比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > Ethereum > Info

金色觀察|“迷途知返”的黑客與區塊鏈安全隱憂_區塊鏈

Author:

Time:1900/1/1 0:00:00

截止到8月11日12時59分,PolyNetwork發生的O3資金池被盜事件,在持續發酵后,似乎有了最終結果。

黑客使用攻擊地址“自己給自己”發送交易,在交易附帶信息里說到“INEEDASECUREDMULTISIGWALLETFROMYOU”

隨后PolyNetwork回復:“Wearepreparingamulti-sigaddresscontrolledbyknownPolyaddresses”并在50分鐘后回復了以太坊、BSC、Polygon三條鏈的接受地址,分別為:

ETH:0x71Fb9dB587F6d47Ac8192Cd76110E05B8fd2142f

金色財經挖礦數據播報:ETH今日全網算力上漲1.18%:金色財經報道,據蜘蛛礦池數據顯示:

BTC全網算力165.488EH/s,挖礦難度23.14T,目前區塊高度678382,理論收益0.00000603/T/天。

ETH全網算力524.120TH/s,挖礦難度6788.56T,目前區塊高度12202704,理論收益0.00435137/100MH/天。

BSV全網算力0.663EH/s,挖礦難度0.09T,目前區塊高度682075,理論收益0.00135756/T/天。

BCH全網算力1.499EH/s,挖礦難度0.22,目前區塊高度682449,理論收益0.00060030/T/天。[2021/4/9 20:00:46]

BSC:0xEEBb0c4a5017bEd8079B88F35528eF2c722b31fc

金色午報 | 5月14日午間重要動態一覽:7:00-12:00關鍵詞:成都、四川甘孜、比特大陸、黑客

1.成都市市長羅強:將推動設立數字資產交易中心。

2.四川甘孜州委書記:區塊鏈產業是符合綠色高質量發展的新興產業。

3.比特大陸搶奪營業執照人員已被海淀分局采取強制措施。

4.吉林市統計局孫偉瑋:區塊鏈技術助力統計數字化發展。

5.韓國金融結算院將為員工發放基于區塊鏈的移動員工證。

6.外媒:大部分Upbit黑客資金已存入BYEX交易所。

7.量子經濟學創始人:看好以太坊ETH2.0發布日期混亂不是大問題。

8.廣發證券:央行數字貨幣取代現金是未來的大趨勢。[2020/5/14]

Polygon:0xA4b291Ed1220310d3120f515B5B7AccaecD66F17

金色沙龍 | 許英龍:減半行情下 不建議普通用戶投資加密貨幣衍生品:在本期金色沙龍中,科銀資本中國CEO許英龍針對“2020年比特幣第三次減半,市場出現的機遇及行情”等問題做了回答。許英龍表示,2020年對于區塊鏈行業來說,即使沒有疫情,也注定會成為備受關注的一年,因為目前發展穩定的主流幣,將先后迎來減產。之前的幾次減半都孕育了比較不錯的牛市行情,此次減產,使很多人對于主流幣的表現有了很高的預期。但是作為行業中存活比較久的投資機構,我們會相對冷靜的看待這次減產,畢竟這次減半和之前兩次有很大區別。

之前的主流數字貨幣,操作相對單一,此前兩次的減半行情,整體體量相對較小,依托于主流數字貨幣的金融衍生品較小,較容易形成單邊行情。而這次的減半,承載了太多人的預期,也承載了太多資金壓力,這就給金融衍生品已經相對完備的市場,足夠的做空機會。即使是真的會有幣價的大漲,對于一般投資人來說還是以現貨為主,遠離各類金融衍生品。如果堅定看好這個行業,就持有主流數字貨幣,然后去為這個行業的發展做力所能及的貢獻。[2020/3/4]

這場漫長的溝通經歷差不多15小時,第一次嘗試溝通,PolyNetwork嘗試取得溝通,并留下了溝通郵箱。2小時后,繼續溝通表示,如果歸還資產,會因為這次發現安全漏洞給予安全獎勵。

