買比特幣 買比特幣
Ctrl+D 買比特幣
ads

區塊鏈:金色觀察|“迷途知返”的黑客與區塊鏈安全隱憂_OLY

Author:

Time:1900/1/1 0:00:00

截止到8月11日12時59分,Poly Network發生的O3資金池被盜事件,在持續發酵后,似乎有了最終結果。

黑客使用攻擊地址“自己給自己”發送交易,在交易附帶信息里說到“I NEED A SECURED MULTISIG WALLET FROM YOU”

隨后Poly Network回復:“We are preparing a multi-sig address controlled by known Poly addresses”并在50分鐘后回復了以太坊、BSC、Polygon三條鏈的接受地址,分別為:

金色午報|1月7日午間重要動態一覽:7:00-12:00關鍵詞:StoboxCompany、比特幣巨鯨、重慶區塊鏈

1.StoboxCompany遭遇黑客攻擊,Token跌幅96.93%;

2.第三大比特幣巨鯨再次購買760個BTC;

3.DaoMetaland發生Rug Pull,損失超640 BNB;

4.新加坡副總理:區塊鏈技術將使跨境交易更快速更安全;

5.Compendium.Fi完成250萬美元戰略融資,Axia8 Ventures等參投;

6.上海經信委主任:希望金融機構更加關注元宇宙;

7.Terra新提案提議為主要DeFi項目提供超1.39億美元的USDT和LUNA;

8.重慶區塊鏈“車載便民法庭”投入使用:工作數據鏈上全程留痕。[2022/1/7 8:31:46]

ETH: 0x71Fb9dB587F6d47Ac8192Cd76110E05B8fd2142f

BTC減半倒計時|金色財經挖礦收益播報:金色財經報道,據OKEx礦池數據顯示,下一次BTC減半日期預計為2020年5月13日,今天距此還有29天。BTC當前塊高625687,下一次減半塊高630000。

今日全網算力約111.84EH/s,全網難度約14.72T,預測下次難度15.71T(6.73%),距離調整還剩還有8天,今日BTC收益:0.00001709BTC/T/天。[2020/4/13]

BSC: 0xEEBb0c4a5017bEd8079B88F35528eF2c722b31fc

Polygon: 0xA4b291Ed1220310d3120f515B5B7AccaecD66F17

這場漫長的溝通經歷差不多15小時,第一次嘗試溝通,Poly Network嘗試取得溝通,并留下了溝通郵箱。2小時后,繼續溝通表示,如果歸還資產,會因為這次發現安全漏洞給予安全獎勵。

BiKi與金色財經聯合出品“交易公開課”首期已開課:“交易公開課”首期課程于今日在線上開課,首期課程為《數字合約入門-新手進階必修課》,由卡卡時評社區大V丹布朗·卡卡授課,本次課程 數字合約入門-新手進階必修課:共分為5部分,分別是1. 合約的定義,2. 合約的種類,3. 合約的一些術語介紹,4. 新手合約注意事項,5. Q&A(自由問答)。講師丹布朗·卡卡,BiKi交易學院首席金牌教學顧問、BiKi金牌經紀人、幣世界大V、纏論愛好者、幣圈知名機構投資顧問。

BiKi永續合約現已開放BTC、ETH永續合約交易,即將開放EOS、XRP、LTC永續合約交易。[2020/3/4]

隨后黑客在攻擊地址表示,可能會建立一個DAO決定地址中資金的流向。

Poly Network再次回復,建立DAO也改變不了資金被盜的事實,如果歸還資產,會為黑客提供安全賞金,并且這也會成為歷史上最大金額的“白帽”黑客事件而被銘記。

分析 | 金色盤面:EOS期貨合約持倉變化:金色盤面綜合分析: 據OKEX數據顯示,目前做多賬戶62%,做空賬戶37%,多頭持倉比例25.33%,空頭持倉比例22.04%,從數據看,目前做多賬戶依然占據優勢,但多空差距在減小,空頭主力平均持倉有增加的趨勢,短線注意做好風控。截止發稿,當周EOS0907合約價格為6.39美元,現貨價格為6.403美元,貼水0.013美元。[2018/9/1]

