR(门罗币)的挖矿。这起攻击滥用了微软Word的在线视频功能,该功能允许用户直接将远程视频插入到文档中。由于没有充分的安全措施,黑客一直在使用这项功能插入挖矿劫持脚本,这些脚本耗尽了受害者的CPU,并在视频播放过程中将Monero(XMR)存入后台。[2018/2/23]

接下来,攻击者离得手只有一步之遥,PolyNetwork的合约允许调用任意合约,但是,它只调用与签名哈希对应的合约函数,如上图合约C所示。?

黑客在线演绎花式DeFi出金

8月10日晚20:38PM,PolyNetwork官方在推特上公布攻击事件,并表示,为追回被盗资产,PolyNetwork将采取法律行动,敦促黑客尽快还款,希望相关链上的矿工及各大交易所伸手援助,共同阻止黑客地址所发起的交易。

中心化机构、安全机构多方联动,试图阻止黑客。其中,稳定币USDT的发行方Tether响应极为快速,直接冻结攻击黑客以太坊地址中3,300万USDT。

虽然已有多方积极参与对黑客的围堵,但黑客仍通过各种花式DeFi玩法快速混币,从这一点也可以看出,攻击者是个DeFi高阶玩家。

据PeckShield追踪显示,他先是在以太坊上利用Curve添加9,600万USDC/673,000DAI流动性,又在BSC上利用Curve分叉项目EllipsisFinance添加8,700万USDC/3,200万BUSD流动性;很快,攻击者移除在Curve的流动性,全部兑换为DAI,以防被冻。

年度大戏:吃瓜群众频支招黑客欲还所盗资产

一方面,PolyNetwork在积极与黑客喊话,试图挽回所盗资产;另一方面,“看热闹不嫌事大”的吃瓜群众给黑客支起了招:“不要动用你的USDT,你已经被列入黑名单了。”并收到了黑客馈赠的13.5ETH;眼看着有利可图,吃瓜群众越发积极为黑客出谋划策,更有甚者,留言黑客一些可行的混币措施,试图换取看起来极为可观的回报。

就在各关联方进退无门之时,黑客在区块高度13001578和区块高度13001573中留言表示,准备归还部分资产。在PolyNetwork提供多签钱包几个小时后,PeckShield追踪到黑客开始在Polygon上归还部分USDC,PeckShield将持续关注和追踪相关资产流转情况。

据PeckShield统计,截至目前,2021年第三季度发生的跨链桥安全事件,已造成损失合计逾6.4亿美元,占总损失44.5%。

为何跨链桥频遭攻击?

PeckShield观察发现,跨链协议这个新兴领域,打破了链与链之间的信息孤岛的壁垒,仍需要经受时间的考验。随着近期跨链桥的生态愈发多样化、丰富化,在它上面进行的交易、资金量大幅增长,例如,遭到攻击的PolyNetwork,跨链资产转移的规模已经超过100亿美元,超过22万地址使用该跨链服务,这也就吸引了黑客对于跨链协议的关注,再加上跨链桥本身是黑客资金出逃的重要环节,因此,也会成为黑客攻击的目标。

PeckShield建议设计一定的风控熔断机制,引入第三方安全公司的威胁感知情报和数据态势情报服务,在DeFi安全事件发生时,能够做到第一时间响应安全风险,及时排查封堵安全攻击,避免造成更多的损失;并且应联动行业各方力量,搭建一套完善的资产追踪机制,实时监控相关虚拟货币的流转情况;还要提升运维安全的重视度。

标签:WORPOLPOLYOLYTORJ WorldNapoleonpolygon币matic币投资机构poly币怎么样

ICP热门资讯
一文了解加密货币定量分析“四大金刚”:价格、交易量、供应量以及市值

对于加密货币这样一个新兴行业,行业的蓬勃发展离不开一套科学的研究分析方法。本文将简单介绍目前行业中应用比较广泛的几个指标,即定量分析四大金刚,包括价格、交易量、供应量以及市值。需要注意的是,上述指标主要基于Messari平台.

1900/1/1 0:00:00
外媒:美国新的比特币税收计划可能扼杀更环保的区块链技术

据外媒TheVerge报道,美国参议院正在讨论的两党基础设施法案可能会重塑加密货币世界,因为立法者对区块链系统的各个部分的新税收报告要求进行了辩论.

1900/1/1 0:00:00
区块链技术改进身份和访问管理(IAM)的10种用例

社会的数字化推动着身份的数字化。从健康信息到专业认证,无论是数量、种类还是价值,社会各界对身份信息和证书认证的需求都在增长。以往,身份信息由政府或者私营部门这些第三方进行监测和核实.

1900/1/1 0:00:00
金色观察 | 聚焦央行数字货币热:主要经济体研发进展一览

随着数字化的纵深发展,不同的动机驱动着世界各国及经济体开展CBDC的研发工作。或是为提升国内或国际支付结算效率与安全及金融普惠性,或是为顺应“无现金”社会的发展趋势及丰富货币政策工具,或是为打击违法犯罪行为等,CBDC无疑越来越受到各.

1900/1/1 0:00:00
通往Web3的网关 读懂去中心化域名协议

加密行业正面临来自不同国家的严格监管审查,包括1万亿美元基础设施法案的《加密税收报告》、Uniswap股权代币前端被限制访问,以及来自中国的加密货币禁令.

1900/1/1 0:00:00
没有32个以太坊的我们 该如何质押?

在瞬息万变的加密世界,想要寻求相对稳定的收入简直有点天方夜谭。非要找一个就应该是质押。但以太坊2,0需要32个以太坊才能成为验证者,那么没有32个以太坊的普通人,又应该如何进行质押呢?本文介绍了在以太坊2.0的环境下,没有32个ETH.

1900/1/1 0:00:00