以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads
首頁 > DYDX > Info

盤點跨鏈橋史上10大攻擊事件:涉及金額超19億美元_ETH:Local Coin Swap

Author:

Time:1900/1/1 0:00:00

區塊鏈世界已有上百條公鏈,然而因為缺乏主流資產,需要使用跨鏈橋從以太坊等公鏈上獲取資產。近期,DeFi安全事故頻發,跨鏈橋資金量大且頻繁遭到攻擊。下文中,PANews盤點了過去跨鏈橋中比較大的10次攻擊過程,所有開發團隊都需安全警鐘長鳴。相對而言,開發團隊背景越好越有資本的跨鏈橋在出現安全事故后,確實更容易找回資產或者由項目方進行賠付,因此用戶選擇有實力的跨鏈橋會更加穩妥。

ChainSwap:涉及資金800萬美元,重新發幣

2021年7月2日和7月11日,ChainSwap兩次遭到黑客攻擊,第一次損失約80萬美元,第二次損失約800萬美元。第二次攻擊涉及的范圍較大,超過20個使用ChainSwap進行跨鏈的項目受到影響。根據ChainSwap的調查,本次事故是因為協議沒有嚴格檢查簽名的有效性,攻擊者可以使用自己生成的簽名對交易進行簽名。由于損失的都是項目方的治理代幣,包括ChainSwap自身在內的多個項目決定進行快照,并發行新的代幣,以補償代幣持有者和LP。相關閱讀:《跨鏈橋項目Chainswap再遭黑客攻擊,超20個項目被盜》PolyNetwork:涉及6.1億美元,已找回

美股持續走高,道指較3月23日收盤點位上漲20.48%:美股盤中持續走高,道指漲逾1200點,較3月23日收盤點位上漲20.48%;納指、標普500指數分別較3月23日收盤點位上漲約12%、16%。[2020/3/27]

2021年8月10日晚間,跨鏈互操作協議PolyNetwork遭到黑客攻擊,在以太坊、幣安智能鏈、Polygon上分別損失2.5億、2.7億、8500萬美元的資產,總損失約6.1億美元。本次攻擊主要是PolyNetwork的合約權限管理邏輯存在問題。攻擊者在源鏈上構造了一筆將目標鏈Keeper修改為自己的地址的操作;官方中繼器毫無防備的提交了交易并執行替換Keeper的操作;攻擊者通過替換后的Keeper地址對轉出資產的操作進行了簽名;交易通過驗證并執行,資產被轉移到黑客地址。攻擊者在事先已經做好準備,初始資金來源為隱私代幣XMR,在無需KYC的交易所換成BNB、ETH、MATIC后提幣。但黑客最終還是歸還了所有資金,PolyNetwork也稱對方為“白帽”黑客,并愿意聘請他擔任公司首席安全顧問。相關閱讀:《年度最大DeFi黑客事件:PolyNetwork被攻擊流程全解析》Multichain:涉及600萬美元,已賠付

2022年1月18日,Multichain表示,發現一個對WETH、PERI、OMT、WBNB、MATIC、AVAX六種代幣有影響的重要漏洞,雖然漏洞已修復,但用戶需要盡快撤銷授權,否則資產仍然可能面臨風險。一個月后,Multichain官方發布了該漏洞的調查報告,共有7962個用戶地址受到影響,4861個地址已撤銷授權,其余3101個地址尚未撤銷授權。共有1889.6612WETH和833.4191AVAX被盜。WETH和AVAX的損失按1月18日的價格計算,價值約604萬美元。據慢霧安全團隊分析,這次被盜的原因是Multichain在檢查用戶傳入的Token的合法性時出現問題,未考慮到并非所有underlying代幣都有實現permit函數,導致事先有將WETH授權給AnyswapV4Router合約的用戶的WETH被轉移到攻擊者惡意構建的地址中。在Multichain官方發布漏洞調查報告時已有912.7984WETH和125AVAX被追回,占被盜資金總額的近50%。團隊發起提案,將被盜資金退還給已撤銷合約授權的用戶,但不再對2月18日24:00之后的損失進行賠付。相關閱讀:《慢霧分析Multichain被盜經過,合約一函數未檢查用戶傳入Token的合法性》QBridge:涉及8000萬美元,僅賠付2%

動態 | 區塊鏈未能上榜漢語盤點2019年度國際詞:漢語盤點2019年度候選字詞中,巴黎圣母院、區塊鏈、貿易摩擦、黑洞照片、脫歐上榜國際詞。12月20日,國家語言資源監測與研究中心、商務印書館、央視新聞等單位聯合舉辦的“漢語盤點2018”揭曉儀式在北京舉行。最終,“奮”“改革開放四十年”“退”“貿易摩擦”分別當選年度國內字、國內詞、國際字、國際詞。(央視新聞)[2019/12/21]

