買以太坊 買以太坊
Ctrl+D 買以太坊
ads
首頁 > USDC > Info

OLY:Poly Network千萬美元損失攻擊事件分析_POLYX幣

Author:

Time:1900/1/1 0:00:00

2023年7月1日,一名攻擊者利用Poly Network的漏洞,在多條鏈上增發了價值420億美元的資產。盡管發行的資產數量龐大,但因低流動性和部分項目代幣凍結,攻擊者無法從5個外部賬戶地址獲取超過1000萬美元的資產。

這是今年發生的第一起跨鏈橋攻擊事件,也是針對Poly Network發起的第二次攻擊。去年攻擊事件的總損失金額達37億美元,其中跨鏈橋攻擊損失占35%。雖然本次事件看似是有史以來涉案金額最大的漏洞攻擊事件,但黑客的實際收益要低很多。

2023年7月1日北京時間14:47,一名惡意行為者通過發起數筆跨鏈橋交易,將資產從Poly Network的Lock Proxy合約轉至攻擊者的地址。從賬面上看,攻擊者從10條鏈上獲利超420億美元價值的資產。

波卡推出去中心化治理平臺Polkadot OpenGov,支持同時進行多個公投:6月15日消息,波卡推出去中心化且開放的治理平臺Polkadot OpenGov,簡化其治理模型。改進的治理平臺廢除了Polkadot委員會等一等公民,取代Polkadot理事會和技術委員會的是一個名為Polkadot Fellowship的新當選機構,它對網絡沒有實權,也不能更改參數或移動資產,Fellowship有45名成員,并且隨著核心開發人員提交候選資格,該成員可能會繼續增長。

此外,新的治理模型支持同時對多個問題進行投票,一切都由社區直接控制,之前的治理系統一次只能進行一次公投,默認情況下每次公投持續28天,因此一年只能進行12或13次公投。[2023/6/15 21:40:15]

圖片:Poly Network 攻擊者錢包地址。來源:Debank

但其實這個數字具有誤導性。例如,攻擊者在Metis區塊鏈上持有超過340億美元的Poly-pegged BNB和BUSD,但這些代幣因缺乏流動性而無法賣出。后來Metis也在推文中確認,那些新鑄造的BNB和BUSD沒有可用的流動性,因此毫無價值。

Polygon聯合創始人:zkEVM主網啟動日期已確定:金色財經報道,Polygon聯合創始人Sandeep Nailwal發推表示,剛從zkEVM主網啟動高級委員會出來,我們(已經)有主網啟動的日期。此前報道,去年12月Polygon zkEVM上線最終測試網版本,表示這是主網啟動前的最后一步。[2023/1/17 11:15:43]

同樣,大量剩余的代幣也變得一文不值。在聽說了這一事件和攻擊者發行的代幣后,幾個項目均及時采取了刪除流動性的行動,以防止代幣傾銷和價格崩潰。例如,OpenOcean、StackOS、Revomon和NEST都取消了項目的流動性,以防止攻擊者出售。

Revomon推特

P2E游戲Monstropoly與X21 Digital達成合作:1月2日消息,Play-to-Earn游戲Monstropoly與區塊鏈咨詢和投資機構X21 Digital達成合作,X21 Digital將擔任其顧問。[2022/1/3 8:20:53]

盡管420億美元的數字并不能準確反映這次事件所造成的損失,但CertiK已證實至少有1000萬美元的資產被存放在5個以太坊錢包中。

2022年,影響跨鏈橋的安全事件導致了13億美元的經濟損失,而這13億美元僅僅是由五起事件造成的,因此跨鏈橋安全漏洞的破壞力可見一斑。保護跨鏈橋難度較高,再加上它們所具有巨大價值和各種可被利用的攻擊路徑,這些基礎設施往往是惡意行為者的首選目標。跨鏈橋由托管人、發債人、預言機等多種部分組成。由于鎖定在橋上的資金數量龐大,任何錯誤配置、漏洞或惡意利用都可導致重大損失。

可編程保險市場Tidal Finance在Polygon上線主網:可編程保險市場Tidal Finance在二層擴容網絡Polygon上線主網,其初始客戶包括StaFi、XendFinance、Marlin、EasyFi和bZx。Tidal Finance表示將向公開市場推出儲備池挖礦計劃,提供100%的APY以激勵初始流動性提供者,并將使得儲備池中資產達到100萬美元。[2021/7/28 1:19:16]

Poly Network使用“鎖定”(Lock)和“解鎖”(Unlock)函數在不同網絡之間橋接資產。用戶必須先在源鏈上“鎖定”代幣,然后才能在目標鏈上進行“解鎖”。

以下示例是基于從BSC到ETH的跨鏈轉移。

①攻擊者首先在BSC網絡上調用Lock函數,以發起少量8PAY代幣的跨鏈轉移。

公告 | Poloniex推出USDC和USDT的借幣業務 保證金交易將很快上線:據Poloniex交易所官方消息,Poloniex推出USDC和USDT的借幣業務,且只面向非美國和非歐盟客戶。BTC/USDT和BTC/USDC保證金交易將很快上線。[2019/7/31]