分析 | 金色盤面:FGI恐慌指數下降至19:金色盤面綜合分析:FGI恐慌指數由21下降至19,雖然昨日下午超跌幣普漲,卻未能讓投資者重拾對市場的信心,市場仍處于極度恐慌。[2018/8/18]

隨后黑客在攻擊地址表示,可能會建立一個DAO決定地址中資金的流向。

PolyNetwork再次回復,建立DAO也改變不了資金被盜的事實,如果歸還資產,會為黑客提供安全賞金,并且這也會成為歷史上最大金額的“白帽”黑客事件而被銘記。

隨后便是黑客表示自己是傳奇,而將退還資產的關鍵消息的發布。

白帽黑客指正義的黑客,區塊鏈圈很多安全公司的中流砥柱都出自白帽。

也許這次參與的黑客真的如其所說,對錢不感興趣。

分析 | 金色盤面:BTC/USDT 持續反彈:金色盤面綜合分析:BTC/USDT延續午后強勢,繼續反彈,從30分鐘K線圖可以看出清晰的3浪上攻,目前要注意6日MA線的阻力,這里成交量放大不明顯,尚未確認反轉,謹慎看多。[2018/8/7]

在下午5時左右,Poly公布的Polygon地址收到了101萬枚USDC。發稿前,其他地址暫時還沒有將資產轉入。

但作為區塊鏈從業者、用戶來說,面對攻擊事件,小概率可以得到善終,大概率是會波及項目和用戶資產安全。

此次安全事件發生后,在事件的評論中,有一條極為反諷的評論“講個笑話,區塊鏈是安全的。”

外行看熱鬧,內行看門道。

區塊鏈的安全是一個相對概念,而不是一個絕對概念。

在巨額收益的引誘、加密貨幣無監管、合約設計不成熟的情況下,加密貨幣網絡中的合約漏洞被當成黑客提款機也就不足為奇了。

傳統金融領域,安全不僅僅在于軟件,更多安全保證在于流程防護。但當全部的流程通過智能合約自動執行的時候,就會出現多個漏洞。

最大的保障變成了代碼正確性和安全案例的設計實踐。

此次Poly的問題就在于黑客可以控制資金池中管理賬戶轉賬的權限,當把轉出地址換成黑客自己的地址后,只要向合約發送虛擬的數據轉出交易,那資金池的資產就會順利被轉出。

這個漏洞主要在于,因為設計了一些合約接受某些數據而執行行為的操作,但可以執行這個動作又有多個因素管理,其中有一個因素漏洞被黑客利用了,劫取了“權限”。

這類事件還要有一個理解框架。

其中分為鏈的安全和合約安全。

一條公鏈,首先要保證鏈的安全,即總帳本的安全、交易打包的安全。然后是合約執行的安全。

軟件的安全依賴開發者代碼的成熟性,正所謂沒有絕對安全的系統,只有良莠不齊的開發者。

鏈的安全是指鏈上的共識算法設計、基礎協議的編寫不能有漏洞,其次是基礎協議執行的合約沒有問題,例如在以太坊上發型代幣,其合約是一個基礎流程,但如果合約漏洞里有明顯的增發漏洞,那極有可能被利用增發代幣。

鏈的安全,主要是共識來保證,比特幣使用中本聰共識,以太坊使用Ethash,波卡使用NPOS。其保證的是總帳本不能篡改。合約安全就只能考究其設計問題和編碼成熟度了。

所以合約設計者和開發者要嚴格設計合約,要檢查合約的設計漏洞,代碼編寫漏洞,設計邏輯,以及在業務場景里可能出現的問題。

在這里,我們還是再次通過合約審計的思路,來為大家提供理解合約安全的思路。

安全審計團隊拿到審計需求后,會先用團隊內部的安全審計工具過一遍,不過工具是一個輔助,然后進行人工審計,這個流程會按照審計列表將常規漏洞點審計一遍。

然后進行業務上的審計,其中包含什么業務場景、業務規模、業務邏輯。然后業務的描述如何,看代碼里是否有和描述功能不一致,是否會被薅羊毛,代幣是否有被鎖,權限設置錯誤問題,是否會增發或無限鑄幣等等。

