比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads

金色觀察 | Poly Network被盜事件再引DeFi安全之爭 監管或提上日程?_ETH

Author:

Time:1900/1/1 0:00:00

8月10日,跨鏈互操作協議Poly Network遭受黑客攻擊。Poly Network發推文稱,經過初步調查,已找到漏洞的原因。黑客利用了合約調用之間的一個漏洞,攻擊不是由傳聞中的單個保管人造成的。同時,Poly Network還發布了至攻擊者的一封信。Poly Network表示,希望建立溝通,并敦促攻擊者歸還被黑資產。此次被黑的金額是Defi歷史上最大的一筆。任何國家的執法部門都會將此視為重大經濟犯罪,攻擊者將受到追捕,再進行任何交易是非常不明智的。被盜資金來自數以萬計的加密社區成員。希望攻擊者與Poly Network團隊交談以制定解決方案。

慢霧團隊回顧攻擊細節指出,主要系因合約漏洞。本次攻擊主要在于 EthCrossChainData 合約的 keeper 可由 EthCrossChainManager 合約進行修改,而 EthCrossChainManager 合約的 verifyHeaderAndExecuteTx 函數又可以通過 _executeCrossChainTx 函數執行用戶傳入的數據。因此攻擊者通過此函數傳入精心構造的數據修改了 EthCrossChainData 合約的 keeper 為攻擊者指定的地址,并非網傳的是由于 keeper 私鑰泄漏導致這一事件的發生。

金色午報 | 7月9日午間重要動態一覽:7:00-12:00關鍵詞:以太坊、Uniswap、薩爾瓦多

1.ETH在30天內增加超過500萬個唯一地址;

2.ARKK增持Coinbase,減持ROKU、騰訊控股;

3.帝國商業銀行等4家機構計劃在ConsenSys基于以太坊上開發的平臺上建立碳交易市場試點;

4.比特幣礦機制造商嘉楠科技發布AI芯片勘智K510;

5.Ransomwhere正在跟蹤總額超過 5750 萬美元的加密貨幣付款贖金;

6.Uniswap在以太坊二層擴容方案Optimism上推出alpha版本;

7.SushiSwap將于第三季度推出創新NFT平臺Shōyu;

8.民調顯示近八成薩爾瓦多人不相信比特幣。[2021/7/9 0:39:24]

隨后慢霧團隊給出細節描述:

金色財經挖礦數據播報 | ETH今日全網算力上漲1.80%:金色財經報道,據蜘蛛礦池數據顯示:

BTC全網算力146.396EH/s,挖礦難度20.82T,目前區塊高度667672,理論收益0.00000674/T/天。

ETH全網算力350.061TH/s,挖礦難度4403.18T,目前區塊高度11728295,理論收益0.00617740/100MH/天。

BSV全網算力0.728EH/s,挖礦難度0.11T,目前區塊高度671619,理論收益0.00123690/T/天。

BCH全網算力1.574EH/s,挖礦難度0.25,目前區塊高度671980,理論收益0.00057175/T/天。[2021/1/26 13:31:07]

1. 本次攻擊的核心在于 EthCrossChainManager 合約的 verifyHeaderAndExecuteTx 函數可以通過 _executeCrossChainTx 函數執行具體的跨鏈交易。

分析 | 金色盤面:BTC高位震蕩,維持多頭趨勢不變:金色盤面獨家分析:夜盤多空主力圍繞6700美元展開激烈爭奪,場面異常慘烈,彈窗不停地提示合約爆倉,多空雙方都損失慘重,但目前為止,6700美元的爭奪尚未結束,短線看,4小時變軌已經完成,但多頭并沒有修整的意思,大有日線中軌不拿下不罷休的架勢。OK的多頭主力合約持倉賬戶已經達到了73%的歷史高位。目前的位置,多頭不容有失,一旦挑戰日線中軌失敗,有可能導致滿盤皆輸。從多周期看,這里沒有大級別的頂部信號,保持良好的上升趨勢,回踩不破4小時的MA6,將是再次攻擊的信號。請投資者理性看待市場波動,做好風險控制。[2018/9/22]