圖片:攻擊者使用少量的8PAY代幣發起跨鏈轉移。來源:Etherscan

在這筆交易中,數據被指定為“0x4a14feea0bdd3d07eb6fe305938878c0cadbfa16904214e0afadad1d93704761c8550f21a53de3468ba599e80300000000000000000000000000”開頭“0x4a”四個字節代表數據長度。

②攻擊者調用了EthCrossChainManager.verifyHeaderAndExecuteTx()函數,觸發了相應的UnlockEvent“解鎖”函數。我們可以從開頭表示數據長度的4個字節看出,當前的交易數據已發生改變。

“0x14feea0bdd3d07eb6fe305938878c0cadbfa16904214e0afadad1d93704761c8550f21a53de3468ba59900e00fc80b54905e35ca0d000000000000000000000000000000000000000000“

在這筆交易中,8pay代幣的數量顯著增加。

③攻擊者按照上述步驟重復了這一過程。其中涉及57種代幣,且分布在11個不同的區塊鏈上。攻擊者從中獲利約420億美元的資產(按賬面價值計算)。

圖片:Poly Network攻擊者在以太坊上解鎖的代幣。來源: Etherscan

在以太坊網絡上,攻擊者成功將一些代幣轉換成了ETH。過程如下:

在攻擊期間,攻擊者還通過一筆交易轉移了1592枚ETH(約305萬美元),并將2240枚ETH分別轉至3個EOA外部賬戶。此外,攻擊者還獲取約301萬枚USDC和265萬枚USDT,分別兌換為1557枚和1371枚ETH。

攻擊者將剩余的部分代幣資產轉移到了新的EOA地址,并向每個地址轉移1枚ETH。(盡管他們目前尚未兌出這些代幣)。由于項目所有者為防止拋售而從代幣中移除流動性,一些代幣變得毫無價值。截至目前,攻擊者似乎只能從該事件中獲得約1000萬美元的資金。

圖片:Poly Network攻擊者將資產和數量為1的ETH轉入新的EOA地址

2022年,Web3.0生態系統經歷了跨鏈橋攻擊的毀滅性影響,Ronin Bridge、Wormhole、Nomad等項目都遭受了安全事件的影響。Poly Network事件的初期檢測結果顯示,這是Web生態系統迄今為止遭遇的最大安全事件,但由于新鑄造代幣缺乏流動性支持,損失在撰寫本文時已被控制在大約1000萬美元。目前尚無關于攻擊者如何利用Poly Network的確切共識。然而初步跡象表明,因鏈上功能運行正常,很可能是私鑰泄露或鏈下漏洞導致。

CertiK中文社區

企業專欄

閱讀更多

金色早8點

Odaily星球日報

金色財經

Block unicorn

DAOrayaki

曼昆區塊鏈法律

Tags:POLOLYPOLYETHppoll幣小黃鴨哪個交易所wexpoly幣怎么樣POLYX幣Coinbase Wrapped Staked ETH

USDC
區塊鏈:摩根大通與印度銀行合作進行基于區塊鏈平臺的美元交易結算_區塊鏈存證說法錯誤的是

作者:forkast;編譯:松雪,金色財經據彭博社報道,摩根大通公司已與印度頂級私人銀行啟動了一項試點項目,通過其區塊鏈平臺 Onyx 進行銀行間美元交易結算.

1900/1/1 0:00:00
TOKEN:加密貨幣十年動蕩發展史:消失的Token 失敗的ICO_imtoken假錢包詐騙

作者:CoinKickoff;編譯:Leo,BlockBeats加密貨幣的歷史可以追溯到 20 世紀 80 年代的金融繁榮時期,當時的金融文化在《顛倒乾坤》和《華爾街》等電影的映襯下得到升華.

1900/1/1 0:00:00
RAD:解碼RWA:合規語境下最有價值的財富密碼_ADE

“今天,我很高興地宣布成立一家新公司,Superstate ,其使命是創建連接傳統市場和區塊鏈生態系統的受監管金融產品.

1900/1/1 0:00:00
BIRDS:復盤Moonbirds「六宗罪」:藍籌NFT的教訓_BIR

作者: @whaleswoosh,編譯:星球日報本文著重探討了 Moonbirds 如何從備受期待的下一個 BAYC “淪為”了 Web3 中被炒作最終嚴重.

1900/1/1 0:00:00
價值鏈:區塊鏈與價值鏈:兩條鏈的“愛情故事”_Green Whale Challenge

作者:Gospel Bassey;編譯:鏈集市ChainMarket區塊鏈技術是一項令人著迷的工程奇跡,已經在2020年代席卷而來。目前,你可能只將區塊鏈與crypto聯系在一起.

1900/1/1 0:00:00
AVAL:對話 Avalanche:L2 時代 Avalanche 的未來之路在哪里?_Avalanche

原文作者 | Ingas,DeFi Research原文編譯 | 白澤研究院如你所知,L2 解決方案旨在通過快速交易和更便宜的 Gas 費用來擴展以太坊網絡.

1900/1/1 0:00:00
ads