但這些流程進行完畢后,上文講到,代碼的安全要看代碼編寫成熟度,而不同開發者因為其驚艷,對合約的判斷也不同,再加上智能合約的特殊性和DeFi業務邏輯復雜性,代碼審計必須要進行交叉審計,相互審查的。

就像Poly的以太坊合約問題,其在該合約后續的流程上是沒問題的,但在黑客看來,通過合約流程前面的一些數據偽造,就控制了其合約轉出的權限。也是一種迂回擊破的方式了。

或者因為Poly是一個跨鏈系統,出問題的部分可以稱為跨鏈合約交互部分,這也代表著跨鏈案例的實踐,要邏輯更為嚴密。

從智能合約的設計來看,絕大部分DeFi合約出問題都出在資產轉移、價格計算和權限控制上,因此這些方面開發者需要入手向上延展,并找到這條路徑上可能存在的薄弱環節加以防范。

Poly此次是萬幸的,黑客可以歸還資產,盡管目前歸還了一小部分,我們還在等待更多的資產轉賬。筆者從Poly處獲取的消息是,目前合約已經在升級,最優先級的目標是追回用戶資產,其他的細節會后續公布。

從黑客公布的消息看,似乎黑客已經接受了Poly提出的安全賞金,也希望在這場博弈里,雙方可以快速結束相互的拉扯。就像Poly說的,讓這一次安全事件,成為歷史上最大的白帽黑客事件。

Tags:POLYPOLOLY區塊鏈polyx幣是什么幣pols幣未來價值olympus幣前景區塊鏈運用的技術中不包括哪一項項

Ethereum
從加密朋克到賽博朋克 一文盤點頂級NFT頭像項目_NFT

來源:OpenSea 在尋找一個能夠象征自己的NFT頭像時,或許會遇上選擇困難。畢竟,該領域內已經有了那么多的項目,而且幾乎每周都有新項目推出。保持時刻跟蹤是非常困難的.

1900/1/1 0:00:00
中幣(ZB)研究院:區塊鏈新政出臺 全球加密貨幣加速合規_APP

8月4日,北京市委辦公廳、北京市人民政府辦公廳印發《北京市關于加快建設全球數字經濟標桿城市的實施方案》,《方案》指出,要超前布局區塊鏈,圍繞區塊鏈高性能、安全性、隱私保護、可擴展性等方向.

1900/1/1 0:00:00
NFT狂熱 也許只是剛剛開始_加密貨幣

NFT領域的一切都發展得太快了,但如果這只是個開始呢? 首先,來自我們贊助商的一句話…我們很容易帶著事后的偏見和思考去回首過去的10年——他們到底在想什么? 谷歌+上線干掉了臉書 Netflix.

1900/1/1 0:00:00
美國已積壓多個比特幣ETF申請 一旦通過能帶來期待已久的效果嗎?_比特幣

自從2013年Winklevoss兄弟首開比特幣ETF的濫觴,9年間每年美國都有不同的機構提出比特幣ETF申請,但都無一例外,均以失敗告終,甚至都成了一個“通過永遠在明年的魔咒”.

1900/1/1 0:00:00
元宇宙熱潮:深度解析Decentraland和Sandbox_AND

摘要:Metaverse:一個虛擬現實空間,用戶可以與計算機生成的環境和其他用戶互動。 什么是Metaverse?在基本層面上,"Metaverse"的概念是一個數字世界,玩家可以在共享的虛擬環.

1900/1/1 0:00:00
美國最大連鎖電影院AMC宣稱,將在年底前接受比特幣支付電影票_CRYPT

AMC娛樂公司首席執行官AdamAron在周一的季度財報電話會議上表示,該公司正在建立一種IT的方式支持比特幣的支付.

1900/1/1 0:00:00
ads