宇宙链 宇宙链
Ctrl+D收藏宇宙链
首页 > 火必 > 正文

金色观察|“迷途知返”的黑客与区块链安全隐忧

作者:

时间:1900/1/1 0:00:00

截止到8月11日12时59分,PolyNetwork发生的O3资金池被盗事件,在持续发酵后,似乎有了最终结果。

黑客使用攻击地址“自己给自己”发送交易,在交易附带信息里说到“INEEDASECUREDMULTISIGWALLETFROMYOU”

随后PolyNetwork回复:“Wearepreparingamulti-sigaddresscontrolledbyknownPolyaddresses”并在50分钟后回复了以太坊、BSC、Polygon三条链的接受地址,分别为:

金色虎年开新礼 路虎抽奖倒计时2小时:1月30日20:00,由金色财经推出的虎年开新礼,将迎来最后一轮环节终极大礼路虎车一辆,将在幸运号码池中抽取1个号码,快速报名参加请点击原文链接。[2022/1/30 9:23:33]

ETH:0x71Fb9dB587F6d47Ac8192Cd76110E05B8fd2142f

BSC:0xEEBb0c4a5017bEd8079B88F35528eF2c722b31fc

Polygon:0xA4b291Ed1220310d3120f515B5B7AccaecD66F17

这场漫长的沟通经历差不多15小时,第一次尝试沟通,PolyNetwork尝试取得沟通,并留下了沟通邮箱。2小时后,继续沟通表示,如果归还资产,会因为这次发现安全漏洞给予安全奖励。

金色晚报 | 2月25晚间重要动态一览:12:00-21:00关键词:Coinbase、泰国SEC、查理·芒格、李启威

1. Coinbase已获批将于纳斯达克上市 股票代码为COIN

2. 灰度比特币信托溢价率达历史低点,近几日接近无溢价或负溢价

3. 李启威发布图标推文引发“LTC构建银行业务”猜测

4. Coinbase 资产负债表持有比特币和其他加密资产,将继续投资

5. 查理·芒格:比特币确实是一种人造黄金替代品

6. BitMEX年交易量达1万亿美元

7. 泰国SEC将于3月24日举行加密散户入场规则听证会[2021/2/25 17:52:46]

随后黑客在攻击地址表示,可能会建立一个DAO决定地址中资金的流向。

PolyNetwork再次回复,建立DAO也改变不了资金被盗的事实,如果归还资产,会为黑客提供安全赏金,并且这也会成为历史上最大金额的“白帽”黑客事件而被铭记。

分析 | 金色盘面:BTC/USD 触底反弹:金色盘面综合分析: BTC/USD 在过去24小时振幅较大,市场各种消息满天飞,短线市场风险加剧,应该谨慎对待。[2018/8/23]

随后便是黑客表示自己是传奇,而将退还资产的关键消息的发布。

白帽黑客指正义的黑客,区块链圈很多安全公司的中流砥柱都出自白帽。

也许这次参与的黑客真的如其所说,对钱不感兴趣。

在下午5时左右,Poly公布的Polygon地址收到了101万枚USDC。发稿前,其他地址暂时还没有将资产转入。

但作为区块链从业者、用户来说,面对攻击事件,小概率可以得到善终,大概率是会波及项目和用户资产安全。

此次安全事件发生后,在事件的评论中,有一条极为反讽的评论“讲个笑话,区块链是安全的。”

分析 | 金色盘面:ETH新低:金色盘面分析师表示:ETH-USDT跌破趋势线,创调整新低,成交量萎缩,人气低迷。[2018/8/3]

外行看热闹,内行看门道。

区块链的安全是一个相对概念,而不是一个绝对概念。

在巨额收益的引诱、加密货币无监管、合约设计不成熟的情况下,加密货币网络中的合约漏洞被当成黑客提款机也就不足为奇了。

传统金融领域,安全不仅仅在于软件,更多安全保证在于流程防护。但当全部的流程通过智能合约自动执行的时候,就会出现多个漏洞。

最大的保障变成了代码正确性和安全案例的设计实践。

此次Poly的问题就在于黑客可以控制资金池中管理账户转账的权限,当把转出地址换成黑客自己的地址后,只要向合约发送虚拟的数据转出交易,那资金池的资产就会顺利被转出。

金色财经独家报道 “中国杭州区块链产业园” 启动仪式在杭州未来科技城举行:金色财经前方记者实时报道,4月9日,“中国杭州区块链产业园” 启动仪式在杭州未来科技城举行。据悉,此次启动仪式由浙江杭州未来科技城(海创园)管理委员会主办,浙江省、杭州市、区各级政府领导也受邀莅临此次大会,同时,Grand Shores雄岸基金创始合伙人、暾澜投资董事长姚勇杰,Grand Shores雄岸基金创始合伙人、INBlockchain创始人李笑来, Grand Shores雄岸基金管理合伙人、INBlockchain联合创始人余文卓(老猫)等区块链行业专家和知名人士也将在启动仪式上进行精彩的分享。“中国杭州区块链产业园”将致力于推动杭州成为中国乃至全球区块链学术交流、技术研发、产业落地的中心,汇聚全球行业精英。[2018/4/9]