隨后便是黑客表示自己是傳奇,而將退還資產的關鍵消息的發布。

白帽黑客指正義的黑客,區塊鏈圈很多安全公司的中流砥柱都出自白帽。

也許這次參與的黑客真的如其所說,對錢不感興趣。

在下午5時左右,Poly公布的Polygon地址收到了101萬枚USDC。發稿前,其他地址暫時還沒有將資產轉入。

金色財經現場報道 金色財經合伙人佟揚:少一些貪婪 多一些對技術的向往:金色財經現場報道,在2018全球區塊鏈精英峰會上,進行以《從媒體角度看區塊鏈行業發展趨勢》為題的圓桌談論,金色財經合伙人佟揚指出:我們還應該思考,行業的亂象是不是由于過分貪婪造成的,如果我們少一些貪婪,多一些對于技術的向往,或許行業會有另一番景象。另外,投資風險分析能力與教育程度也對行業發展有影響。現在行業依舊存在信息不對等的情況。作為行業媒體,我們要堅定自己具有兩方面責任,面對讀者,我們要對內容去偽存真;面對行業我們要做好連接器的角色,讓更多的人了解區塊鏈技術本身,持續布道。[2018/4/28]

但作為區塊鏈從業者、用戶來說,面對攻擊事件,小概率可以得到善終,大概率是會波及項目和用戶資產安全。

此次安全事件發生后,在事件的評論中,有一條極為反諷的評論“講個笑話,區塊鏈是安全的。”

外行看熱鬧,內行看門道。

區塊鏈的安全是一個相對概念,而不是一個絕對概念。

在巨額收益的引誘、加密貨幣無監管、合約設計不成熟的情況下,加密貨幣網絡中的合約漏洞被當成黑客提款機也就不足為奇了。

傳統金融領域,安全不僅僅在于軟件,更多安全保證在于流程防護。但當全部的流程通過智能合約自動執行的時候,就會出現多個漏洞。

最大的保障變成了代碼正確性和安全案例的設計實踐。

此次Poly的問題就在于黑客可以控制資金池中管理賬戶轉賬的權限,當把轉出地址換成黑客自己的地址后,只要向合約發送虛擬的數據轉出交易,那資金池的資產就會順利被轉出。

這個漏洞主要在于,因為設計了一些合約接受某些數據而執行行為的操作,但可以執行這個動作又有多個因素管理,其中有一個因素漏洞被黑客利用了,劫取了“權限”。

這類事件還要有一個理解框架。

其中分為鏈的安全和合約安全。

一條公鏈,首先要保證鏈的安全,即總帳本的安全、交易打包的安全。然后是合約執行的安全。

軟件的安全依賴開發者代碼的成熟性,正所謂沒有絕對安全的系統,只有良莠不齊的開發者。

鏈的安全是指鏈上的共識算法設計、基礎協議的編寫不能有漏洞,其次是基礎協議執行的合約沒有問題,例如在以太坊上發型代幣,其合約是一個基礎流程,但如果合約漏洞里有明顯的增發漏洞,那極有可能被利用增發代幣。

鏈的安全,主要是共識來保證,比特幣使用中本聰共識,以太坊使用Ethash,波卡使用NPOS。其保證的是總帳本不能篡改。合約安全就只能考究其設計問題和編碼成熟度了。

所以合約設計者和開發者要嚴格設計合約,要檢查合約的設計漏洞,代碼編寫漏洞,設計邏輯,以及在業務場景里可能出現的問題。

在這里,我們還是再次通過合約審計的思路,來為大家提供理解合約安全的思路。

安全審計團隊拿到審計需求后,會先用團隊內部的安全審計工具過一遍,不過工具是一個輔助,然后進行人工審計,這個流程會按照審計列表將常規漏洞點審計一遍。

然后進行業務上的審計,其中包含什么業務場景、業務規模、業務邏輯。然后業務的描述如何,看代碼里是否有和描述功能不一致,是否會被薅羊毛,代幣是否有被鎖,權限設置錯誤問題,是否會增發或無限鑄幣等等。

