金色观察 | Poly Network被盗事件再引DeFi安全之争 监管或提上日程?_Chain:interstellarchain

8月10日,跨链互操作协议Poly Network遭受黑客攻击。Poly Network发推文称,经过初步调查,已找到漏洞的原因。黑客利用了合约调用之间的一个漏洞,攻击不是由传闻中的单个保管人造成的。同时,Poly Network还发布了至攻击者的一封信。Poly Network表示,希望建立沟通,并敦促攻击者归还被黑资产。此次被黑的金额是Defi历史上最大的一笔。任何国家的执法部门都会将此视为重大经济犯罪,攻击者将受到追捕,再进行任何交易是非常不明智的。被盗资金来自数以万计的加密社区成员。希望攻击者与Poly Network团队交谈以制定解决方案。

慢雾团队回顾攻击细节指出,主要系因合约漏洞。本次攻击主要在于 EthCrossChainData 合约的 keeper 可由 EthCrossChainManager 合约进行修改,而 EthCrossChainManager 合约的 verifyHeaderAndExecuteTx 函数又可以通过 _executeCrossChainTx 函数执行用户传入的数据。因此攻击者通过此函数传入精心构造的数据修改了 EthCrossChainData 合约的 keeper 为攻击者指定的地址,并非网传的是由于 keeper 私钥泄漏导致这一事件的发生。

炎币交易所与金色算力云正式达成合作:据官方消息,10月6日,炎币交易所平台与金色云算力正式达成合作,炎币交易所获得金色云算力授权上线IPFS云算力租赁服务,首期开放100T算力。

据了解,炎币交易所是以区块链技术为基础,由创世团队,以太经典+大零币创世团队联合打造的金融服务平台,炎币交易所将打造首个以生态出发的数字交易平台,解决交易所引流难,平台币流通缺乏的问题。平台9月19上线至今注册用户突破20万,日活用户突破1万。

金色云算力是由金色财经推出的算力销售平台,公司与行业领先的矿机厂商合作,为用户提供便捷安全的挖矿服务。基于团队专业性,公司先后获得节点资本、ChainUP Capital百万美元投资。[2020/10/6]

随后慢雾团队给出细节描述:

1. 本次攻击的核心在于 EthCrossChainManager 合约的 verifyHeaderAndExecuteTx 函数可以通过 _executeCrossChainTx 函数执行具体的跨链交易。

金色晚报 | 8月29日晚间重要动态一览:12:00-21:00关键词:建行 、浙江省、DeFi 、YFI

1. 建行“数字人民币钱包”已上线 或仅限部分测试地区实际应用;

2. 浙江省鲲鹏创新中心分布式存储分中心成立;

3. 建行数字人民币服务在部分地区或被关闭;

4. 当前以太坊 DeFi 协议中总锁仓量突破90亿美元;

5. 工信部区块链研究室主任李鸣:区块链标准化可助力打造可信数据基础设施;

6. ParaFi Capital合伙人发起提案,希望在Compound中添加YFI作为抵押品;

7. Tether在EOS网络增发1,000万枚USDT;

8. YFI 短线再次突破2万美元;

9. 建行“数字人民币钱包”支持碰一碰转账,红包功能尚不可用。[2020/8/29]

2. 由于 EthCrossChainData 合约的 owner 为 EthCrossChainManager 合约,因此 EthCrossChainManager 合约可以通过调用 EthCrossChainData 合约的 putCurEpochConPubKeyBytes 函数修改合约的 keeper。 

金色财经合约行情分析 | BTC震荡缓慢下跌,市场做多情绪受到压制:据火币BTC永续合约行情显示,截至今日18:00(GMT+8),BTC价格暂报11710美元(-2.38%),20:00(GMT+8)结算资金费率为0.029290%。

BTC昨晚6点在12000美元受阻,瞬时放量下跌500美元,后又迅速反弹。目前在11900美元下方呈现高点逐渐降低的震荡下跌走势。根据火币交割合约数据,BTC当季合约成交额小幅上涨,持仓量在下跌过程中有一定幅度的释放,精英多头占比略增,当季合约正溢价小幅下降。今日各主流币种普遍震荡缓慢下跌,市场做多情绪在多次上攻后被消磨,后续需要进一步进行整理。

USDT于火币全球站OTC的报价为6.92元,溢价率为-0.42%。[2020/8/11]

3. 其中 EthCrossChainManager 合约的 verifyHeaderAndExecuteTx 函数是可以通过内部调用 _executeCrossChainTx 函数执行用户指定的跨链交易,所以攻击者只需要通过 verifyHeaderAndExecuteTx 函数传入精心构造的数据来使 _executeCrossChainTx 函数执行调用 EthCrossChainData 合约的 putCurEpochConPubKeyBytes 函数以改变 keeper 角色为攻击者指定的地址。  

金色财经合约行情分析丨BTC在9000美元上方波动 有所企稳:据火币BTC永续合约行情显示,截至今日17:00(GMT+8),BTC价格暂报9084美元(0.50%),20:00(GMT+8)结算资金费率为0.010000%。