2. 由于 EthCrossChainData 合約的 owner 為 EthCrossChainManager 合約,因此 EthCrossChainManager 合約可以通過調用 EthCrossChainData 合約的 putCurEpochConPubKeyBytes 函數修改合約的 keeper。 

分析 | 金色盤面:BCH超跌反彈,日線技術背離:金色盤面綜合分析:BCH在觸及年內新低410美元后開啟反彈模式,單日漲幅8%,從技術形態看這里有明顯的日線背離產生,如果維持當前價格,將觸發背離反彈信號,短線市場整體回暖,做多機會增加,但市場有風險,投資需謹慎。[2018/9/14]

3. 其中 EthCrossChainManager 合約的 verifyHeaderAndExecuteTx 函數是可以通過內部調用 _executeCrossChainTx 函數執行用戶指定的跨鏈交易,所以攻擊者只需要通過 verifyHeaderAndExecuteTx 函數傳入精心構造的數據來使 _executeCrossChainTx 函數執行調用 EthCrossChainData 合約的 putCurEpochConPubKeyBytes 函數以改變 keeper 角色為攻擊者指定的地址。  

金色財經現場報道,Eyal Hertzog:去中心化對法律法規有著巨大的挑戰:在2018年世界數字資產峰會(WDAS)暨FBG年會上,來自Bancor Foundation公司的Eyal Hertzog表示,去中心化就是一種共識,但這對法規是一個巨大的挑戰,如果想要執法,并不像比特幣網絡那樣容易執行,智能合約是完全去中心化,立法者認識到很難立法去管制。[2018/5/2]

4. 替換完成 keeper 角色地址后,攻擊者即可隨意構造交易從合約中取出任意數量的資金了。

值得注意的是,本次此次被黑的金額是DeFi歷史上最大的一筆,共計超 6.1 億美元轉出至 3 個地址。受此影響 O3 Swap 跨鏈池大額資產被轉出。目前,安全團隊梳理發現,黑客初始的資金來源是門羅幣(XMR),然后在交易所里換成了 BNB/ETH/MATIC 等幣種并分別提幣到 3 個地址,不久后在 3 條鏈上發動攻擊。 結合資金流向及多項指紋信息可以發現,這很可能是一次蓄謀已久的、有組織有準備的攻擊行為。 

事件發生后,Tether 已凍結 Poly Network 攻擊者地址上的 3300 萬 USDT。截止發稿,攻擊者也回應,如果我轉移了剩余的幣,那將是十億美金級別的攻擊。我剛剛是拯救了這個項目嗎?我對金錢不太感興趣,現在考慮歸還一些代幣,或者將它們留在此處。隨后該攻擊者還稱,如果我制作一個新的代幣并讓DAO決定代幣的去向會怎樣?

隨著事件的發酵,8月11日,攻擊Poly Network的黑客在區塊高度 13001631 轉賬中又表示,已決定歸還資產,不再創建 DAO 組織。同時,在描述中,黑客自稱為傳奇。

盡管黑客已決定歸還資產,但有關DeFi安全的討論還在繼續。事實上,隨著DeFi的爆發式發展,相關安全事件頻發,跨鏈攻擊也不在少數。此前,Rari Capital就在跨鏈攻擊事件中損失1500萬美元。有分析聲音就此指出,DeFi協議之間的互操作性變得越來越復雜,相關的攻擊媒介也在增多,預計相關攻擊也會增加。

Roxe支付網絡技術VP Jesse對此指出,DeFi本來就是個黑暗森林,很多別有用心的人一直都在暗中虎視眈眈,甚至有些漏洞發現后,攻擊者只是在等更合適的機會,并不一定會急于出手,就像病的潛伏期一樣,在等更大的利益機會,未知的漏洞一定還有很多,只是還未爆發而已。

有市場聲音擔心,DeFi安全如果始終無法妥善處理,可能會打擊行業的信心。當然,另一方面可能會加快全球對行業監管。Roxe支付網絡技術VP Jesse表示,從長期看,監管是必須的,隨著區塊鏈行業的不斷成熟,各國也一定會加強監管,這也是行業成熟的標記。無監管的混亂除早期帶來的所謂自由的快感,隨后一定會被少量的各類地下組織利用,從而損害大眾的利益。雖然有時候我們不喜歡政府的監管,但這種監管帶來的正面意義要遠比負面意義大。

在此背景下,作為普通投資者,應該如何保護好自己的財產?

