比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads

金色觀察|“迷途知返”的黑客與區塊鏈安全隱憂_POLY

Author:

Time:1900/1/1 0:00:00

截止到8月11日12時59分,Poly Network發生的O3資金池被盜事件,在持續發酵后,似乎有了最終結果。

黑客使用攻擊地址“自己給自己”發送交易,在交易附帶信息里說到“I NEED A SECURED MULTISIG WALLET FROM YOU”

隨后Poly Network回復:“We are preparing a multi-sig address controlled by known Poly addresses”并在50分鐘后回復了以太坊、BSC、Polygon三條鏈的接受地址,分別為:

金色財經挖礦數據播報:ETH今日全網算力下降3.03%:金色財經報道,據蜘蛛礦池數據顯示:

BTC全網算力135.290EH/s,挖礦難度18.60T,目前區塊高度663588,理論收益0.00000751/T/天。

ETH全網算力291.017TH/s,挖礦難度3554.07T,目前區塊高度11552512,理論收益0.00716834/100MH/天。

BSV全網算力0.747EH/s,挖礦難度0.10T,目前區塊高度667768,理論收益0.00120414/T/天。

BCH全網算力1.462EH/s,挖礦難度0.22,目前區塊高度668046,理論收益0.00061539/T/天。[2020/12/30 16:03:16]

ETH: 0x71Fb9dB587F6d47Ac8192Cd76110E05B8fd2142f

金色財經挖礦數據播報 | ETH今日全網算力上漲3.62%:金色財經報道,據蜘蛛礦池數據顯示:

BTC全網算力124.603EH/s,挖礦難度15.78T,目前區塊高度638375,理論收益0.00000836/T/天。

ETH全網算力194.698TH/s,挖礦難度2439.37T,目前區塊高度10422480,理論收益0.00875570/100MH/天。

BSV全網算力2.231EH/s,挖礦難度0.31T,目前區塊高度642869,理論收益0.00040345/T/天。

BCH全網算力2.732EH/s,挖礦難度0.38T,目前區塊高度643100,理論收益0.00032946/T/天。[2020/7/9]

BSC: 0xEEBb0c4a5017bEd8079B88F35528eF2c722b31fc

金色晨訊 | 1月13日隔夜重要動態一覽:21:00-7:00關鍵詞:井賢棟、萊特幣、BEOS鏈、Ripple

1. 湖南省政協委員劉丹軍:建議將區塊鏈技術應用于農產品流通領域。

2. 螞蟻金服董事長井賢棟:用AI、區塊鏈推動浙江數字政務升級。

3. 萊特幣基金會董事:超一半以上LTC一年多沒有移動。

4. 由BM父親Stan Larimer發布的BEOS鏈已在太空處理第一筆區塊鏈交易。

5. Ripple首席執行官:XRP獨立于Ripple公司而存在,XRP持有者對公司沒有所有權。

6. BTC現報8120美元,近24小時上漲1%,市值為1471.87億美元。[2020/1/13]

Polygon: 0xA4b291Ed1220310d3120f515B5B7AccaecD66F17

現場 | 金色私享會S1暨金色沙龍北京站第八期正式舉辦:金色財經現場報道,3月21日下午,由金色財經和Deribit主辦、喜鵲金融聯合主辦、貝殼公關承辦的金色私享會S1暨金色沙龍北京站第八期正式舉辦。本期金色沙龍在以往沙龍的基礎上增加了金色私享會S1,為業內人士進行高質量的交流和合作提供機會。同時,本期金色沙龍以“數字資產衍生品交易的本質與未來”為主題,邀請了Deribit 市場負責人Ulla Rone、喜鵲金融CEO宋正鑫、臻云科技聯合創始人張弘、引力波G-Wave科技有限公司CEO 邱吉民、Deribit CIO Pieter Entius、Deribit創始人John Antonius Jansen、創世資本CEO豐馳、Kcash創始人祝雪嬌、犇睿資本創始合伙人褚康、Coinscious聯合創始人兼CEO TOM、貝殼公關CEO姜曉玉、金色財經合伙人安鑫鑫等嘉賓在現場發表精彩觀點。[2019/3/21]

