POLY:Poly Network被盜6.1億美元，幣圈「乞丐」竟為黑客出謀劃策_加密的pdf怎么轉換成word文檔免費

8月10日晚間，跨鏈互操作協議PolyNetwork突遭黑客攻擊，在PolyNetwork現已集成的三大主流生態上，黑客分別盜走了2.5億、2.7億、8500萬美元的加密資產，損失總額高達6.1億美元。

史上最大黑客事件

6.1億美元是什么概念？如果按照事件發生時相關資產的市場價格計算，這不僅僅是DeFi歷史上涉案金額最大的黑客事件，更是整個加密貨幣歷史上涉案金額最大的黑客事件，超過了鼎鼎大名的Mt.Gox事件，以及2018年的Coincheck大案。如果僅在DeFi市場內部比較，Odaily星球日報此前曾做過一次不完全統計，2020年DeFi領域內共發生了四十余起起攻擊事件，損失金額約1.774億元美元，PolyNetwork這次事件的數字足足是其三倍有余。關于本次事件發生的具體原因，Odaily星球日報已詢問了PeckShield、慢霧、BlockSec、Certik、成都鏈安等多家知名安全公司。其中BlockSec向Odaily星球日報表示，黑客向PolyNetwork合約內的函數「verifyHeaderAndExecuteTx」提供了一個有效的簽名消息，且「LockProxy」合約內中的「onlyManagerContract」修改符不會被繞過。基于這些觀察，BlockSec認為造成本事件的原因可能是用于跨鏈簽名的私鑰被泄漏，或是簽名程序有邏輯漏洞導致簽署出了攻擊交易。

韓國區塊鏈開發公司Polaris Share Tech獲得約300萬美元投資:7月27日消息，韓國Polaris集團旗下區塊鏈開發公司Polaris Share Tech宣布，其通過增資或發行附認股權證債券，從Polaris Office等公司吸引了40億韓元（約合304.4萬美元）的投資。資金將作為該公司的運營資金，用于升級及研發其知識共享區塊鏈平臺“Polaris Share”的服務以及招聘專業人才。（Sentv）[2022/7/27 2:40:20]

這一分析也與其他一些KOL的觀點基本吻合。TheBlockResearch分析師IgorIgamberdiev認為，PolyNetwork遭到攻擊的根本原因是密碼學問題，這可能類似不久前剛剛發生的Anyswap黑客事件——在那起事件中，黑客通過合約漏洞成功推倒出了密鑰，最終竊走了790萬美元。

安全研究員MuditGupta則提出了另一個可能性，由于PolyNetwork的合約只有一個keeper，除了黑客可能通過某種手段獲取了密鑰之外，也有可能是黑客與團隊內部人員勾結完成了攻擊，這需要更為徹底的調查。

PrimitiveVentures創始合伙人DoveyWan也表示：“PolyNetwork和O3都沒有完全開源，所以這很有可能是一次內部攻擊事件。”--------------------------------------------------------------8月11日08:40更新：慢霧安全團隊分析指出：本次攻擊主要在于EthCrossChainData合約的keeper可由EthCrossChainManager合約進行修改，而EthCrossChainManager合約的verifyHeaderAndExecuteTx函數又可以通過_executeCrossChainTx函數執行用戶傳入的數據。因此攻擊者通過此函數傳入精心構造的數據修改了EthCrossChainData合約的keeper為攻擊者指定的地址，并非網傳的是由于keeper私鑰泄漏導致這一事件的發生。

Permission.io將遷移至Polygon網絡，加速Web3廣告在全球的擴張:4月27日消息，據官方消息，Web3廣告提供商Permisison.io宣布，它將從自己的專有區塊鏈遷移到Polygon。Polygon是卓越的以太坊擴展解決方案，擁有超過1億的獨立用戶。Permission.io需要采取一系列措施使$ASK通證可以訪問所有主要協議并與之交互，這是第一步。

Polygon網絡速度快、交易成本低，可以助力Permission加密獎勵廣告平臺加速發展。Polygon的基礎設施解決方案使廣告商能夠以高效、經濟的方式在全球網絡上開展活動，同時用$ASK獎勵用戶參與活動、共享自己的數據，這是Permission平臺去中心化和不斷發展的核心。此外，Polygon將通過實現與Polygon和以太坊生態系統的互操作性來增強ASK的實用性，包括可以訪問DeFi、質押、錢包等。

為了實現遷移，$ASK持有者和Permission用戶可以使用$ASK橋接器將其$ASK遷移到Polygon網絡。（AMBCrypto）[2022/4/27 2:34:11]

