8月10日,DeFi領域發生了有史以來最大盜竊案——跨鏈互操作協議PolyNetwork遭遇黑客攻擊,總計6.1億美元的加密貨幣被盜,包括3.02億枚USDT、5.5萬枚ETH、2000枚比特幣等若干類代幣,以太坊、BSC、Polygon三條網絡上的資產在30多分鐘內幾乎被洗劫一空。本次黑客入侵事件中,主要的受害者是通過跨鏈聚合器O3Swap進行挖礦的用戶,目前O3Swap已暫停跨鏈功能。圍追堵截VS通風報信PolyNetwork的官方推特發布了遭攻擊聲明,貼出了黑客在不同鏈上的具體地址,并呼吁礦工和加密貨幣交易所將黑客地址的代幣列入黑名單。隨后各方紛紛發聲支援,幣安CEO趙長鵬、OKExCEOJay、虎符CEO王瑞錫等都就此事表態,Tether首席技術官PaoloArdoino發推稱,Tether已經凍結攻擊PolyNetwork的黑客地址3300萬USDT。雖然,黑客的地址已遭到多方的圍追堵截,但黑客仍然“清洗”了一些資產,更戲劇性的是,有社區用戶hanashiro.eth通過交易消息提示黑客USDT已被列入黑名單、不要再使用USDT,之后黑客向hanashiro.eth地址轉入了13.37個ETH作為“回禮”,隨后一眾投機主義者聞訊而來,紛紛向黑客地址發送鏈上信息,試圖通過幫助黑客獲得獎勵,并開始將黑客稱為“Etherhood”。更令人意想不到的是,hanashiro將收到的ETH全部捐了出去,還在鏈上留下了極具文藝氣息的詩句歌詞,更像是在完成一場行為藝術。
WeAbove項目Discord服務器遭到攻擊:金色財經消息,據CertiK監測,WeAbove項目Discord服務器遭到攻擊。請社區用戶在服務器修復之前不要點擊任何鏈接。[2023/2/10 11:59:05]
雙方對話,黑客準備歸還資產PolyNetwork發推文稱,經過初步調查,已找到漏洞的原因。黑客利用了合約調用之間的一個漏洞,攻擊不是由傳聞中的單個保管人造成的。Roxe支付網絡技術VPJesse也認為本次PolyNetwork被盜主要是由于智能合約的代碼漏洞造成的。Jesse指出,DeFi本來就是個黑暗森林,很多別有用心的人一直都在暗中虎視眈眈,甚至有些漏洞被發現后,攻擊者不會立即出手,而是選擇等待更合適的機會,就像病的潛伏期一樣,在等待更大的利益機會。未知的漏洞一定還有很多,只是還未爆發而已。資產被盜后,PolyNetwork試圖與黑客建立溝通,并希望黑客歸還被盜資產,還稱已經檢索到了部分DeFi通證。隨后安全公司慢霧也發布了一份報告稱,他們已經識別了攻擊者的郵箱、IP和設備指紋。另有報告指出,DeFi的資金與中央實體掛鉤,因此,追蹤攻擊者是可能的。
UXD Protocol在Mango攻擊事件中受影響資金近2千萬美元:10月12日消息,據官方消息,Solana生態算穩協議UXD Protocol在Mango攻擊事件中受影響資金總額為19,986,134.9037美元。UXD Protocol表示:“我們的保險基金足以彌補損失。UXD是完全受安全保障的,一旦Mango Markets從漏洞利用中恢復,用戶將可以贖回。保險基金總額為53,527,304.7757美元。UXD Protocol已暫停UXD鑄造以達到風險最小化。一旦我們確認Mango Markets的問題得到解決,將重新啟用鑄幣功能。同時,用戶可以在Jupiter Exchange將UXD換為USDC。對UXD持有者而言,有足夠流動性以面值(par value)兌換USDC。”[2022/10/12 10:32:12]