這場漫長的溝通經歷差不多15小時,第一次嘗試溝通,Poly Network嘗試取得溝通,并留下了溝通郵箱。2小時后,繼續溝通表示,如果歸還資產,會因為這次發現安全漏洞給予安全獎勵。

金色財經現場報道 北京大學國家發展研究院特聘教授周宏騏:解構區塊鏈 + 驅動的商業模式創新:金色財經現場報道,在2018FINWISE東京紛智峰會上,新加坡國立大學教授、北京大學國家發展研究院特聘教授周宏騏進行以《解構區塊鏈 + 驅動的商業模式創新》為題的現場演講,他在演講中指出:一個有想象力和創造力的人才能創造很多機會,菲利普、科特勒認為,商業的本質是“創造價值”的邏輯與路徑,很多區塊鏈技術公司讓我們感到興奮,因為它可以創造更多的價值。任何商業模式搭建,都是源于對用戶的洞察理解,創造客戶價值才有客流量。商業模式創新就是迭代商業共生體:設計“客戶生態”與“合作方生態”,升級“商業共生體”結構效率。新科技驅動“商業關系重構”:社交思維、智能應用、數據驅動;智能自動、算法增效、認知商業。在商業4.0時代中,用戶會被進一步數據化,生活軌跡、工作軌跡,會有更清晰的用戶畫像,建成一個新商業。[2018/5/21]

隨后黑客在攻擊地址表示,可能會建立一個DAO決定地址中資金的流向。

Poly Network再次回復,建立DAO也改變不了資金被盜的事實,如果歸還資產,會為黑客提供安全賞金,并且這也會成為歷史上最大金額的“白帽”黑客事件而被銘記。

隨后便是黑客表示自己是傳奇,而將退還資產的關鍵消息的發布。

白帽黑客指正義的黑客,區塊鏈圈很多安全公司的中流砥柱都出自白帽。

也許這次參與的黑客真的如其所說,對錢不感興趣。

在下午5時左右,Poly公布的Polygon地址收到了101萬枚USDC。發稿前,其他地址暫時還沒有將資產轉入。

但作為區塊鏈從業者、用戶來說,面對攻擊事件,小概率可以得到善終,大概率是會波及項目和用戶資產安全。

此次安全事件發生后,在事件的評論中,有一條極為反諷的評論“講個笑話,區塊鏈是安全的。”

外行看熱鬧,內行看門道。

區塊鏈的安全是一個相對概念,而不是一個絕對概念。

在巨額收益的引誘、加密貨幣無監管、合約設計不成熟的情況下,加密貨幣網絡中的合約漏洞被當成黑客提款機也就不足為奇了。

傳統金融領域,安全不僅僅在于軟件,更多安全保證在于流程防護。但當全部的流程通過智能合約自動執行的時候,就會出現多個漏洞。

最大的保障變成了代碼正確性和安全案例的設計實踐。

此次Poly的問題就在于黑客可以控制資金池中管理賬戶轉賬的權限,當把轉出地址換成黑客自己的地址后,只要向合約發送虛擬的數據轉出交易,那資金池的資產就會順利被轉出。

這個漏洞主要在于,因為設計了一些合約接受某些數據而執行行為的操作,但可以執行這個動作又有多個因素管理,其中有一個因素漏洞被黑客利用了,劫取了“權限”。

這類事件還要有一個理解框架。

其中分為鏈的安全和合約安全。

一條公鏈,首先要保證鏈的安全,即總帳本的安全、交易打包的安全。然后是合約執行的安全。

軟件的安全依賴開發者代碼的成熟性,正所謂沒有絕對安全的系統,只有良莠不齊的開發者。

鏈的安全是指鏈上的共識算法設計、基礎協議的編寫不能有漏洞,其次是基礎協議執行的合約沒有問題,例如在以太坊上發型代幣,其合約是一個基礎流程,但如果合約漏洞里有明顯的增發漏洞,那極有可能被利用增發代幣。

鏈的安全,主要是共識來保證,比特幣使用中本聰共識,以太坊使用Ethash,波卡使用NPOS。其保證的是總帳本不能篡改。合約安全就只能考究其設計問題和編碼成熟度了。