2022年1月28日,借貸協議Qubit的跨鏈橋QBridge遭到攻擊,損失約8000萬美元。本次事故的原因在于QBridge在對白名單代幣進行轉賬操作時,未對其是否是零地址再次進行檢查。在充值ERC20代幣和ETH分開實現的情況下,調用deposit函數本該是存入ERC20代幣的交易,黑客的deposit操作中將ERC20代幣的地址設為零地址,在沒有存入任何代幣的情況下,在BSC上憑空鑄造了大量xETH代幣。以這些xETH代幣為抵押品,從Qubit中借出其它代幣,導致Qubit中的抵押品耗盡。目前Qubit已幾乎無人使用,官網顯示還有98%的被盜資金尚未得到賠付。相關閱讀:《詳解Qubit項目QBridge被黑始末:不翼而飛的8000萬美元》Meter.io:涉及440萬美元,用未來收益賠付

2022年2月6日,MeterPassport跨鏈橋被惡意利用,造成440萬美元的損失。Meter官方表示,問題出在Meter上擴展原始碼出現的“錯誤的信任假設”,讓黑客以“調用底層ERC20存款功能”來偽造BNB和ETH轉賬。Meter首先稱,將用MTRG代幣賠償用戶的BNB和WETH損失。但在治理投票中,決定新發行PASS代幣賠付給用戶,后續用Meter的未來收益回購PASS代幣,但尚未進行過任何回購。相關閱讀:《喪心病狂再「炸橋」,跨鏈橋項目Meter.io損失420萬美元》Ronin:涉及6.2億美元,已賠付

動態 | 澳媒盤點12國加密貨幣稅制 日本稅率最高:7月23日,澳大利亞加密貨幣媒體Mickey發文盤點各國加密貨幣稅制,并指出日本加密貨幣稅率非常高。根據2017年4月實行的資金結算法修訂版,加密貨幣交易所產生的利益所得劃分為雜項收入,所得稅最高可達45%,作為伴隨著損失的交易市場稅率來說非常高。此外,該媒體列舉了以下幾個國家的加密貨幣稅制:1、德國:加密貨幣交易免除附加稅,持續保有加密貨幣一年以上可免除轉讓所得稅。全部歐洲市民向德國轉移資產時可免除轉移稅。2、新加坡:長期投資加密貨幣的企業和個人免除轉讓所得稅。3、葡萄牙:不像加密貨幣征收附加稅和所得稅,但企業通過加密貨幣交易所得的收益需要課稅。4、馬耳他:加密貨幣的日交易作為法人稅征收稅金,但個人投資者購買和擁有加密貨幣不用繳納稅金。5、馬來西亞:不需要繳納轉讓所得稅。6、白俄羅斯:對加密貨幣挖礦和對加密貨幣的投資不征收稅金。7、瑞士:對專業投資者的加密貨幣交易征收法人稅,挖礦被視為個人營業收入,但個人投資者的投資及交易不需繳納轉讓所得稅。8、加密貨幣被認為是資產,納稅方式和股票一樣;如果購買加密貨幣并保留一年以上,根據收入水平征收0%至20%的稅金。9、澳大利亞:當所有交易均被視為轉讓收入,并且兌換為澳元時要求保留所有準確的交易記錄;如果進行加密貨幣投資獲得的利潤,就要交納與個人所得稅相同速率的稅金。但如果持有1年以上的加密貨幣,將減免50%的稅金。10、以色列和瑞典:如果納稅人不能證明他們購買的加密貨幣的購買額,將會征收百分之百的稅金。[2019/7/23]

2022年3月29日晚間,區塊鏈游戲AxieInfinity背后的Ronin鏈上的資金被盜。此次被盜發生在3月23日,但直到3月29日才被發現。本次攻擊造成的損失約6.2億美元。根據SkyMavis博客文章和TheBlock的報道,Ronin的被盜指向社會工程學攻擊。一家虛假公司的員工通過領英聯系到了AxieInfinity和Ronin開發商SkyMavis的員工,并鼓勵他們申請工作。SkyMavis的一名員工在經過多次面試之后獲得了“Offer”。在下載了偽造的“Offer”錄取信后,黑客軟件滲透到Ronin的系統中,接管了Ronin網絡9個驗證者中的4個。隨后,黑客通過SkyMavis控制了AxieDAO,后者曾允許SkyMavis代表其簽署各種交易,一旦攻擊者能夠訪問SkyMavis,就可以從AxieDAO驗證器中獲得簽名。Ronin的被盜資金并未能追回。4月4日,SkyMavis宣布完成了一筆幣安領投的1.5億美元融資,用于賠償用戶損失。6月29日,SkyMavis宣布重新上線Ronin橋,用戶可以獲得賠償。但被盜資金主要為ETH,在攻擊至賠付期間,ETH價格下降約2/3。相關閱讀:《回顧「曠世大劫案」Ronin贓款轉移全過程:原攻擊錢包僅剩余約1.8枚ETH》Wormhole:涉及3.26億美元,已賠付

