8月10日,跨鏈互操作協議Poly Network遭受黑客攻擊。Poly Network發推文稱,經過初步調查,已找到漏洞的原因。黑客利用了合約調用之間的一個漏洞,攻擊不是由傳聞中的單個保管人造成的。同時,Poly Network還發布了至攻擊者的一封信。Poly Network表示,希望建立溝通,并敦促攻擊者歸還被黑資產。此次被黑的金額是Defi歷史上最大的一筆。任何國家的執法部門都會將此視為重大經濟犯罪,攻擊者將受到追捕,再進行任何交易是非常不明智的。被盜資金來自數以萬計的加密社區成員。希望攻擊者與Poly Network團隊交談以制定解決方案。
慢霧團隊回顧攻擊細節指出,主要系因合約漏洞。本次攻擊主要在于 EthCrossChainData 合約的 keeper 可由 EthCrossChainManager 合約進行修改,而 EthCrossChainManager 合約的 verifyHeaderAndExecuteTx 函數又可以通過 _executeCrossChainTx 函數執行用戶傳入的數據。因此攻擊者通過此函數傳入精心構造的數據修改了 EthCrossChainData 合約的 keeper 為攻擊者指定的地址,并非網傳的是由于 keeper 私鑰泄漏導致這一事件的發生。
金色晚報 | 5月2日晚間重要動態一覽:12:00-21:00關鍵詞:韓國、瑞銀、蘇州、V神
1.韓國民主黨立法委員:將于下周初提出加密制度法案臨時提案;
2.瑞銀集團首席經濟學家:比特幣與現代精神背道而馳;
3.以太坊節點數創今年以來新低;
4.蘇州已于5月1日正式開啟“五五購物節”數字人民幣紅包活動;
5.香港潮流媒體Hypebeast旗下電商網站已支持BTC等加密貨幣作為支付方式;
6.Vitalik提出基于Truebit搭建EVM Optimistic Rollup的方案;
7.Chia創始人提醒礦池應做好安全措施 并會支持用戶無縫切換礦池。[2021/5/2 21:18:33]
隨后慢霧團隊給出細節描述:
1. 本次攻擊的核心在于 EthCrossChainManager 合約的 verifyHeaderAndExecuteTx 函數可以通過 _executeCrossChainTx 函數執行具體的跨鏈交易。
金色財經合約行情分析 | BTC維持9300美元上方震蕩,結構穩定:據火幣BTC永續合約行情顯示,截至今日18:00(GMT+8),BTC價格暫報9318美元(+0.03%),20:00(GMT+8)結算資金費率為0.010000%。
BTC在昨晚9點最高觸及9440美元后,今日維持在9300美元上方震蕩。根據火幣交割合約數據,BTC當季合約成交額較昨日繼續增加,持倉量略減,精英多頭占比穩定,當季合約溢價穩定。BTC市場整體結構與昨日相比保持穩定,后續走勢仍待觀察。
USDT于火幣全球站OTC的報價為6.96元,溢價率為-0.62%。[2020/7/22]
2. 由于 EthCrossChainData 合約的 owner 為 EthCrossChainManager 合約,因此 EthCrossChainManager 合約可以通過調用 EthCrossChainData 合約的 putCurEpochConPubKeyBytes 函數修改合約的 keeper。
金色講堂 | 呂國寧:區塊鏈應用場景的三個階段:在今日舉行的金色講堂第19期《2020金融公鏈如何落地》中,Nervos聯合創始人呂國寧表示,現階段,眾多企業在尋找區塊鏈應用場景時,都會選擇存證作為切入點,將區塊鏈視為存證工具來使用。征信,積分,商品溯源,版權保護,數字身份,公益,電子政務等等,我們其實可以發現,早期大家尋求區塊鏈技術落地的時候,大部分場景和應用都是拿來做存證。
第二個階段的典型場景是執行類場景,由于區塊鏈技術發展到了開始支持智能合約,有了智能合約平臺,而智能合約帶來了一個特性叫做確定性執行。拿互聯網上的電子支付舉例,互聯網上的貿易,幾乎都需要借助金融機構作為可資 信賴的第三方來處理電子支付信息。雖然這類系統在絕大多數情況下都運作良好,但是他們都是依賴一個必須被信任的第三方。智能合約的出現,可以讓這種場景不需要第三方信用中介。這是區塊鏈+智能合約實現去中心和,去信任化的由來,所有的場景也都圍繞著一點來開展創新,比如各種 DApp 等。
第三個階段的典型場景是開放式金融。更多詳情見原文鏈接。[2019/12/25]
3. 其中 EthCrossChainManager 合約的 verifyHeaderAndExecuteTx 函數是可以通過內部調用 _executeCrossChainTx 函數執行用戶指定的跨鏈交易,所以攻擊者只需要通過 verifyHeaderAndExecuteTx 函數傳入精心構造的數據來使 _executeCrossChainTx 函數執行調用 EthCrossChainData 合約的 putCurEpochConPubKeyBytes 函數以改變 keeper 角色為攻擊者指定的地址。
分析 | 金色盤面:IOTA跌幅擴大,創出年內新低:金色盤面綜合分析:IOTA跌幅擴大,24小時跌幅達15.25%,并創出年內新低,目前短線阻力變成0.83美元,支撐關注低點0.78美元,繼續下跌風險較大。[2018/8/7]
4. 替換完成 keeper 角色地址后,攻擊者即可隨意構造交易從合約中取出任意數量的資金了。
值得注意的是,本次此次被黑的金額是DeFi歷史上最大的一筆,共計超 6.1 億美元轉出至 3 個地址。受此影響 O3 Swap 跨鏈池大額資產被轉出。目前,安全團隊梳理發現,黑客初始的資金來源是門羅幣(XMR),然后在交易所里換成了 BNB/ETH/MATIC 等幣種并分別提幣到 3 個地址,不久后在 3 條鏈上發動攻擊。 結合資金流向及多項指紋信息可以發現,這很可能是一次蓄謀已久的、有組織有準備的攻擊行為。
金色財經獨家消息:央行內部人士,不鼓勵電力部門為礦場供電:針對1月3日市場傳言央行召開閉門會議,要求限期關停比特幣礦場的傳聞,金色財經獨家獲悉,央行召開的閉門會議,并非要求比特幣礦場全部關停,而是對一些存在用電情況不規范的礦場進行整頓,同時,央行內部人士表態,不鼓勵電力部門為礦場供電。一位四川的比特幣礦場主也透露,目前地方正在進行摸排,要求進行工商登記,同時規范用電行為。[2018/1/3]
事件發生后,Tether 已凍結 Poly Network 攻擊者地址上的 3300 萬 USDT。截止發稿,攻擊者也回應,如果我轉移了剩余的幣,那將是十億美金級別的攻擊。我剛剛是拯救了這個項目嗎?我對金錢不太感興趣,現在考慮歸還一些代幣,或者將它們留在此處。隨后該攻擊者還稱,如果我制作一個新的代幣并讓DAO決定代幣的去向會怎樣?