这个漏洞主要在于,因为设计了一些合约接受某些数据而执行行为的操作,但可以执行这个动作又有多个因素管理,其中有一个因素漏洞被黑客利用了,劫取了“权限”。

这类事件还要有一个理解框架。

其中分为链的安全和合约安全。

一条公链,首先要保证链的安全,即总帐本的安全、交易打包的安全。然后是合约执行的安全。

软件的安全依赖开发者代码的成熟性,正所谓没有绝对安全的系统,只有良莠不齐的开发者。

链的安全是指链上的共识算法设计、基础协议的编写不能有漏洞,其次是基础协议执行的合约没有问题,例如在以太坊上发型代币,其合约是一个基础流程,但如果合约漏洞里有明显的增发漏洞,那极有可能被利用增发代币。

链的安全,主要是共识来保证,比特币使用中本聪共识,以太坊使用Ethash,波卡使用NPOS。其保证的是总帐本不能篡改。合约安全就只能考究其设计问题和编码成熟度了。

所以合约设计者和开发者要严格设计合约,要检查合约的设计漏洞,代码编写漏洞,设计逻辑,以及在业务场景里可能出现的问题。

在这里,我们还是再次通过合约审计的思路,来为大家提供理解合约安全的思路。

安全审计团队拿到审计需求后,会先用团队内部的安全审计工具过一遍,不过工具是一个辅助,然后进行人工审计,这个流程会按照审计列表将常规漏洞点审计一遍。

然后进行业务上的审计,其中包含什么业务场景、业务规模、业务逻辑。然后业务的描述如何,看代码里是否有和描述功能不一致,是否会被薅羊毛,代币是否有被锁,权限设置错误问题,是否会增发或无限铸币等等。

但这些流程进行完毕后,上文讲到,代码的安全要看代码编写成熟度,而不同开发者因为其惊艳,对合约的判断也不同,再加上智能合约的特殊性和DeFi业务逻辑复杂性,代码审计必须要进行交叉审计,相互审查的。

就像Poly的以太坊合约问题,其在该合约后续的流程上是没问题的,但在黑客看来,通过合约流程前面的一些数据伪造,就控制了其合约转出的权限。也是一种迂回击破的方式了。

或者因为Poly是一个跨链系统,出问题的部分可以称为跨链合约交互部分,这也代表着跨链案例的实践,要逻辑更为严密。

从智能合约的设计来看,绝大部分DeFi合约出问题都出在资产转移、价格计算和权限控制上,因此这些方面开发者需要入手向上延展,并找到这条路径上可能存在的薄弱环节加以防范。

Poly此次是万幸的,黑客可以归还资产,尽管目前归还了一小部分,我们还在等待更多的资产转账。笔者从Poly处获取的消息是,目前合约已经在升级,最优先级的目标是追回用户资产,其他的细节会后续公布。

从黑客公布的消息看,似乎黑客已经接受了Poly提出的安全赏金,也希望在这场博弈里,双方可以快速结束相互的拉扯。就像Poly说的,让这一次安全事件,成为历史上最大的白帽黑客事件。

标签:POLOLYPOLY区块链APOLLO价格polyx币创始团队polydoge币会不会万倍币区块链域名开发

火必热门资讯
“当红炸子鸡”Web3.0大热的背后:关于数据安全、网络犯罪问题的讨论

HOTTALK 想象一种新型互联网,它不仅可以准确地解释你输入的内容,而且可以真正理解你传达的一切,无论是通过文本、语音还是其他媒体,你消费的所有内容都比以往任何时候都更加适合你,它将带着我们进入网络世界的另一个舞台.

1900/1/1 0:00:00
a16z合伙人Chris Dixon:DeFi和NFT之后的下一波区块链应用浪潮

假设你在2009-2012年左右的移动互联网黄金时代是一位雄心勃勃、喜欢冒险的创始人,你开发了一款新的移动应用。那是Uber、WhatsApp、Instagram、Venmo、Snapchat以及许多其它顶级应用诞生的时候.

1900/1/1 0:00:00
DeFi独角兽第二集

上一集为大家介绍了十几个项目,都是属于DeFi协议的范畴,由于上一集还没介绍完整,今天继续接着介绍DeFi独角兽。如果没有阅读DeFi独角兽第一集文章,可以回顾往期文章《DeFi独角兽如何引领行业发展》.

1900/1/1 0:00:00
金色观察 | NFT 那么多却无从下手 看这篇就够了

NFT市场的火爆仍然在继续。这个夏天,NFT彻底出圈,不仅各大拍卖行拍出各种各样的作品,各种运动员、时尚歌手、艺术家、品牌都在争相推出自己的NFT.

1900/1/1 0:00:00
为什么顶级奢侈品牌 LV、Burberry、Gucci纷纷进驻NFT领域?

LV路易威登基于NFT的游戏应用程序随着200周年的临近,奢侈品牌路易威登推出了基于NFT的游戏应用程序“Louis:TheGame”,以庆祝创始人的生日.

1900/1/1 0:00:00
元宇宙是“方块”搭成的?

摘要 本文着眼于一个问题:为什么风靡全球的Roblox、Minecraft都是乐高式的方块搭成的?为什么不能像魔兽一样有精美的人物模型?特立独行,方块构建游戏世界.

1900/1/1 0:00:00