發生在8月10日的PolyNetwork攻擊事件可能是史上涉及金額最大的一起網絡安全事件,超過6.1億美元的加密資產在15天內被盜并被歸還。整個Blockchain行業及所有相關方,和PolyNetwork一起經歷了這跌宕起伏的過程。目前所有涉及資產已經全部歸還用戶,系統功能已經基本恢復至事件前水平,這起事件終于可以落下帷幕。在過去的兩周我們也收到很多關于這個事件的詢問,在此希望從我們的角度以一個公開透明的方式對此次事件進行一次回顧,以警示我們銘記本次事件,同時也讓更多的人了解到整件事情的處理細節,在這次事件中我們也許做的并不完美,但是或許是一點寶貴的經驗。
發生了什么
關于事故的具體描述,多家安全機構都進行了評述:1.慢霧:PolyNetwork攻擊的分析和問答TheAnalysisandQ&AOfPolyNetworkBeingHackedKelvinfichter關于攻擊原因的分析https://twitter.com/kelvinfichter/status/1425290462076747777慢霧:PolyNetwork攻擊的總體技術陳述https://slowmist.medium.com/the-root-cause-of-poly-network-being-hacked-ec2ee1b0c68f事發當晚也是我們承受最大壓力的一晚,我們盡量做到目標明確,有條不紊解決核心問題:鎖定資產,減少社區猜測,建立溝通渠道。l嘗試與攻擊地址取得聯系;https://etherscan.io/tx/0xf6488e1efacd9c280eb91133d04ba357beca8016df8b0b0524b9a2e207b2ad7f,https://twitter.com/PolyNetwork2/status/1425123153009803267l發現漏洞,尋找漏洞修補方案,分析資產去向和攻擊者行為;https://twitter.com/PolyNetwork2/status/1425130017546149891,https://twitter.com/SlowMist_Team/status/1425197809058254849l清點受影響資產,聯系資產發行方凍結資產,減小不可控制的損失;https://twitter.com/PolyNetwork2/status/1425073987164381196l通知各交易所,關注資金出金意圖;l呼吁礦池礦工攔截攻擊者試圖洗錢的交易;https://twitter.com/PolyNetwork2/status/1425090228830842893l向用戶、社區和媒體及時傳達進展;https://twitter.com/PolyNetwork2/status/1425130017546149891最終進展如下:l通過ETH網絡與0x8a地址建立加密溝通渠道;lTether宣布凍結了相關的超3300萬USDT資產;https://twitter.com/paoloardoino/status/1425090760609832978l幣安,Okex,火幣等發布公告,會關注此事件資金流向;https://twitter.com/cz_binance/status/1425091869709570060,https://twitter.com/JayHao8/status/1425094897976193034,https://twitter.com/DujunX/status/1425100770588954626l與USDC,BSC,Polygon,Heco,wBTC,MetaMask等取得聯系;lPolyNetwork推特持續發布事件進展,減少用戶恐慌情緒,避免非屬實的流言。https://twitter.com/PolyNetwork2/status/1425309429935710208去中心化還有很長的路要走
Horizen網絡預計將于6月7日進行節點升級:5月19日消息,開發人員本周早些時候在GitHub上證實,Horizen網絡預計將于6月7日進行節點升級。
根據Messari的數據,硬分叉已經安排在Horizen主網區塊高度1,363,115(預計UTC時間2023年6月7日13:00)。節點運營者已被要求在2023年5月31日前更新到Zen v4.0.0。
此次升級將增強Horizen的側鏈版本2,并修復當前節點版本中遇到的一些小錯誤。(CoinDesk)[2023/5/19 15:14:21]