09:50更新：上文提到的MuditGupta隨后也對自己的分析做出了部分修正。Mudit表示他并不認同慢霧的判斷，但PolyNetwork起初確實是有四位keeper，執行著3/4的多簽配置，不過在攻擊前，黑客控制了其中至少3個keeper，并將其換成了單簽，這也是為什么所有的黑客交易都只有一個keeper簽名。

Dvision Network將在Polygon主網上發布LAND NFT:1月14日消息，NFT元宇宙平臺Dvision Network宣布將在Polygon主網上發布LAND NFT。去年11月，Dvision分別在BinanceNFT、NFTb和Dvision Marketplace三個平臺上出售LAND NFT。[2022/1/14 8:48:46]

10:25更新：慢霧創始人余弦今日上午于社區內就此事件進一步解釋稱，攻擊者更換keeper是通過正常的跨鏈流程實現的，只是在傳入verifyHeaderAndExecuteTx函數中的數據是調用ECCD合約更換keeper。之所以keeper能夠更換成功，是因為ECCD的owner是ECCM。之所以能簽名一筆更換keeper的交易，是因為跨鏈要執行的數據沒有判斷好tocontract，所以可能原先的keeper以為是一筆正常的跨鏈交易就簽名了，但這實際上是一筆更換keeper的交易。余弦最后總結表示，可以理解為這次被黑有兩個借刀殺人。一個借原先keeper進行簽名，一個借ECCM的權限進行更換keeper。我們將在其他安全公司進一步回復后繼續更新本文。--------------------------------------------------------------

圍堵與逃竄

8月10日20:38，PolyNetwork官方于推特確認了攻擊事件，并貼出了黑客在不同鏈上的具體地址。官方同時表示，為了追回失竊資金，PolyNetwork將采取法律行動，敦促黑客盡快還款，希望相關鏈上的礦工及各大交易所伸手援助，共同阻止黑客地址所發起的交易。

數據：當前Polygon上總鎖倉量為62.19億美元:據DeBank數據顯示，目前Polygon上總鎖倉量62.19億美元，凈鎖倉量48.45億美元。鎖倉資產排名前五分別為Aave（23億美元）、QuickSwap（12億美元）、SushiSwap（6.23億美元）、Curve（5.27億美元）、DinoSwap(2.56億美元)。[2021/8/15 22:16:05]

黑客地址：以太坊地址：0xC8a65Fadf0e0dDAf421F28FEAb69Bf6E2E589963；BSC地址：0x0D6e286A7cfD25E0c01fEe9756765D8033B32C71；Polygon地址：0x5dc3603C9D42Ff184153a8a9094a73d461663214。在PolyNetwork發出呼吁之后，各方KOL紛紛發聲支援，試圖阻止黑客洗錢。趙長鵬于推特表示：“我們已獲悉PolyNetwork發生的黑客事件。雖然沒有人能夠控制BSC或以太坊，但我們正在與所有安全合作伙伴協調，我們將盡已所能，主動提供幫助。”OKExCEOJay也表示：“OKEx已在關注此案，我們正在觀察貨幣的流動，并將盡最大努力來協助處理該事件。”另一邊，穩定幣USDT的發行方Tether更是快速響應，直接凍結攻擊黑客以太坊地址中3300萬USDT。

Polkadot通過62號動議計劃將升級至runtime 28:2月18日，Web3基金會技術教育主管Bill Laboon發推公布波卡項目相關進展稱，62號動議已經通過，該項動議計劃將Polkadot升級到runtime 28。同時技術委員會已被要求加快這項提案的進度。[2021/2/19 17:28:19]

黑客通過Curve將近1億USDC兌換為DAI。不過，雖然已有多方參與了針對黑客的堵截，但黑客仍在通過各種手段快速混幣，包括在以太坊上利用Curve混幣逾9700萬美元，以及在BSC上利用Curve分叉項目EllipsisFinance混幣近1.2億美元。

大型乞討現場

失竊金額如此之大，受害者數量自然也少不了。就目前情況來看，遭受此次事件影響的主要群體是通過跨鏈聚合器O3Swap進行挖礦的用戶，O3Swap本身也因此暫停了跨鏈相關服務。在事件發生之前，O3Swap在Polygon等鏈上的穩定幣池年化可超過20%，一些短期單幣池的年化更是可達百分之數百，在DeFi挖礦收益日趨下行的今天，這一年化水平還是相當具有吸引力的。大量“DeFi農民”沖著高收益而來，卻最終落得了個“血本無歸”。而之所以PolyNetwork被攻擊，O3Swap用戶遭殃，是因為O3Swap的跨鏈功能系基于PolyNetwork搭建。事實上，在PolyNetwork官方確認被黑之前，社區之內的主要猜測也是O3Swap合約被黑客攻破。在以往DeFi被盜、用戶求助無門的情況下，不少人會選擇向黑客的地址發送一筆交易，留言述說這是自己的血汗錢，懇求黑客歸還資金。而這一次，許多“看熱鬧不嫌事大”的旁觀者卻讓事情“變味”了。

