買比特幣 買比特幣
Ctrl+D 買比特幣
ads
首頁 > 以太坊 > Info

POL:金色觀察|“迷途知返”的黑客與區塊鏈安全隱憂_POLY

Author:

Time:1900/1/1 0:00:00

截止到8月11日12時59分,PolyNetwork發生的O3資金池被盜事件,在持續發酵后,似乎有了最終結果。

黑客使用攻擊地址“自己給自己”發送交易,在交易附帶信息里說到“INEEDASECUREDMULTISIGWALLETFROMYOU”

隨后PolyNetwork回復:“Wearepreparingamulti-sigaddresscontrolledbyknownPolyaddresses”并在50分鐘后回復了以太坊、BSC、Polygon三條鏈的接受地址,分別為:

ETH:0x71Fb9dB587F6d47Ac8192Cd76110E05B8fd2142f

金色午報 | 11月6日午間重要動態一覽:7:00-12:00關鍵詞:灰度、波卡平行鏈、以太坊2.0、16000美元

1.湖南印發區塊鏈發展總體規劃 提出加強數字貨幣監測;

2.Filecoin Plus測試版將上線 基金會成為第一名公證人;

3.波卡平行鏈最新進展:已推出V1版本,共識代碼已更新;

4.灰度以太坊信托增持超10萬枚ETH 以太坊信托達到10億美元;

5.灰度BTC信托增持7809BTC連續16個工作日有增持;

6.“btc all time high”在谷歌搜索頁面搜索量上漲250%;

7.以太坊2.0存款合約地址持幣突破3.47萬個ETH;

8.安永報告:當前可用于分配QuadrigaCX用戶索賠的資產余額僅約2980萬美元;

9.比特幣一度逼近16000美元關口,以太坊最高突破440美元,主流幣普遍上漲。[2020/11/6 11:49:09]

BSC:0xEEBb0c4a5017bEd8079B88F35528eF2c722b31fc

金色午報|7月14日午間重要動態一覽:7:00-12:00關鍵詞:建設銀行、區塊鏈電子合同、Uniswap

1.央行今日進行300億元人民幣7天期逆回購操作。

2.建設銀行區塊鏈國際銀團資產轉讓平臺正式上線。

3.京東數科將為中小企業提供區塊鏈電子合同簽約云服務。

4.北京市將利用區塊鏈等技術對危險化學品進行管理和監控。

5.主力大單跟蹤:BitMEX主力在下跌中大量平空。

6.2153個地址持有779萬枚BTC 占BTC總數的42.27%。

7.MakerDAO發起投票 將對基本利率和若干MIPS進行調整。

8.徐明星:借助區塊鏈很多公益問題將迎刃而解。

9.一用戶在半小時內通過交易Uniswap上bZx代幣獲利超2000枚ETH。[2020/7/14]

Polygon:0xA4b291Ed1220310d3120f515B5B7AccaecD66F17

行情 | 金色盤面:TRX/USD 超跌反彈:金色盤面綜合分析: TRX/USD 在過去24小時出現了報復性反彈,漲幅驚人,但現在基本上完成了第一波的攻擊,短線有調整需求,不建議追高,等待回調后選擇低吸。[2018/8/18]

這場漫長的溝通經歷差不多15小時,第一次嘗試溝通,PolyNetwork嘗試取得溝通,并留下了溝通郵箱。2小時后,繼續溝通表示,如果歸還資產,會因為這次發現安全漏洞給予安全獎勵。