成都鏈安:Li.Finance遭受攻擊事件分析:金色財經消息,據成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,DEX聚合協議Li.Finance遭黑客攻擊損失約60萬美元,關于本次攻擊,成都鏈安團隊第一時間進行了分析發現:被攻擊合約中的swapAndStartBridgeTokensViaCBridge函數中存在call注入攻擊,可通過構造惡意的數據(_swapData)控制call調用的參數。在本次攻擊事件中,攻擊者惡意構建callTo地址為對應的代幣合約地址,并調用代幣合約的transferFrom函數轉走受害地址的代幣。[2022/3/21 14:08:55]
8月11日凌晨,攻擊PolyNetwork的黑客回應:“如果我轉移了剩余的幣,那將是十億美金級別,我難道不是拯救了這個項目?我對金錢不太感興趣,現在考慮歸還一些Token,或者將它們留在此處”。隨后他又表示,“如果我制作一個新的代幣并讓DAO決定代幣的去向會怎樣。”這份回應帶有些許挑釁。但令人意想不到的是,之后黑客竟然在最新的轉賬中表示,準備歸還資產,但因為無法聯系到PolyNetwork項目方,希望PolyNetwork提供一個多簽錢包。黑客還稱“獲取這么多財富已經是一個傳奇,而拯救世界更是永恒的傳奇,我做出了決定,不再使用DAO。”PolyNetwork官方也立即回應,在以太坊區塊高度13001657向黑客的轉賬中表示,正在準備一個由PolyNetwork控制的公開多簽錢包。至此,這場足以載入區塊鏈安全史冊的黑客攻擊事件,也算是畫上了圓滿的句號,但區塊鏈、DeFi的資金安全卻再一次引發了熱議。
白帽黑客幫助MetaMask網絡釣魚攻擊受害者收回11.7萬美元加密貨幣:一位MetaMask用戶遭遇網絡釣魚攻擊,無意中將其私鑰交給了騙子。一名白帽黑客成功挽救該用戶錢包(持有24萬美元資金)的一半資金。
Reddit用戶“007happyguy”被引導填寫Whitehat熱線表格,并發布其詳細信息。表格的另一端是一些白帽黑客。這是一項臨時服務,如果有空的話,開發者可以選擇回應請求。前ZenGo區塊鏈研究員Alex Manuskin回應了請求。Manuskin做的第一件事是核實該Reddit用戶擁有的錢包,并且確認其沒有試圖獲取其他人的資金。此時他必須通過索要私鑰來訪問錢包。然后他確保騙子不能再從錢包轉移走資金。為了在以太坊進行交易,用戶需要一些ETH來支付交易費用。因此,他確保任何發送至該錢包的ETH都會被自動發送出去。
為了拯救剩余資金,Manuskin使用了Flashbots,這是一種支持開發人員和礦工之間通信的服務。簡而言之,開發人員可以使用Flashbots向礦工發送一個交易“包”,直接包含在一個區塊中,而不是向網絡廣播交易。
之所以有效是有兩個原因。這種情況的主要原因是,如果錢包里沒有任何ETH,任何零交易費用的交易都不會被任何礦工打包。使用Flashbots的情況是,進行了一項復雜的交易,將資金轉移到另一個錢包,并一次性使用其他資金支付給礦工。第二個原因是它更隱蔽。如果任何交易被廣播到公共網絡上,詐騙者就有機會搶先交易。
Manuskin解釋說,編寫定制腳本和執行交易大約需要5-6個小時。時間的長短取決于交易的復雜性以及他以前是否經歷過類似的情況。在騙子開始轉移錢包資金后,Manuskin設法從錢包剩下的12萬美元代幣中挽救了大約11.7萬美元。(The Block)[2021/7/18 0:59:49]
動態 | 波場LuckLambo104競猜游戲持續遭黑客交易回滾攻擊:PeckShield安全盾風控平臺DAppShield監測到昨日10點至23點,TKnzni開頭的黑客通過創建攻擊合約的方式對TGsyJF開頭的LuckLambo104合約地址持續發起交易回滾攻擊,共計獲利6,588個TRX。PeckShield安全人員進一步研究發現,該合約創建于02月01日23點,上線第二天即遭到攻擊,目前合約余額已歸零 。PeckShield在此提醒,DApp開發者在遭受異常攻擊時,應建立一鍵暫停的游戲運營機制,尤其是過濾合約玩家,游戲玩家也應及時停止參與正在受攻擊的游戲,避免造成更大的數字資產損失。[2020/2/3]
