買比特幣 買比特幣
Ctrl+D 買比特幣
ads
首頁 > DOGE > Info

POLY:黑客在 Poly Network 狂攬 6.1 億美元 在線演繹花式 DeFi 出金_WOR

Author:

Time:1900/1/1 0:00:00

8月10日,異構跨鏈協議PolyNetwork遭到攻擊,損失達到6.1億美元,包含2,857ETH、9,630萬USDC、26,000WETH、1,000WBTC、3,340萬USDT、2,590億SHIB、14renBTC、673,000DAI和43,000UNI轉至以太坊,6,600BNB、8,760萬USDC、26,600ETH、1,000BTCb、3,210萬BUSD轉至BSC,8,500萬USDC轉至Polygon。

PeckShield「派盾」第一時間定位并分析發現,此次攻擊源于合約漏洞。

CertiK:有黑客在ElseVerse World項目Discord服務器中發布釣魚鏈接:金色財經報道,據CertiK官方推特發布消息稱,有黑客在ElseVerse World項目Discord服務器中發布釣魚鏈接。請勿點擊鏈接獲批準任何交易。[2023/7/19 11:03:42]

據了解,PolyNetwork是由小蟻Neo、本體Ontology、Switcheo基金會共同作為創始成員,分布科技作為技術提供方共同發起的跨鏈組織。

黑客如何狂攬6.1億美元?

PeckShield「派盾」簡述攻擊過程:

外媒:Yearn黑客在攻擊過程中償還了Aave V1版本用戶的USDT債務:4月14日消息,Yearn攻擊事件的不同之處在于,部分用戶沒有遭遇損失,反而賺了。前Aave集成負責人Marc Zeller表示,這是因為攻擊者使用了閃電貸攻擊的方式,并在此過程中償還了Aave V1版本用戶的USDT債務。

在4月12日,也就是該攻擊事件發生的前一天,Aave V1協議的USDT借貸池中27%被借出,但截至發稿時,Aave v1協議上借出的USDT金額現在為0美元。根據Aave v1 USDT市場的網站,大約有131萬美元USDT可用于流動性。

此前昨日消息,Yearn Finance項目遭受攻擊,黑客獲利超1000萬美元。[2023/4/14 14:03:37]

PolyNetwork中有一特權合約EthCrossChainManager,此合約主要用于觸發來自其他鏈的信息。

加密黑客在2022年的三個季度內盜取了超過25億美元:金色財經報道,根據Atlas進行的分析結果,在2022年第三季度,盡管最近一個季度的區塊鏈黑客數量與第二季度相比下降了43%,但黑客成功竊取了總計約4.83億美元的資金,在三個季度中,區塊鏈黑客損失的總金額為 2,570,117,825 美元,損失的金額是根據黑客或欺詐發生時特定加密貨幣的兌換率確定的。[2022/10/26 11:45:44]

在跨鏈交易中,任何人都可調用verifyHeaderAndExecuteTx來執行跨鏈交易,這個函數主要有三個作用:一是通過檢驗簽名來驗證區塊頭是否正確,二是利用默克爾樹來驗證交易是否包含在該區塊中,三是調用函數_executeCrossChainTx,即目標合約。

動態 | 白帽黑客在過去7周通過修復加密貨幣項目漏洞賺取超32150美元:據thenextweb報道,在過去的七周里,白帽黑客通過修復加密貨幣項目和區塊鏈平臺(如TRON、Brave、EOS和Coinbase)的安全漏洞,至少賺取了32150美元。根據Hard Fork的數據,在3月28日至5月16日期間,共15家區塊鏈相關公司向安全研究人員支付了獎金,其中包括共30份公開發布的漏洞報告。[2019/5/20]

此次攻擊事件源于PolyNetwork允許調用目標合約,但在此過程中沒有限制用戶調用EthCrossChainData合約,該合約可追蹤來自其他鏈上數據的公鑰列表,即便在沒有盜取公鑰的情況下,如果你已經獲取了修改公鑰列表的權限,那么只需要設置公鑰來匹配自己的私鑰,基本上就可以暢通無阻了。

動態 | 白貓黑客在2周內修復了加密貨幣相關公司的20個安全漏洞:據thenextweb報道,根據HackerOne數據,在過去兩周(3月14日至28日期間)白帽黑客在七家加密貨幣相關公司發現了20個軟件漏洞,這些公司向白帽黑客發放了至少7400美元的獎勵。其中,Omise提交了八份漏洞報告;Crypto.com和Augur各提交了三份;Monero向白帽黑客支付了兩次修補費用;ICON處理了一個補丁;Stellar修復了一個漏洞;Robinhood為兩個安全修復程序頒發了漏洞獎勵。[2019/3/29]

由于用戶可通過發送跨鏈請求欺騙EthCrossChainManager合約調用EthCrossChainData合約,來蒙混onlyOwner的檢驗,此時,用戶只需要杜撰一個正確的數據就能觸發修改公鑰的函數。

接下來,攻擊者離得手只有一步之遙,PolyNetwork的合約允許調用任意合約,但是,它只調用與簽名哈希對應的合約函數,如上圖合約C所示。?