通過與白帽先生的溝通,雙方緩和了情緒,基本信任建立。8月11日,攻擊者宣布「準備歸還資產」。隨后PolyNetwork的收款地址部署完成,8月11日8:43:57AM+UTCPoly團隊開始回收第一批退還資產。截止到8月13日,系統收回足夠的資產以恢復部分功能,在與白帽先生確認后,項目進入了恢復重建階段,核心目標還是兩點:促成資產收回,快速系統修復。l與白帽先生確認收款流程;https://etherscan.io/tx/0x910b00b2b60b76d7c29a1855f9a1ebf204356eed22498334ddd46e46d96e06c2l向用戶承諾將收回全部資產作為首要目標;https://twitter.com/PolyNetwork2/status/1425785007486820368l修復系統漏洞,確保系統的安全性;https://github.com/polynetwork/eth-contracts/pull/12/filesl確認系統重啟計劃和籌備路線圖;https://medium.com/poly-network/poly-network-roadmap-for-the-next-phase-9f84c03c2e53?source=social.tw&_branch_match_id=549963884981436182l開放恢復資產的項目方申請通道;https://twitter.com/PolyNetwork2/status/1427233445185409026l與Tether協商凍結的USDT處理方式;l與社區保持溝通;https://twitter.com/PolyNetwork2/status/1425739339820982275最終進展如下:l回收BSC,Polygon資產;https://twitter.com/PolyNetwork2/status/1425309429935710208l建立共管賬戶;https://etherscan.io/tx/0xf391ec8d5935d4ec11efb2c8b99ba3586cb0b0f05c5e0b9c44c74a1c40386bd7l完成修復系統漏洞并公布新安全方案;https://twitter.com/PolyNetwork2/status/1426819500263890946l宣布系統重啟路線圖;https://twitter.om/PolyNetwork2/status/1426490057276280832l確認可恢復功能項目清單并支持功能恢復;https://twitter.com/PolyNetwork2/status/1427839007501680640白帽先生自己也在區塊鏈上闡述了自己此次攻擊的原因,過程和給大家的誠懇建議,我們對全文進行了記錄:https://docs.google.com/spreadsheets/d/14hMTpPNylZG6DizU3K-fpDbfYZxenI_KtbHpWkdc7VM/edit#gid=0期間,PolyNetwork團隊也在經歷著前所未有的評議與爭論,我們看到最大的爭議也同樣是白帽先生提出自己最大的顧慮-PolyNetwork的去中心化進程;在此,我們也想為此疑慮做出解釋,事實上項目已經在去中心化的路徑上探索許久,我們相信去中心化永遠是優秀的協議非常重要的一環,如果有興趣,大家可以關注下:https://github.com/polynetwork/Zion,在半年前,我們已經啟動了PolyNetwork的新版本的開發,我們希望未來通過完整的經濟模型和治理機制,來保證整個網絡的去中心化管理。因為跨鏈協議不同于單鏈項目,由于要實現不同特性鏈之間的互操作性,除了實現安全性要比單鏈更加復雜外,如何更有效的治理也是一個重要的部分,實現多元化世界的一致性,需要各個相關方進行更加高效的共識。安全就是一切
幣安全球制裁負責人:伊朗客戶賬戶誤凍結問題正在解決中:金色財經報道,幣安(Binance)全球制裁負責人 Chagri Poyraz 在接受 The Block 采訪時表示,雖然一些批評人士聲稱該公司在合規方面做得不夠,但交易所可能在其他方向上走得太遠,“數以千計”的伊朗客戶賬戶被誤凍結。 Poyraz 表示,盡管他的公司在改進合規協議方面取得了長足進步,尤其是自去年以來,該交易平臺努力消除其受制裁客戶的數據庫,但往往導致客戶的賬戶被錯誤封鎖。我們花了長達六個月的時間來清理所有積壓的訂單,這些賬戶被屏蔽了,它們本來不應該被屏蔽,這個問題正在解決中。[2023/5/4 14:41:25]