Roxe支付網絡技術VP Jesse指出,區塊鏈一個很大的問題就是親民性不足,未接觸過的人很難理解,從而讓區塊鏈變成一個小眾游戲。安全性上看似自己掌握自己的資產,但它卻要求每個用戶自己必須成為安全專家,隨時面對來自暗處的黑客攻擊。問題是,大眾并沒有足夠的能力去甄別和自我保護,很多時候只能依賴安全公司的審計,但這也不是100%安全的。相對傳統行業,DeFi還很年輕,很多東西還不完善,無法像政府背書的銀行一樣提供良好的安全保障。DeFi最大的優勢是去信任,但這份信任是基于代碼的,而代碼的安全大眾又無法有效甄別,而黑客攻擊來源于知識的巨大不對等性,這也造成的DeFi的安全不是一個是或否的簡單問題。對于DeFi投資者,目前只能保護好自己的私鑰,不泄露,防止丟失。另外,盡可能的識別好的項目、識別經審計的合約。

比特派也在相關微博中建議,參與DeFi要用多地址,不同DeFi、不同資產用不同地址區分開來,這樣即使某個DeFi項目有危險,也不會影響到你的其他資產。同時也要定期檢查錢包地址的授權,不頻繁操作的項目要及時收回授權。

Tags:ETHCROSHAISSCETHBACK價格CROSSCHAIN價格Neuron Chain

芝麻開門交易所下載
幣安、Coinbase、OKcoin獲新加坡加密貨幣支付牌照通知_USD

今日,新加坡金融監管局(MAS)官網顯示,目前已經向89家DPT申請的企業發出通知,如果申請人采取必要措施以滿足MAS對于持牌運營的要求,則隨后將收到MAS向申請人授予的許可證.

1900/1/1 0:00:00
以太坊進展:信標鏈、Altair升級、合并、質押等_ETH

信標鏈 ConsenSys 研究員 Joanne Fuller 和 Franck Cassez 完成了信標鏈規范在 Dafny 語言中的驗證,為未來的協議開發和分析奠定了基礎.

1900/1/1 0:00:00
DeFi周刊 | DeFi市值持續回升 達到1063.4億美元_EFI

1.DeFi總市值達到1063.4億美元 市值前十幣種價格及本周漲跌幅,數據來源:CoinGecko2.去中心化交易所24小時交易量:31.9億美元 交易量排名前十的DEX 數據來源:Deban.

1900/1/1 0:00:00
DeFi 時代:DAO 財庫如何進行資產管理

過去十年來,互聯網極大地改變了我們的工作性質,這是人類歷史上任何技術都未能做到的。人們安坐家中,與一群匿名人士遠程協作,過著體面的生活,這在過去簡直是聞所未聞.

1900/1/1 0:00:00
以太坊終將超過比特幣?_ETH

過去十幾天行情突突突,BTC從底部反彈58% (29k→46k),ETH從底部反彈88% (1.7k→3.2k)。顯然,這一輪ETH要比BTC更強勢.

1900/1/1 0:00:00
一周必讀10篇 | 以太坊接下來的路線圖是什么樣的?_GAS

1.以太坊接下來的路線圖是什么樣的?在以太坊2.0的路線圖里,最終目標是PoS。PoW鏈會在歷史的發展中被留存至不適合挖礦,ETH1.0網絡徹底不適合再工作為止.

1900/1/1 0:00:00
ads