黑客在線演繹花式DeFi出金

8月10日晚20:38PM,PolyNetwork官方在推特上公布攻擊事件,并表示,為追回被盜資產,PolyNetwork將采取法律行動,敦促黑客盡快還款,希望相關鏈上的礦工及各大交易所伸手援助,共同阻止黑客地址所發起的交易。

中心化機構、安全機構多方聯動,試圖阻止黑客洗錢。其中,穩定幣USDT的發行方Tether響應極為快速,直接凍結攻擊黑客以太坊地址中3,300萬USDT。

雖然已有多方積極參與對黑客的圍堵,但黑客仍通過各種花式DeFi玩法快速混幣,從這一點也可以看出,攻擊者是個DeFi高階玩家。

據PeckShield追蹤顯示,他先是在以太坊上利用Curve添加9,600萬USDC/673,000DAI流動性,又在BSC上利用Curve分叉項目EllipsisFinance添加8,700萬USDC/3,200萬BUSD流動性;很快,攻擊者移除在Curve的流動性,全部兌換為DAI,以防被凍。

年度大戲:吃瓜群眾頻支招黑客欲還所盜資產

一方面,PolyNetwork在積極與黑客喊話,試圖挽回所盜資產;另一方面,“看熱鬧不嫌事大”的吃瓜群眾給黑客支起了招:“不要動用你的USDT,你已經被列入黑名單了。”并收到了黑客饋贈的13.5ETH;眼看著有利可圖,吃瓜群眾越發積極為黑客出謀劃策,更有甚者,留言黑客一些可行的混幣措施,試圖換取看起來極為可觀的回報。

就在各關聯方進退無門之時,黑客在區塊高度13001578和區塊高度13001573中留言表示,準備歸還部分資產。在PolyNetwork提供多簽錢包幾個小時后,PeckShield追蹤到黑客開始在Polygon上歸還部分USDC,PeckShield將持續關注和追蹤相關資產流轉情況。

據PeckShield統計,截至目前,2021年第三季度發生的跨鏈橋安全事件,已造成損失合計逾6.4億美元,占總損失44.5%。

為何跨鏈橋頻遭攻擊?

PeckShield觀察發現,跨鏈協議這個新興領域,打破了鏈與鏈之間的信息孤島的壁壘,仍需要經受時間的考驗。隨著近期跨鏈橋的生態愈發多樣化、豐富化,在它上面進行的交易、資金量大幅增長,例如,遭到攻擊的PolyNetwork,跨鏈資產轉移的規模已經超過100億美元,超過22萬地址使用該跨鏈服務,這也就吸引了黑客對于跨鏈協議的關注,再加上跨鏈橋本身是黑客資金出逃的重要環節,因此,也會成為黑客攻擊的目標。

PeckShield建議設計一定的風控熔斷機制,引入第三方安全公司的威脅感知情報和數據態勢情報服務,在DeFi安全事件發生時,能夠做到第一時間響應安全風險,及時排查封堵安全攻擊,避免造成更多的損失;并且應聯動行業各方力量,搭建一套完善的資產追蹤機制,實時監控相關虛擬貨幣的流轉情況;還要提升運維安全的重視度。

Tags:USDPOLPOLYWORCUSDT價格poloniex兌付騙局POLYBUNNY價格samsaranetwork

DOGE
數字貨幣:花18塊買了騰訊的幻核NFT 里面到底有什么?_NFT2$幣

近日,騰訊發布國內首個NFT交易APP「幻核」,并推出NFT產品「限量版十三邀黑膠唱片NFT」,首期NFT產品定價18元,限量300個。出于好奇,小編參與了此次產品搶購,成功搶到一枚NFT.

1900/1/1 0:00:00
WEB:晚間必讀5篇 | “元宇宙”爆紅:巨頭們加碼添薪火_UWU Vault (NFTX)

1.NFT“登上”東京奧運會:用幣圈方式為奧運健兒加油今年以來,利用區塊鏈、NFT來提高粉絲參與度是加密市場目前探索的一大方面。NBATopShot的大獲全勝就是很典型的例子.

1900/1/1 0:00:00
ART:以太坊+NFT:生成藝術的"黃金時代"_spartanprotocol

探索生成藝術的世界以及如何利用這個機會。親愛的Bankless社區,這幅作品幾小時前以超過40萬美元的價格售出.

1900/1/1 0:00:00
OIN:金色觀察 | 監管未決融資額卻翻四倍 印度加密行業仍獲風投青睞_COI

盡管印度監管層對加密貨幣的態度仍不明朗,但該國的加密發展仍保持跨越式增長。數據顯示,該國加密市場已從一年前的約2億美元猛增至近400億美元。此外,印度加密和區塊鏈行業仍持續獲得風投青睞.

1900/1/1 0:00:00
比特幣:金色前哨|騰訊上線NFT交易App 首期發售300枚NFT_區塊鏈

繼支付寶之后,國內互聯網巨頭騰訊也進軍NFT了。2021年8月1日,騰訊旗下的NFT交易軟件“幻核App”正式上線,首期限量發售300枚“有聲《十三邀》數字藝術收藏品NFT”.

1900/1/1 0:00:00
SHB:原創|產品區塊鏈溯源 法律效力如何?_CoinControllerCash

作為一種信用范式,區塊鏈技術近年常被用于各類產品溯源。一般認為,產品的區塊鏈溯源技術有兩項優勢:一是能夠避免商家提供商品的虛假信息欺騙消費者,二是能夠為產品供應鏈各節點增信.

1900/1/1 0:00:00
ads