在某位吃瓜群眾“提示指導”黑客其USDT已被列入黑名單，并被黑客“回禮”了13ETH之后，更多原本與本次事件無關的人也開始加入了這場大型“乞討”之中，通過“支持”黑客尋求打賞，甚至拜托黑客“拉盤”自己持有的幣。

“技術”一般的吃瓜群眾大多選擇直接乞討，比如說「大哥，給我點兒錢吧」或是「大佬，求求你了」。“技術”再好點的用戶會選擇講講故事，甚至讓黑客成為自己的“天使投資人”，比如說「我看中了一個項目，如果你給了我多少多少錢，待我飛黃騰達后定會加倍奉還」，或是說「自己還在上學，也有個黑客夢想，希望能夠獲得前輩的資金支持」。

“技術”最好的用戶根本不墨跡，二話不說，直接認爹。更有甚者，一些人試圖通過告訴黑客一些可行的混幣措施，來換取黑客的代幣施舍……這種看似“好玩”的做法實則非常不可取，也是對焦急痛心的失主極大的不尊重。

追回資金，還有希望嗎？

撇開種種鬧劇，事件既已發生，各方最為關心的事情莫過于能否成功追回資產。結合此前DeFi世界內曾發生過的多起安全事件來看，追贓并非毫無可能，比如去年的dForce及EMD事件，最終都成功追回了失竊資金。整體來看，此類事件基本上都有一個共同點——通過追蹤，黑客在現實世界的身份暴露，面臨著來自項目方及受損用戶的起訴和追責，最終選擇主動歸還資金。過往案例告訴我們，盡管DeFi在交互層面上已實現了去中心化，但一個個受法律保護及約束的人類才是參與DeFi的主體，因此DeFi也絕不是什么無法之地，在鏈上資產意外遭遇損失時，尋求鏈下的法律保護是最有效的解決措施。目前較好的一個消息是，慢霧安全團隊表示，在合作伙伴虎符及多家交易所的技術支持下，已通過鏈上及鏈下追蹤已關聯發現攻擊者的郵箱、IP及設備指紋等信息，正在追蹤PolyNetwork攻擊者相關的可能身份線索。慢霧安全團隊梳理發現，黑客初始的資金來源是門羅幣，然后在交易所里換成了BNB/ETH/MATIC等幣種并分別提幣到3個地址，不久后在3條鏈上發動攻擊。

或許是感覺到了壓力，黑客也在8月11日00:05通過一筆交易公開表示有意歸還部分資金。與此同時，黑客還提出了一個新的可能，即利用這筆資金發行一個全新代幣，并通過DAO的形式進行運作。不過，慢霧提到的關鍵合作伙伴虎符隨后在社群內進一步回應稱，黑客只是在虎符注冊了一個沒有KYC的賬號，并轉出了少量ETH作為gas費用，并沒有資金流入虎符。最為關鍵的是，黑客在虎符內的賬戶并沒有實名認證，所以能否通過其他信息成功定位黑客身份暫時仍無法確定。稍早前，PolyNetwork官方再次通過公開信的形式向黑客喊話，強調數億美元的資金在任何司法轄區都會是特大案件，希望借此向黑客施壓，獲得與對方溝通的機會。但截至發文，PolyNetwork仍沒有披露其他任何實質性的進展。

隨著多鏈格局的日漸穩固，跨鏈橋作為不同生態之間流動性往來的渠道，其所承擔的價值正快速膨脹。從前不久的Chainswap、Anyswap，再到今天的PolyNetwork，這一賽道已成為了黑客眼中的“香饃饃”，安全形勢日趨嚴峻，項目方、審計公司、用戶均需提高警惕。PolyNetwork事件仍在持續發展中，后續的任何進展，Odaily星球日報均會第一時間核實、報道，還請大家保持關注。-------------------------------------------------------

12:05更新：11:48，黑客以太坊地址通過一筆交易的附加信息表示：正準備歸還資金！交易哈希為：0x7b6009ea08c868d7c5c336bf1bc30c33b87a0eedd59dac8c26e6a8551b20b68a。

Tags：POLOLYPOLYWORpolkadot總量Polysports加密的pdf怎么轉換成word文檔免費

火必下載