所以合約設計者和開發者要嚴格設計合約,要檢查合約的設計漏洞,代碼編寫漏洞,設計邏輯,以及在業務場景里可能出現的問題。

在這里,我們還是再次通過合約審計的思路,來為大家提供理解合約安全的思路。

安全審計團隊拿到審計需求后,會先用團隊內部的安全審計工具過一遍,不過工具是一個輔助,然后進行人工審計,這個流程會按照審計列表將常規漏洞點審計一遍。

然后進行業務上的審計,其中包含什么業務場景、業務規模、業務邏輯。然后業務的描述如何,看代碼里是否有和描述功能不一致,是否會被薅羊毛,代幣是否有被鎖,權限設置錯誤問題,是否會增發或無限鑄幣等等。

但這些流程進行完畢后,上文講到,代碼的安全要看代碼編寫成熟度,而不同開發者因為其經驗,對合約的判斷也不同,再加上智能合約的特殊性和DeFi業務邏輯復雜性,代碼審計必須要進行交叉審計,相互審查的。

就像Poly的以太坊合約問題,其在該合約后續的流程上是沒問題的,但在黑客看來,通過合約流程前面的一些數據偽造,就控制了其合約轉出的權限。也是一種迂回擊破的方式了。

或者因為Poly是一個跨鏈系統,出問題的部分可以稱為跨鏈合約交互部分,這也代表著跨鏈案例的實踐,要邏輯更為嚴密。

從智能合約的設計來看,絕大部分DeFi合約出問題都出在資產轉移、價格計算和權限控制上,因此這些方面開發者需要入手向上延展,并找到這條路徑上可能存在的薄弱環節加以防范。

Poly此次是萬幸的,黑客可以歸還資產,盡管目前歸還了一小部分,我們還在等待更多的資產轉賬。筆者從Poly處獲取的消息是,目前合約已經在升級,最優先級的目標是追回用戶資產,其他的細節會后續公布。

從黑客公布的消息看,似乎黑客已經接受了Poly提出的安全賞金,也希望在這場博弈里,雙方可以快速結束相互的拉扯。就像Poly說的,讓這一次安全事件,成為歷史上最大的白帽黑客事件。

Tags:OLYPOLYPOL區塊鏈wexpoly幣怎么樣polyx幣背景Paypolitan區塊鏈運用的技術中不包括哪一項項

酷幣交易所
BC科技集團:數字資產及區塊鏈業務成營收主力 上半年凈虧1.58億港元_加密貨幣

8月17日晚間,BC科技集團公布了2021年上半年業績報告。財報數據顯示,截止2021年6月30日,集團收入1.53億港幣(約合人民幣1.27億元),同比增長54%;凈虧損1.58億港元(約合人.

1900/1/1 0:00:00
美國涉加密法案 圍繞“經紀人”斗爭全過程 雖然失敗但落地還很漫長_COIN

與大洋對岸一個文件“打趴”一個行業相比,美國圍繞“經紀人”的定義正在經歷復雜的辯論與斗爭,距離最終執行還有漫長的過程基建投資與就業法案中關于加密貨幣行業的表述問題8月10日.

1900/1/1 0:00:00
觀點:NFT使人性優先于利益_區塊鏈

區塊鏈提供了一個可以使全球經濟系統從以利潤為導向重新調整為以價值為導向的機會。人類正在面臨的問題比氣候變化還要多。世界正面臨著一些我們這個時代的最大挑戰:世界饑餓、日益加劇的不平等和經濟不穩定.

1900/1/1 0:00:00
金色前哨 | 加密總市值重返2萬億美元上方 數字貨幣概念股早盤拉升_BTC

數據顯示,近七天比特幣實現15%上漲,以太坊實現18%上漲。此外,8月11日CoinGecko數據顯示,加密貨幣總市值重返2萬億美元上方.

1900/1/1 0:00:00
閃電網絡總容量達到2304.74 BTC 中國占比多少?_BTC

由于目前區塊鏈上的交易增多,網絡逐漸變得緩慢,于是催生出了很多第2層擴容方案,用以減少GAS費飆升、網絡擁堵的問題.

1900/1/1 0:00:00
上海公布經濟數字化轉型重點專項:深化數字人民幣試點場景_科技股

8月16日消息,據上海發布官方公眾號消息,上海市經濟和信息化委員會已公布硬核新技術、在線新經濟、制造新模式等在內的12項專項行動,其中金融新科技專項行動將推動金融業提效增值.

1900/1/1 0:00:00
ads