昨日晚BTC在9000美元上方盘整后向上测试9200美元,目前在这一区间内窄幅震荡。根据火币交割合约数据,BTC当季合约成交额下降,持仓量稳定,精英多头占比略增,当季合约窄幅溢价。BTC目前仍处在9000美元上方,价格有所企稳。

USDT于火币全球站OTC的报价为7.04元,溢价率为-0.59%。[2020/6/29]

4. 替换完成 keeper 角色地址后,攻击者即可随意构造交易从合约中取出任意数量的资金了。

值得注意的是,本次此次被黑的金额是DeFi历史上最大的一笔,共计超 6.1 亿美元转出至 3 个地址。受此影响 O3 Swap 跨链池大额资产被转出。目前,安全团队梳理发现,黑客初始的资金来源是门罗币(XMR),然后在交易所里换成了 BNB/ETH/MATIC 等币种并分别提币到 3 个地址,不久后在 3 条链上发动攻击。 结合资金流向及多项指纹信息可以发现,这很可能是一次蓄谋已久的、有组织有准备的攻击行为。 

金色财经现场报道 WBO总干事郑晓军:区块链发展为小国提供弯道超车机会 :金色财经现场报道,在 2018全球区块链高峰论坛上,世界区块链组织(WBO )创始人、总干事郑晓军致辞并指出,区块链发展为小国提供弯道超车机会,一系列革新、区块链体系、社群、牌照、监管规则的创建为小国提供新的发展机遇。如马耳他,过去3个月期间吸引了大量的区块链企业进入,从交易量上已经名列前茅。[2018/4/29]

事件发生后,Tether 已冻结 Poly Network 攻击者地址上的 3300 万 USDT。截止发稿,攻击者也回应,如果我转移了剩余的币,那将是十亿美金级别的攻击。我刚刚是拯救了这个项目吗?我对金钱不太感兴趣,现在考虑归还一些代币,或者将它们留在此处。随后该攻击者还称,如果我制作一个新的代币并让DAO决定代币的去向会怎样?

随着事件的发酵,8月11日,攻击Poly Network的黑客在区块高度 13001631 转账中又表示,已决定归还资产,不再创建 DAO 组织。同时,在描述中,黑客自称为传奇。

尽管黑客已决定归还资产,但有关DeFi安全的讨论还在继续。事实上,随着DeFi的爆发式发展,相关安全事件频发,跨链攻击也不在少数。此前,Rari Capital就在跨链攻击事件中损失1500万美元。有分析声音就此指出,DeFi协议之间的互操作性变得越来越复杂,相关的攻击媒介也在增多,预计相关攻击也会增加。

Roxe支付网络技术VP Jesse对此指出,DeFi本来就是个黑暗森林,很多别有用心的人一直都在暗中虎视眈眈,甚至有些漏洞发现后,攻击者只是在等更合适的机会,并不一定会急于出手,就像病的潜伏期一样,在等更大的利益机会,未知的漏洞一定还有很多,只是还未爆发而已。

有市场声音担心,DeFi安全如果始终无法妥善处理,可能会打击行业的信心。当然,另一方面可能会加快全球对行业监管。Roxe支付网络技术VP Jesse表示,从长期看,监管是必须的,随着区块链行业的不断成熟,各国也一定会加强监管,这也是行业成熟的标记。无监管的混乱除早期带来的所谓自由的快感,随后一定会被少量的各类地下组织利用,从而损害大众的利益。虽然有时候我们不喜欢政府的监管,但这种监管带来的正面意义要远比负面意义大。

在此背景下,作为普通投资者,应该如何保护好自己的财产?

Roxe支付网络技术VP Jesse指出,区块链一个很大的问题就是亲民性不足,未接触过的人很难理解,从而让区块链变成一个小众游戏。安全性上看似自己掌握自己的资产,但它却要求每个用户自己必须成为安全专家,随时面对来自暗处的黑客攻击。问题是,大众并没有足够的能力去甄别和自我保护,很多时候只能依赖安全公司的审计,但这也不是100%安全的。相对传统行业,DeFi还很年轻,很多东西还不完善,无法像政府背书的银行一样提供良好的安全保障。DeFi最大的优势是去信任,但这份信任是基于代码的,而代码的安全大众又无法有效甄别,而黑客攻击来源于知识的巨大不对等性,这也造成的DeFi的安全不是一个是或否的简单问题。对于DeFi投资者,目前只能保护好自己的私钥,不泄露,防止丢失。另外,尽可能的识别好的项目、识别经审计的合约。

比特派也在相关微博中建议,参与DeFi要用多地址,不同DeFi、不同资产用不同地址区分开来,这样即使某个DeFi项目有危险,也不会影响到你的其他资产。同时也要定期检查钱包地址的授权,不频繁操作的项目要及时收回授权。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

水星链

[0:31ms0-1:661ms