買比特幣 買比特幣
Ctrl+D 買比特幣
ads
首頁 > ICP > Info

NET:Poly Network千萬美元損失攻擊事件分析_OLY

Author:

Time:1900/1/1 0:00:00

2023年7月1日,一名攻擊者利用Poly Network的漏洞,在多條鏈上增發了價值420億美元的資產。盡管發行的資產數量龐大,但因低流動性和部分項目代幣凍結,攻擊者無法從5個外部賬戶地址獲取超過1000萬美元的資產。

這是今年發生的第一起跨鏈橋攻擊事件,也是針對Poly Network發起的第二次攻擊。去年攻擊事件的總損失金額達37億美元,其中跨鏈橋攻擊損失占35%。雖然本次事件看似是有史以來涉案金額最大的漏洞攻擊事件,但黑客的實際收益要低很多。

2023年7月1日北京時間14:47,一名惡意行為者通過發起數筆跨鏈橋交易,將資產從Poly Network的Lock Proxy合約轉至攻擊者的地址。從賬面上看,攻擊者從10條鏈上獲利超420億美元價值的資產。

穩定幣HOPE于Sepolia測試網dApp已開啟公測:4月3日消息,前貝寶金融(Babel Finance)創始人 Flex Yang 推出以原生加密資產作為儲備的分布式穩定幣 HOPE 在 Sepolia 測試網 dApp 現已開始公測,并已上線 HopeSwap、Staking、Liquidity Farming、Gauge Vote 等功能。[2023/4/3 13:42:30]

圖片:Poly Network 攻擊者錢包地址。來源:Debank

但其實這個數字具有誤導性。例如,攻擊者在Metis區塊鏈上持有超過340億美元的Poly-pegged BNB和BUSD,但這些代幣因缺乏流動性而無法賣出。后來Metis也在推文中確認,那些新鑄造的BNB和BUSD沒有可用的流動性,因此毫無價值。

同樣,大量剩余的代幣也變得一文不值。在聽說了這一事件和攻擊者發行的代幣后,幾個項目均及時采取了刪除流動性的行動,以防止代幣傾銷和價格崩潰。例如,OpenOcean、StackOS、Revomon和NEST都取消了項目的流動性,以防止攻擊者出售。

社交元宇宙Phi在Polygon測試網上線,預計11月上線主網:8月29日消息,社交元宇宙項目Phi宣布在Polygon Mumbai測試網上線,允許用戶根據ENS域名生成自己的個人空間,并可以根據他們的錢包活動聲明對象(ERC-1155)。

同時,Phi表示預計11月上線Polygon主網,并計劃將StarkNet的主網發布推遲到明年或更晚,屆時他們的生態系統已經到位。據悉,Phi是一個專注于“鏈上身份”的社交元宇宙,它由ENS域名和錢包活動創建。它鼓勵用戶與各種web3協議進行交互,從而為整個Crypto生態系統提供積極的反饋。[2022/8/29 12:55:51]

Revomon推特

盡管420億美元的數字并不能準確反映這次事件所造成的損失,但CertiK已證實至少有1000萬美元的資產被存放在5個以太坊錢包中。

Bitfinex已開放ATLAS和POLIS交易:據官方消息,Bitfinex已開放Star Atlas(ATLAS)和Star Atlas DAO(POLIS)交易。[2022/6/3 3:59:28]

2022年,影響跨鏈橋的安全事件導致了13億美元的經濟損失,而這13億美元僅僅是由五起事件造成的,因此跨鏈橋安全漏洞的破壞力可見一斑。保護跨鏈橋難度較高,再加上它們所具有巨大價值和各種可被利用的攻擊路徑,這些基礎設施往往是惡意行為者的首選目標。跨鏈橋由托管人、發債人、預言機等多種部分組成。由于鎖定在橋上的資金數量龐大,任何錯誤配置、漏洞或惡意利用都可導致重大損失。

Poly Network使用“鎖定”(Lock)和“解鎖”(Unlock)函數在不同網絡之間橋接資產。用戶必須先在源鏈上“鎖定”代幣,然后才能在目標鏈上進行“解鎖”。

IDEX在Polygon上推出其“混合流動性”DEX:金色財經報道,IDEX已在以太坊擴容解決方案Polygon上正式推出其“混合流動性”DEX。據悉,IDEX v3合并了兩種最流行的去中心化交易所設計,即訂單簿和自動做市商(AMM)。除了大量的重新設計外,IDEX還解決了在以太坊上開展業務所產生的飛漲的交易費用問題。[2021/12/2 12:44:53]

以下示例是基于從BSC到ETH的跨鏈轉移。

①攻擊者首先在BSC網絡上調用Lock函數,以發起少量8PAY代幣的跨鏈轉移。

圖片:攻擊者使用少量的8PAY代幣發起跨鏈轉移。來源:Etherscan

在這筆交易中,數據被指定為“0x4a14feea0bdd3d07eb6fe305938878c0cadbfa16904214e0afadad1d93704761c8550f21a53de3468ba599e80300000000000000000000000000”開頭“0x4a”四個字節代表數據長度。