隨后黑客在攻擊地址表示,可能會建立一個DAO決定地址中資金的流向。

PolyNetwork再次回復,建立DAO也改變不了資金被盜的事實,如果歸還資產,會為黑客提供安全賞金,并且這也會成為歷史上最大金額的“白帽”黑客事件而被銘記。

金色財經獨家現場報道 Jeffrey Wernick:要想改變事物,必須了解市場結構:金色財經獨家現場報道,在火幣Pro舉辦的越南Blockchain Festival千人大會上,企業家、Uber, Airbnb和比特幣的早期投資者Jeffrey Wernick指出:很多人可以說出很多專業術語,但是他們并不是真正的懂得其中的含義,甚至很多程序員也不知道他們在說什么。我并不很關心各種各樣的幣,我們需要看到,互聯網技術很美好,是我喜歡的工具,而且隨著科技進步,中產階級、中下階層、世界很多地方都有所改善,我們的生活更加舒適,但是某種程度上是因為我們借了更多錢成為債務奴隸,為什么經濟如此糟糕。世界各國央行應該采取非常有創新的政策來維持,不管是量化寬松還是資本管制,因為市場脆弱到它必須得到各國政府支持才能保證金融市場的質量。要想改變事物,必須了解市場結構,必須先學會賺錢,而不僅僅是籌集資金。[2018/5/24]

隨后便是黑客表示自己是傳奇,而將退還資產的關鍵消息的發布。

金色財經訊:英國諾丁山豪宅將通過比特幣支付。[2017/10/16]

白帽黑客指正義的黑客,區塊鏈圈很多安全公司的中流砥柱都出自白帽。

也許這次參與的黑客真的如其所說,對錢不感興趣。

在下午5時左右,Poly公布的Polygon地址收到了101萬枚USDC。發稿前,其他地址暫時還沒有將資產轉入。

但作為區塊鏈從業者、用戶來說,面對攻擊事件,小概率可以得到善終,大概率是會波及項目和用戶資產安全。

此次安全事件發生后,在事件的評論中,有一條極為反諷的評論“講個笑話,區塊鏈是安全的。”

外行看熱鬧,內行看門道。

區塊鏈的安全是一個相對概念,而不是一個絕對概念。

在巨額收益的引誘、加密貨幣無監管、合約設計不成熟的情況下,加密貨幣網絡中的合約漏洞被當成黑客提款機也就不足為奇了。

傳統金融領域,安全不僅僅在于軟件,更多安全保證在于流程防護。但當全部的流程通過智能合約自動執行的時候,就會出現多個漏洞。

最大的保障變成了代碼正確性和安全案例的設計實踐。

此次Poly的問題就在于黑客可以控制資金池中管理賬戶轉賬的權限,當把轉出地址換成黑客自己的地址后,只要向合約發送虛擬的數據轉出交易,那資金池的資產就會順利被轉出。

這個漏洞主要在于,因為設計了一些合約接受某些數據而執行行為的操作,但可以執行這個動作又有多個因素管理,其中有一個因素漏洞被黑客利用了,劫取了“權限”。

這類事件還要有一個理解框架。

其中分為鏈的安全和合約安全。

一條公鏈,首先要保證鏈的安全,即總帳本的安全、交易打包的安全。然后是合約執行的安全。

軟件的安全依賴開發者代碼的成熟性,正所謂沒有絕對安全的系統,只有良莠不齊的開發者。

鏈的安全是指鏈上的共識算法設計、基礎協議的編寫不能有漏洞,其次是基礎協議執行的合約沒有問題,例如在以太坊上發型代幣,其合約是一個基礎流程,但如果合約漏洞里有明顯的增發漏洞,那極有可能被利用增發代幣。

鏈的安全,主要是共識來保證,比特幣使用中本聰共識,以太坊使用Ethash,波卡使用NPOS。其保證的是總帳本不能篡改。合約安全就只能考究其設計問題和編碼成熟度了。

所以合約設計者和開發者要嚴格設計合約,要檢查合約的設計漏洞,代碼編寫漏洞,設計邏輯,以及在業務場景里可能出現的問題。

在這里,我們還是再次通過合約審計的思路,來為大家提供理解合約安全的思路。

安全審計團隊拿到審計需求后,會先用團隊內部的安全審計工具過一遍,不過工具是一個輔助,然后進行人工審計,這個流程會按照審計列表將常規漏洞點審計一遍。

然后進行業務上的審計,其中包含什么業務場景、業務規模、業務邏輯。然后業務的描述如何,看代碼里是否有和描述功能不一致,是否會被薅羊毛,代幣是否有被鎖,權限設置錯誤問題,是否會增發或無限鑄幣等等。