安全一定不是一蹴而就的事,對于網絡安全,此次事件已經凝聚了全行業最直接深刻的體會。https://twitter.com/PolyNetwork2/status/14261973611774935118月15日,在確定并公布恢復計劃后,團隊開始持續推進和落實路線圖中的工作,包括在immunefi的平臺上發布了總額為50萬美金的安全賞金計劃,希望吸引全球安全機構和白帽組織為PolyNetwork的安全助力,當然這只是安全的第一步,系統恢復期內我們也:l邀請白帽先生作為PolyNetwork的首席安全顧問并提供160ETH安全賞金https://twitter.com/PolyNetwork2/status/1427574236483231749l與PeckShield、BlockSecTeam、Beosin(ChengduLianAnTech)等安全機構確認修復和重啟方案1)PeckShield:https://peckshield.medium.com/polynetwork-bug-review-and-patch-analysis-88bde84412972)BlockSecTeam:https://blocksecteam.medium.com/the-informal-security-review-of-the-patch-of-the-poly-network-1a0a532b731e3)Beosin(ChengduLianAnTech):https://beosin.medium.com/boesins-analysis-of-the-fix-code-on-poly-network-smart-contracts-a305639ea626https://medium.com/poly-network/latest-updates-aug-20-a12447c6d899https://medium.com/poly-network/latest-updates-aug-19-ed7ab8e5c2f0https://medium.com/poly-network/latest-updates-aug-17-241398d64a40同時我們也想引用白帽先生闡述的對區塊鏈安全的一些建議,我們覺得在一定程度上是中肯客觀的。https://etherscan.io/tx/0x078063e9574e1937a64b6552919b9fc0035429df1e601d79e200bf211e75f337https://etherscan.io/tx/0x42446ccc66bb48eac7bd905ae7d79708f303849802b280eb4d65770c1bfc0997我們相信協議的安全始終是重要的一環,但是我們也相信在crypto的世界里,代碼之上仍有更廣袤和豐富的存在,或許大家有著不同的價值觀和知識儲備,但是依舊可以公平的參與到這個世界建設和治理里,我們在未來想建立的不僅僅是一個安全的協議,更是一個對所有人公平透明的協議。所有的代幣都還給你了所有的故事都會有一個尾聲,很欣慰,這次的故事是一個HappyEnding。l8月19日,白帽先生歸還了Ethereum上的96,942,063個DAI。l8月22日,除wBTC和ETH資產已盡數歸還。PolyNetwork開始進行穩定幣的資產清點和復原,以協助O3Hub的功能恢復。l8月23日完成了白帽先生返回的96,942,063個DAI與USDC之間的轉換,同時將BSC上的87,557,051個BUSD轉換為USDC(BEP-20)。對于在交易中產生的滑點損耗和手續費,PolyNetwork團隊用自有資金進行補償。https://etherscan.io/tx/0x814e6a21c8eb34b62a05c1d0b14ee932873c62ef3c8575dc49bcf12004714edahttps://medium.com/poly-network/latest-updates-aug-23-7f6cca47b574l8月23日白帽先生公布了多簽錢包的私鑰。https://twitter.com/PolyNetwork2/status/1429738587046563841l8月25日,此次攻擊事件受影響的WBTC和ETH資產全部恢復。https://twitter.com/PolyNetwork2/status/1430485302527741954l同日,Tether將此前凍結的33,431,200USDT資產全數釋放至PolyNetwork接收資產的多簽錢包內。https://twitter.com/Tether_to/status/1430510652582416387l8月26日,PolyNetwork完成USDT資產的復原工作。至此,所有受此次攻擊事件影響的資產恢復完畢。https://medium.com/poly-network/poly-network-asset-recovery-complete-a7ba33c2f2e4
