起始
PolyNetwork自稱是全球領先的“輕量級”異構鏈跨鏈互操作協議,其獨特設計的異構鏈以及跨鏈橋技術將通過在源鏈部署智能合約控制跨鏈,從協議層一舉打通各個異構鏈之間甚至各個主流公鏈之間的通信和交易。2020年8月主網上線。PolyNetwork是由Neo、Ontology、Switcheo基金會共同作為創始成員,分布科技作為技術提供方共同發起的跨鏈組織。
慢霧安全團隊梳理發現,黑客初始的資金來源是門羅幣(XMR),然后在交易所里換成了BNB/ETH/MATIC等幣種并分別提幣到3個地址,不久后在3條鏈上發動攻擊。結合資金流向及多項指紋信息可以發現,這很可能是一次蓄謀已久的、有組織有準備的攻擊行為。
攻擊啟動
1.8月10日晚上8點38分,跨鏈互操作協議PolyNetwork稱遭到攻擊,共計超6.1億美元轉出至3個地址。其中,轉出至0x0D6e2開頭幣安智能鏈地址的資金有超2.5億美元,轉至0xC8a65開頭的以太坊地址有超2.7億美元,轉至Polygon地址的有超8500萬美元。
Google Play允許在應用商店里的App和游戲中集成NFT:金色財經報道,Google Play宣布了一項重大政策轉變,允許開發者將NFT等數字資產集成至其應用商店的APP和游戲中。決定提供購買、出售或賺取代幣化資產功能的公司將被要求在Play Console中明確表示該應用程序中存在基于區塊鏈的元素。
Google Play的Group Product經理Joseph Mills在一篇博客文章中寫道,這將使合作伙伴能夠重新構想“帶有用戶所擁有內容的傳統游戲”,并通過NFT獎勵提高“用戶忠誠度”。[2023/7/13 10:51:28]
其中:BSC資產:6613枚BNB、87,603,671枚USDC、26,629枚ETH、1,023枚BTCB、32,107,854枚BUSD
Polygon資產:85,089,719枚USDC
麥卡錫:需要在本周就債務上限達成協議:金色財經報道,美國眾議院議長麥卡錫表示,我們可以在(當地時間)周一晚間達成協議,也可以在周二晚間達成協議;需要在本周就債務上限達成協議。[2023/5/23 15:19:30]
以太坊資產:96,389,444枚USDC、1,032枚WBTC、673,227枚DAI、43,023枚UNI、14枚renBTC、33,431,197枚USDT、26,109枚WETH、616,082枚FEI
2.9點44分,Tether首席技術官PaoloArdoino發推稱,Tether已經凍結攻擊PolyNetwork的黑客地址3300萬USDT。
外界不解的是,幣安與Circle沒有凍結BUSD與USDC,這也直接導致后續1.2億美金的穩定幣被轉出。CZ回應沒有人能控制BSC,Circle對此沒有回應。
以太坊L2網絡總鎖倉量為37.8億美元,近7日下跌20.77%:金色財經消息,據L2BEAT數據顯示,截至目前,以太坊Layer2上總鎖倉量為37.8億美元。近7日下跌20.77%,其中鎖倉量最高的為擴容方案Arbitrum,約19.1億美元,占比50.23%。其次是dYdX,鎖倉量7.23億美元,占比19.11%。Optimism占據第三,鎖倉量6.62億美元,占比17.51%。[2022/6/19 4:37:49]
幣安CEO趙長鵬表示,我們都知道的PolyNetwork盜幣案今天發生。雖然沒有人控制BSC,但我們正在與所有安全合作伙伴進行協調,以主動提供幫助。無法給出任何,但我們將盡我們所能。
3.9點56分,涉事以太坊地址開頭0xC8a65開始嘗試將資金存入Curve.fi洗錢,開始的幾筆交易嘗試由于USDT被凍結導致交易失敗,隨后便只存入DAI和USDC,共存入近一億的穩定幣。
Natasha Powell 加入 BCB Group 擔任首席合規官:金色財經報道,數字資產經濟商業賬戶和交易服務的領先提供商 BCB Group 宣布任命 Natasha Powell 為首席合規官。Natasha 將領導公司的各項舉措,以通過監管風險管理實現金融服務的最高標準。Natasha 曾是金融服務管理局(金融行為監管局的前身)的歐洲監管政策專家,后來在蘇格蘭皇家銀行、施羅德和巴克萊資本擔任高級合規職位 10 年。Natasha 將負責管理公司在整個企業中的全球合規和金融犯罪預防治理框架,因為機構尋求歐洲監管優先的服務以進入加密市場。(finextra)[2022/5/18 3:23:54]