隨著事件的發酵,8月11日,攻擊Poly Network的黑客在區塊高度 13001631 轉賬中又表示,已決定歸還資產,不再創建 DAO 組織。同時,在描述中,黑客自稱為傳奇。
盡管黑客已決定歸還資產,但有關DeFi安全的討論還在繼續。事實上,隨著DeFi的爆發式發展,相關安全事件頻發,跨鏈攻擊也不在少數。此前,Rari Capital就在跨鏈攻擊事件中損失1500萬美元。有分析聲音就此指出,DeFi協議之間的互操作性變得越來越復雜,相關的攻擊媒介也在增多,預計相關攻擊也會增加。
Roxe支付網絡技術VP Jesse對此指出,DeFi本來就是個黑暗森林,很多別有用心的人一直都在暗中虎視眈眈,甚至有些漏洞發現后,攻擊者只是在等更合適的機會,并不一定會急于出手,就像病的潛伏期一樣,在等更大的利益機會,未知的漏洞一定還有很多,只是還未爆發而已。
有市場聲音擔心,DeFi安全如果始終無法妥善處理,可能會打擊行業的信心。當然,另一方面可能會加快全球對行業監管。Roxe支付網絡技術VP Jesse表示,從長期看,監管是必須的,隨著區塊鏈行業的不斷成熟,各國也一定會加強監管,這也是行業成熟的標記。無監管的混亂除早期帶來的所謂自由的快感,隨后一定會被少量的各類地下組織利用,從而損害大眾的利益。雖然有時候我們不喜歡政府的監管,但這種監管帶來的正面意義要遠比負面意義大。
在此背景下,作為普通投資者,應該如何保護好自己的財產?
Roxe支付網絡技術VP Jesse指出,區塊鏈一個很大的問題就是親民性不足,未接觸過的人很難理解,從而讓區塊鏈變成一個小眾游戲。安全性上看似自己掌握自己的資產,但它卻要求每個用戶自己必須成為安全專家,隨時面對來自暗處的黑客攻擊。問題是,大眾并沒有足夠的能力去甄別和自我保護,很多時候只能依賴安全公司的審計,但這也不是100%安全的。相對傳統行業,DeFi還很年輕,很多東西還不完善,無法像政府背書的銀行一樣提供良好的安全保障。DeFi最大的優勢是去信任,但這份信任是基于代碼的,而代碼的安全大眾又無法有效甄別,而黑客攻擊來源于知識的巨大不對等性,這也造成的DeFi的安全不是一個是或否的簡單問題。對于DeFi投資者,目前只能保護好自己的私鑰,不泄露,防止丟失。另外,盡可能的識別好的項目、識別經審計的合約。
比特派也在相關微博中建議,參與DeFi要用多地址,不同DeFi、不同資產用不同地址區分開來,這樣即使某個DeFi項目有危險,也不會影響到你的其他資產。同時也要定期檢查錢包地址的授權,不頻繁操作的項目要及時收回授權。
金色財經 區塊鏈8月16日訊 根據CoinGecko最近數據顯示,按市值計算,公鏈Solana原生代幣SOL已躋身加密貨幣前10位,目前市值達到177.5億美元.
1900/1/1 0:00:00Axie 經濟目前依賴于在 Axies 需求的驅動下將 ETH 存入生態系統當前的 Axie 需求可能主要由新玩家推動當新玩家增長長期放緩時,如果玩家通常賺取的 ETH 比他們投入游戲的多.
1900/1/1 0:00:00要為網絡「添加智能合約功能」,來自區塊鏈項目Cardano官方的這一新消息提振了其網絡原生Token ADA的市場預期.
1900/1/1 0:00:00近幾個月來,以太坊有大量的新用戶流入,在過去的30天里,有超過300萬個獨立的地址被創建。雖然以太坊生態系統的增長對整個市場來說是積極的,但它也證明了以太坊的一些明顯的缺點.
1900/1/1 0:00:00對新興事物,關注的人總是一方面充滿了期待和興奮,另一方面也充滿了焦慮和疑惑。對投資NFT領域,關注的投資者就有這樣的情緒。最近國內越來越多的人也開始關注NFT代幣了.
1900/1/1 0:00:00趨勢影響整個加密行業并帶動社區發展。這種狀態自2014年以來一直盛行,當時以太坊網絡的推出預示著ICO時代的興起。在短暫的平靜之后,一些新趨勢總是會取代加密貨幣領域中的其他趨勢.
1900/1/1 0:00:00