OKX Blockdream Ventures地址于1小時前向OKX轉入19814枚SSV:3月1日消息,據0xScope Protocol監測,被標記為OKX Blockdream Ventures的地址于1小時前向OKX轉入19814枚SSV,價值約86.1萬美元。此次轉入的代幣于一個月之前解鎖。[2023/3/1 12:36:29]
謝謝大家支持我們
這個故事到了一個尾聲,但是對于我們來說卻是下一個征程的開始,在新的征程開始之前,我們想對所有使用PolyNetwork的項目和用戶,表示誠摯的感謝和深切的歉意。很抱歉由于系統漏洞給所有用戶帶來的困擾。感謝你們對項目的信任,雖然我們有可能會失去了一部分曾經相信我們的人,但我們會用之后的行動重新建立大家對項目的信心。同時,我們也將會用我們的方式去感謝所有使用過,支持過,一起經歷過這次事件的每個人,后續具體的細則我們將在系統完全恢復后在官方渠道公布,請大家保持關注。最后我們想說,項目安全始終是PolyNetwork以及整個行業永恒的主題,希望PolyNetwork事件不僅能幫助我們建設一個更健壯的項目,還能給整個行業帶來足夠深刻和持久的警示。對于我們來說,這段經歷將成為我們永不會忘卻的記憶,它不僅僅代表了一個協議的安全,更有關對信任、權力、欲望、責任、信仰新的理解。
歐盟政策制定者對亞馬遜參與數字歐元項目提出異議:9月30日消息,多位歐洲議會議員在歐洲議會經濟和貨幣事務(ECON)委員會對亞馬遜參與數字歐元項目提出異議,擔憂主要集中在亞馬遜曾涉嫌違反歐盟數據保護法規,并曾因此被罰款7.46億歐元,“我們知道亞馬遜希望用數據獲得報酬”議員Stéphanie Yon-Courtin提到。[2022/9/30 6:04:10]
Annex Capital創始人:三分之二的加密對沖基金將失敗:金色財經消息,PIR Equities前聯合創始人Oded David \"O. D.\" Kobo表示,大多數加密對沖基金將無法度過此次加密冬天。他認為三分之二投資加密貨幣的對沖基金將由于當前市場低迷而失敗,并將當前的下行周期歸咎于具有挑戰性的全球宏觀背景。“交易量將下降,對沖基金將不得不重組。新的加密對沖基金如此之多,令人應接不暇。我估計三分之二的基金將會退出市場,它們并不都是為此而生的。”
2020年,O.D. Kobo成立數字資產投資機構Annex Capital,他是該領域的積極投資者,最近被評為加密領域最富有的50人之一。(Bitcoinist)[2022/7/16 2:17:31]
提要比特幣不使用“賬戶-余額”的模式來表示價值。相反,它將幣作為首要的概念,每一筆錢各自由比特幣用戶持有。一個未花費的交易輸出代表“一整塊”的比特幣。UTXO被用作比特幣交易的輸入.
1900/1/1 0:00:00區塊鏈技術——以及它們啟用的加密貨幣——有可能像30年前的互聯網那樣徹底地重塑世界。正如我們不需要了解TCP/IP是什么或數據包路由如何工作以使用萬維網一樣,我們也不需要了解加密的所有細節來使用.
1900/1/1 0:00:00Odaily星球日報譯者|余順遂 摘要: NFT加密收藏品市場OpenSea最近交易活動和成交量激增。在過去的一個月里,它已經處理價值超過12億美元的交易.
1900/1/1 0:00:00本文節選整理自2014年,當時馬克安德森的風險投資公司AndreessenHorowitz已向與比特幣相關的初創企業投資了近5000萬美元。該公司正在積極尋找更多基于比特幣的投資機會.
1900/1/1 0:00:00Axie是加密游戲發展的催化劑隨著AxieInfinity的崛起,加密游游和NFT越來越為人們所關注。相對于DeFi,游戲的受眾更加廣泛,這從Axie游戲用戶的快速發展也可以看出來.
1900/1/1 0:00:007月26日-8月1日當周,明星項目進展中值得關注的事件有:Uniswap創始人和Paradigm開發者合作構建新做市系統.
1900/1/1 0:00:00