動態 | Poloniex回應CLAM“閃崩事件”:無論如何損失將得到解決:Poloniex在推特發布了對于CLAM事件更新:“毫無疑問,我們致力于讓受影響的債權人成為一個整體,無論遇到什么樣的困境。我們正在努力實現這一目標,包括(但不限于)收回違約借款人欠貸款人的債務。無論如何,損失將得到解決。”據金色財經此前報道,用戶考慮起訴Poloniex,指責其處理加密貨幣CLAM閃崩虧損之舉為盜竊。[2019/6/8]

②攻擊者調用了EthCrossChainManager.verifyHeaderAndExecuteTx()函數,觸發了相應的UnlockEvent“解鎖”函數。我們可以從開頭表示數據長度的4個字節看出,當前的交易數據已發生改變。

“0x14feea0bdd3d07eb6fe305938878c0cadbfa16904214e0afadad1d93704761c8550f21a53de3468ba59900e00fc80b54905e35ca0d000000000000000000000000000000000000000000“

在這筆交易中,8pay代幣的數量顯著增加。

③攻擊者按照上述步驟重復了這一過程。其中涉及57種代幣,且分布在11個不同的區塊鏈上。攻擊者從中獲利約420億美元的資產(按賬面價值計算)。

圖片:Poly Network攻擊者在以太坊上解鎖的代幣。來源: Etherscan

在以太坊網絡上,攻擊者成功將一些代幣轉換成了ETH。過程如下:

在攻擊期間,攻擊者還通過一筆交易轉移了1592枚ETH(約305萬美元),并將2240枚ETH分別轉至3個EOA外部賬戶。此外,攻擊者還獲取約301萬枚USDC和265萬枚USDT,分別兌換為1557枚和1371枚ETH。

攻擊者將剩余的部分代幣資產轉移到了新的EOA地址,并向每個地址轉移1枚ETH。(盡管他們目前尚未兌出這些代幣)。由于項目所有者為防止拋售而從代幣中移除流動性,一些代幣變得毫無價值。截至目前,攻擊者似乎只能從該事件中獲得約1000萬美元的資金。

圖片:Poly Network攻擊者將資產和數量為1的ETH轉入新的EOA地址

2022年,Web3.0生態系統經歷了跨鏈橋攻擊的毀滅性影響,Ronin Bridge、Wormhole、Nomad等項目都遭受了安全事件的影響。Poly Network事件的初期檢測結果顯示,這是Web生態系統迄今為止遭遇的最大安全事件,但由于新鑄造代幣缺乏流動性支持,損失在撰寫本文時已被控制在大約1000萬美元。目前尚無關于攻擊者如何利用Poly Network的確切共識。然而初步跡象表明,因鏈上功能運行正常,很可能是私鑰泄露或鏈下漏洞導致。

CertiK中文社區

企業專欄

閱讀更多

金色早8點

Odaily星球日報

金色財經

Block unicorn

DAOrayaki

曼昆區塊鏈法律

Tags:POLOLYPOLYNETpolkawallet官網Monopoly Millionaire GamePoly BridgePrivapp Network

ICP
BTC:晚間必讀 | BTC充滿糾結的技術棧:歷史、現狀、未來_solana幣發行價格

市場的本質在于交易。回溯市場發展演變就像是在看一本「人類如何實現更高效交易」的編年史。區塊鏈最出圈應用場景 DeFi 的幾次迭代也圍繞著「更高效交易」展開.

1900/1/1 0:00:00
LOCK:硅谷王川:長期主義的實踐為什么這么難?_BLOC

作者:硅谷王川 我的投資俱樂部成立到現在已經八年多了。前幾天和一位朋友聊,提起 2016年俱樂部的群友在 A 市的第一次聚會,現場大約二十多人,七年之后,只有他一個人還在群內.

1900/1/1 0:00:00
NBS:門限簽名的概念與應用_區塊鏈

本講將分四個部分介紹門限簽名的概念與應用:第一部分,介紹數字簽名的概念與分類,闡述其基本算法組成以及具備的應用功能;第二部分,針對數字簽名存在的單點失效風險引入門限簽名概念.

1900/1/1 0:00:00
BSP:Gemini起訴DCG的法律文件都說了些什么?_ESI

本周,對于 Gemini 和 DCG 之間的財務糾紛曾進行報道,詳見《Gemini 聯創下“最后通牒”.

1900/1/1 0:00:00
NFT:NFT借貸協議機制比較:下跌≠必然清算_NBS

隨著 Azuki 事件的發酵,NFT 社區和行業都在面臨著考驗。不僅各大藍籌 NFT 系列經歷了不同幅度的下跌,眾多 NFT 借貸平臺.

1900/1/1 0:00:00
BSP:OP 堆棧的模塊化數據可用性_BSPAY價格

原文:Javed Khan | celestia blog 編譯:GWEI Research 簡介 自去年發布以來,OP Stack 在匯總開發人員中獲得了巨大的吸引力.

1900/1/1 0:00:00
ads