4.10點03分,涉事幣安智能鏈地址開頭0x0d6e2又將近1.2億美元的穩定幣轉入Curve分叉項目EllipsisFinance。
5.0點27分,涉事以太坊地址開頭0xC8a65將此前存入穩定幣獲得的3CrvLP份額再次兌換為約96,942,061枚DAI。
雙方溝通
11日凌晨,PolyNetwork發出對黑客的信,表示我們希望與你建立聯系,并希望你歸還被盜的資產。你盜取的金額在DeFi歷史上是最大的一次,任何國家的法律都會把它視為一次重要的經濟犯罪,你會遭到追捕。再進行任何的交易對你來說是不明智的。你盜取的資金是成千上萬社區成員的財產。你應該與我們對話尋求一個解決方案。
隨后黑客回應:如果我轉移了剩余的幣,那將是十億美金級別,我難道不是拯救了這個項目?我對金錢不太感興趣,現在考慮歸還一些Token,或者將它們留在此處;如果我制作一個新的代幣并讓DAO決定代幣的去向會怎樣。
截止到8月11日上午9點40分,仍沒有最新的進展。
原因
安全公司BlockSec發布了最新的分析報告,針對PolyNetwork被攻擊事件,BlockSec安全團隊初步分析認為,導致攻擊發生的原因可能為用于跨鏈簽名的私鑰被泄漏或者簽名程序有邏輯漏洞導致簽署出攻擊交易。BlockSec認為,攻擊者可能擁有對消息進行簽名的合法密鑰,這表明簽名密鑰可能已泄露,或者PolyNetwork的簽名過程中存在一個bug,被濫用于對精心制作的消息進行簽名。慢霧安全團隊分析稱是由于跨鏈合約keeper被修改為黑客制定地址,從而使黑客可以隨意構造交易從合約中取出任意數量的資金
其他
O3作為鎖倉量最大的跨鏈協議之一,早先就已經發生多起有組織的攻擊事件,但似乎沒有引起PolyNetwork與O3的警惕。O3與PolyNetwork都屬于NEO生態,也屬于中文地區最大的加密公鏈之一,近年來往DeFi領域發力。
7月14日巴比特文章指出,在此之前,跨鏈攻擊事件寥寥無幾。但在短短半個月內,已出現5起安全事件,損失超過1700萬美元。跨鏈攻擊明顯增多,這是否意味著黑客正在瞄準跨鏈協議生態?
TheBlock研究分析師IgorIgamberdiev曾表示,DeFi協議之間的互操作性變得越來越復雜,因此開辟了新的攻擊媒介,并且將來會變得更加頻繁。”此外,攻擊者成功得手后也會通過跨鏈橋將資產快速轉移,再結合混幣服務將資產洗白。
10日晚間謠傳甚廣的官方私留超級控制權導致監守自盜,可能性并不大。NEO集團實力極為雄厚,并無需要進行如此操作;而如果是內鬼或合作伙伴操作,又會過于容易暴露。
公開資料顯示,PolyNetwork的審計由NCCGroup完成,以太坊智能合約審計由Certik完成。
行業人士指出,目前美國金融監管層對DeFi非常關注,中國相關部門也開始予以關注。日前美國SEC指控了首起DeFi案件。此次歷史金融最大的DeFi盜幣案如果無法善終,一方面可能影響行業對DeFi的信心,另一面可能誘發全球監管對DeFi的打壓。
吳說作者:ColinWu、平兄
8月3日,去中心化衍生品交易協議dYdX宣布推出治理代幣DYDX,并對此前在平臺上交互過的地址進行空投。治理代幣DYDX總量10億,主要用于dYdX協議治理和手續費折扣.
1900/1/1 0:00:00這篇文章將討論三個主要話題,雖然三者尚未被充分討論,卻越來越相關且重要:1.EIP-1559之后、以太坊合并之前的MEV;2.2層Rollup的MEV;3.基于MEV的多鏈環境.
1900/1/1 0:00:002021年8月3日,民生銀行信息科技部相關負責人對外表示,目前,民生銀行已打造了“區塊鏈開放服務平臺”“區塊鏈貿易金融平臺”“區塊鏈電子存證服務平臺”三大平臺.
1900/1/1 0:00:00前言 當前區塊鏈技術和應用尚處于快速發展的初級階段,面臨的安全風險種類繁多,從區塊鏈生態應用的安全,到智能合約安全,共識機制安全和底層基礎組件安全,安全問題分布廣泛且危險性高,對生態體系.
1900/1/1 0:00:00鏈游跟傳統游戲的平行世界史上最吸金NFT游戲又創新紀錄了。最近NFT游戲AxieInfinity推特確認日活用戶突破百萬,總交易額突破10億美元,創下歷史新高.
1900/1/1 0:00:008月8日下午,億邦國際舉行新聞發布會,公司董事長胡東表示,已于上周五向浙江證監局實名舉報華鐵應急涉嫌嚴重財務造假、嚴重信息披露違規以及實際控制人胡丹峰及其配偶潘倩涉嫌巨額職務侵占掏空上市公司資產.
1900/1/1 0:00:00