Tether凍結USDT,用戶的資產還安全嗎?在本次事件中,Tether的做法及時制止了黑客的清洗行動,但也掀起了“Tether是否應該凍結資產?”“去中心化的邊界在哪里?”的熱議。Roxe支付網絡技術VPJesse表示,中心化和去中心化都各有所長、所短,用戶既希望100%的獨立控制資產,又希望一旦出現問題有人能幫忙找回。正如Tether一直以來飽受中心化質疑和詬病,但每次盜幣、丟幣之后,又不得不借助這些中心化手段來減少損失。相對傳統行業,DeFi發展時間較短,還有很多地方需完善,更無法像政府背書的銀行一樣提供良好的安全保障。DeFi最大的優勢是去信任,但這份信任是基于代碼的,普通用戶并不是安全專家,沒有能力甄別代碼是否安全,只能依賴安全公司的審計,但這并不能保證100%安全。黑客卻具備大量的代碼知識,大多數攻擊正是由于雙方知識的巨大不對等造成的。對于DeFi投資者而言,需保護好自己的私鑰,不泄露,防止丟失。另外,盡可能地選擇好的項目和經過審計的合約。為了避免被攻擊,保護用戶資產安全,RoxeChain在門限密鑰的算法和不同鏈間通訊的互驗性方面進行了改進。對于跨鏈資產,Roxe的結算節點必須遵守Roxe協議來對發出的資產映射請求進行審核。同時,Roxe不僅僅利用純粹的技術手段,還包含一系列的授權和審計機制,來保證授權節點的所有業務都納入周期性審計。同時,為了最大限度的維護Roxe用戶的權益,Roxe在法律監管、合規、個人隱私、反洗錢、反欺詐方面也投入了大量的精力。安全事件頻發,或加快監管靴子落地在幣圈,DeFi是黑客攻擊的重災區。加密貨幣情報公司CipherTrace的報告顯示,今年前7個月,整體加密貨幣欺詐和犯罪已大幅下降,但DeFi黑客造成的損失比去年全年高出了270%。
但此前跨鏈領域的被盜事件并不多見,此次事件表明黑客已經盯上跨鏈賽道。7月以來,ChainSwap兩次遭到攻擊,隨后Anyswap也遭到攻擊,安全事件頻發或許會加快各國監管靴子落地的進程。對此,Roxe支付網絡技術VPJesse表示:“從長遠來看監管是利好行業發展的,隨著區塊鏈行業的不斷成熟,各國加強監管是大勢所趨,這也是行業成熟的標志。”
Tags:ETHPOLOLYPOLYethereal昵稱含義SPOL幣polygon幣matic幣投資機構polyx幣創始團隊
頭條 美國萬通人壽保險公司與NYDIG合作,為其機構客戶提供比特幣敞口美國萬通人壽保險公司通過與紐約數字投資集團的進一步合作,加大了對比特幣的投入.
1900/1/1 0:00:00在國際局勢多變、監管日趨嚴格的形勢下,合規已被許多國家提升到了維護國家經濟安全和國際秩序的戰略高度。在傳統銀行業積極升級合規方案,提升合規風控能力的同時,加密金融領域擁抱合規已成趨勢.
1900/1/1 0:00:00Odaily星球日報聯合36kr、CryproArt.AI、IdleMystic以及騰訊幻核APP、網易區塊鏈、Animoca、DeHorizon、APENFT等眾多深度合作伙伴將于9月初舉辦「.
1900/1/1 0:00:00延伸閱讀:專題|第一屆OdailyNFT線上加密狂歡節NFT榜單評選2021年,在NFT的風口效應之下,鏈游、加密藝術、IP賦能等細分領域創新不斷,元宇宙更是成為行業的終極愿景.
1900/1/1 0:00:00DeFi周報是Odaily星球日報聯合全球Defi孵化工場DeFictory、區塊鏈營銷咨詢公司WXY、數據提供方OKLink、內容合作方BlockArk推出的一檔欄目.
1900/1/1 0:00:00DeFi期貨合約領域在發展如今的DeFi,借貸和交易領域已經初步發展起來了,目前三個主要的DeFi借貸協議的未償還貸款量高達220億美元,DEX最近12個月的交易量超過8100億美元.
1900/1/1 0:00:00