但這些流程進行完畢后,上文講到,代碼的安全要看代碼編寫成熟度,而不同開發者因為其經驗,對合約的判斷也不同,再加上智能合約的特殊性和DeFi業務邏輯復雜性,代碼審計必須要進行交叉審計,相互審查的。

就像Poly的以太坊合約問題,其在該合約后續的流程上是沒問題的,但在黑客看來,通過合約流程前面的一些數據偽造,就控制了其合約轉出的權限。也是一種迂回擊破的方式了。

或者因為Poly是一個跨鏈系統,出問題的部分可以稱為跨鏈合約交互部分,這也代表著跨鏈案例的實踐,要邏輯更為嚴密。

從智能合約的設計來看,絕大部分DeFi合約出問題都出在資產轉移、價格計算和權限控制上,因此這些方面開發者需要入手向上延展,并找到這條路徑上可能存在的薄弱環節加以防范。

Poly此次是萬幸的,黑客可以歸還資產,盡管目前歸還了一小部分,我們還在等待更多的資產轉賬。筆者從Poly處獲取的消息是,目前合約已經在升級,最優先級的目標是追回用戶資產,其他的細節會后續公布。

從黑客公布的消息看,似乎黑客已經接受了Poly提出的安全賞金,也希望在這場博弈里,雙方可以快速結束相互的拉扯。就像Poly說的,讓這一次安全事件,成為歷史上最大的白帽黑客事件。

Tags:POLPOLYOLY區塊鏈poloniex關聯POLYBUNNY幣polyx幣創始團隊區塊鏈工程好就業嗎

以太坊交易
SOL:比特幣鏈下交易帶來數十億美元市場 區塊鏈擴容有哪些新機會?_比特幣從開始到現在的走勢圖

概述 2021 年年初至今,每周在區塊鏈上轉移的資產金額達到了數千億美元,比特幣、以太坊、USDC 和 Tether(在以太坊上)平均每周交易額為 2360 億美元.

1900/1/1 0:00:00
加密貨幣:一周必讀10篇 | 一文讀懂美國加密貨幣稅收修正案來龍去脈_Solidblock

1.NFT 那么多卻無從下手 看這篇就夠了這個夏天,NFT徹底出圈,不僅各大拍賣行拍出各種各樣的作品,各種運動員、時尚歌手、藝術家、品牌都在爭相推出自己的NFT.

1900/1/1 0:00:00
REP:區塊鏈技術如何在涉訴信訪中顯身手_goldminer幣圈

區塊鏈建立起的“信任”及“規則”不僅能夠適用于刑事、民事、行政等訴訟案件,也能在涉訴信訪領域進行不斷的驗證。可以說,司法活動的“上線、上云、上鏈”已經初見端倪.

1900/1/1 0:00:00
DEF:隨著機構投資者入場 DeFi能否迎來保險賽道的爆發?_My Defi Legends

隨著DeFi的興起以及伴生的暴富神話,風險也隨之而來。DeFi領域的風險損失總量多達10億美元。有的損失可能是協議本身設計問題,但除此之外很大一部分風險是可保的.

1900/1/1 0:00:00
以太坊:網絡穩定性報告:Kusama 與平行鏈_THE

在前 5 次平行鏈拍賣后,我們監控了 Kusama 網絡的穩定性。此時,網絡上有 6 條平行鏈.

1900/1/1 0:00:00
BDC:納斯達克解碼:NFT和CBDC碰撞出金融的未來 美國是否有相應的加密法規?_央行數字貨幣是加密貨幣嗎

從今年年初開始,不可替代代幣 (NFT) 市場一直在擴張,數字表明該領域的總資本目前可能在 10-500 億美元之間.

1900/1/1 0:00:00
ads