但這些流程進行完畢后,上文講到,代碼的安全要看代碼編寫成熟度,而不同開發者因為其驚艷,對合約的判斷也不同,再加上智能合約的特殊性和DeFi業務邏輯復雜性,代碼審計必須要進行交叉審計,相互審查的。

就像Poly的以太坊合約問題,其在該合約后續的流程上是沒問題的,但在黑客看來,通過合約流程前面的一些數據偽造,就控制了其合約轉出的權限。也是一種迂回擊破的方式了。

或者因為Poly是一個跨鏈系統,出問題的部分可以稱為跨鏈合約交互部分,這也代表著跨鏈案例的實踐,要邏輯更為嚴密。

從智能合約的設計來看,絕大部分DeFi合約出問題都出在資產轉移、價格計算和權限控制上,因此這些方面開發者需要入手向上延展,并找到這條路徑上可能存在的薄弱環節加以防范。

Poly此次是萬幸的,黑客可以歸還資產,盡管目前歸還了一小部分,我們還在等待更多的資產轉賬。筆者從Poly處獲取的消息是,目前合約已經在升級,最優先級的目標是追回用戶資產,其他的細節會后續公布。

從黑客公布的消息看,似乎黑客已經接受了Poly提出的安全賞金,也希望在這場博弈里,雙方可以快速結束相互的拉扯。就像Poly說的,讓這一次安全事件,成為歷史上最大的白帽黑客事件。

Tags:POLPOLYOLY區塊鏈polydoge幣最新消息polygon幣怎么挖礦polygon幣matic幣投資機構區塊鏈存證怎么弄

以太坊
數字人:數字人民幣的“支付即結算” 對支付行業有何影響?_MAG

移動支付網消息:支付即結算,可能是數字人民幣最重要的一個屬性,也是對支付行業影響最大的一個方面.

1900/1/1 0:00:00
BOOK:金色觀察丨未來已來 Facebook元宇宙真會改變未來線上生活嗎?_元宇宙幣種有哪些

金色財經區塊鏈8月4日訊?Facebook首席執行官馬克·扎克伯格(MarkZuckerberg)一直以來對元宇宙有一個愿景——有朝一日線上生活方式將會取代我們大部分的線下生活.

1900/1/1 0:00:00
CASH:Zcash創始人:Zcash應轉向權益證明_ASH

金色財經報道,ElectricCoinCompany首席執行官兼Zcash創始人ZookoWilcox今天在一篇博客文章中提議.

1900/1/1 0:00:00
代幣化:姚前:加密資產審慎監管 巴塞爾委員會的框架與邏輯_代幣化是什么

巴塞爾委員會加密資產審慎監管框架初現雛形,將為全球金融機構參與加密資產市場提供有益的監管指引。其秉持的技術中性、風險匹配、簡潔謹慎、長期發展的監管理念和監管哲學,值得各國借鑒.

1900/1/1 0:00:00
元宇宙:NFT之后元宇宙這把火終于燃起來了_SMILE價格

趨勢影響整個加密行業并帶動社區發展。這種狀態自2014年以來一直盛行,當時以太坊網絡的推出預示著ICO時代的興起。在短暫的平靜之后,一些新趨勢總是會取代加密貨幣領域中的其他趨勢.

1900/1/1 0:00:00
以太坊:以太坊可能是過去20年來最好的投資_區塊鏈

時間回到六年前,有多少人會覺得以太坊很性感?很多人最近在以太坊上的投資翻了一番。目前來看,以太坊可能是過去20年來最好的投資。以下就是原因。 以太坊:20000美金 以太坊進行了大規模升級.

1900/1/1 0:00:00
ads