動態 | 證券日報發布2018年區塊鏈行業焦點盤點:證券日報發布《2018年區塊鏈行業焦點盤點:亂象頻發幣圈狼藉監管筑籬》文章稱,很多人將此輪區塊鏈熱潮與20年前的互聯網泡沫相比。可以確定的是,區塊鏈“泡沫”一定有,但區塊鏈能否如互聯網般改造世界,尚難下定論。監管部門去年以來重拳出擊,規范資本市場“炒鏈”行為,嚴厲懲治ICO。從中央到地方,掀起防范以“區塊鏈”名義進行非法集資的高潮,不斷給區塊鏈“排瘦身”。而瘦身后的區塊鏈也正逐步回歸理性——幣圈蕭條,市場開始重新審視以比特幣為代表的加密數字貨幣的價值與意義;去蕪存菁,越來越多的企業沉下心轉向技術應用開發;人才成本也擠出“泡沫”,回歸同行業正常水平。[2019/1/4]

2022年2月3日,跨鏈互操作協議Wormhole遭到黑客攻擊,損失約12萬枚ETH,價值約3.26億美元。黑客在Wormhole的Solana一側大量增發whETH,并從以太坊上提走了所有ETH。2月5日,Wormhole在針對該事件的報道中稱,此次漏洞是因為Solana端Wormhole核心合約簽名驗證代碼存在錯誤,攻擊者可以偽造來自“監護人”的消息來鑄造whETH。2月4日,JumpCrypto宣布為Wormhole投入12萬ETH,以彌補Wormhole的被盜損失,Wormhole已恢復運行。相關閱讀:《史上「第二大DeFi黑客攻擊」Wormhole損失約3.2億美元》EvoDeFi:預計涉及上千萬美元,未處理

區塊鏈概念股漲跌盤點:

四方精創(300468):現價42.80元,漲幅6.28%,成交額3.52億,流通市值28.62億;

飛天誠信(300386):現價17.81元,漲幅1.77%;成交額4.60億,流通市值35.28億;

贏時勝(300377):現價13.37元,漲幅1.67%;成交額7.64億,流通市值68.15億;

第一創業(002797):現價9.87元,漲幅0.82%;成交額8.99億,流通市值189.35億;

廣電運通(002152):現價7.52元,漲幅0.82%,成交額3.56億,流通市值146.99億;

北大荒(600598):現價11.30元,漲幅0.53%;成交額1.54億,流通市值20.88億;

新國都(300130):現價25.61元,跌幅0.27%;成交額1.08億,流通市值40.25億;[2017/12/20]

2022年6月7日,Oasis生態DEXValleySwap上的USDT嚴重脫錨。ValleySwap曾是Oasis鏈上最大的DEX,TVL最高為2.2億美元。由于USDC-USDT交易對的流動性挖礦收益較高,當時有部分用戶在ValleySwap上用這兩種穩定幣挖礦。DefiLlama顯示,ValleySwap上的資金從6月4日開始大量流出,6月7日時的TVL為8878萬美元,具體損失金額未知,預計在上千萬美元級別。ValleySwap上資產脫錨的原因在于使用的跨鏈橋EVODeFi在源鏈上的流動性已經不足。EVODeFi稱是因為FUD恐慌導致的問題,但這個理由顯然站不住腳。Oasis官方人員則回應稱,已提示EVODeFi存在風險,Oasis網絡與ValleySwap和EvoDeFi沒有任何關聯,EvoDeFi是高風險的、未經審計,也不是開源和去中心化的。本次事故的原因可能為EVODeFi通過后門盜取了用戶資產。用戶的損失并沒有任何解決方案,公鏈Oasis急于與自己擺脫關系,ValleySwap和EVODeFi的官方推特均在6月8日后停止更新,約等于跑路。相關閱讀:《Oasis生態DEXValleySwap上的USDT已嚴重脫錨》Horizon:涉及近1億美元,正在制定賠償方案

2022年6月24日,Harmony官方跨鏈橋Horizon遭到攻擊,共造成約1億美元的資金損失。6月26日,Harmony創始人StephenTse承認,可能是“私鑰泄露”導致了本次攻擊。資金在以太坊和BNB鏈上被盜,被盜資產包括BUSD、USDC、ETH、WBTC等。此前,以太坊與Horizon間的多重簽名只需5個中的2個即可轉移資金,事后需要的簽名數被修改為5個中的4個。Harmony曾希望通過增發ONE代幣,在3年時間里賠償用戶的損失,但目前并未與社區達成一致。在Harmony社區7月27日發起的賠償提案中,StephenTse表示,理解社區的擔憂,將重新制定賠償提案。相關閱讀:《CertiK:近一億美元天價損失,Harmony跨鏈橋黑客攻擊事件分析》Nomad:涉及1.9億美元,處理中

2022年8月2日,Nomad中的流動性被迅速耗盡,在發生安全事故前Nomad中共有1.9億美元的流動性。本次事故也導致另一個Layer2互操作性協議Connext損失約334萬美元,當時Connext路由在受影響的鏈上持有約334萬美元的madAssets。據Paradigm研究員samczsun分析,本次事故是因為Nomad在一次合約升級中將可信根初始化為0x00,導致任何人都可以使用一筆有效的交易,用自己的地址替換對方的地址,然后將交易廣播出去即可從跨鏈橋提取資金。據歐科云鏈分析,本次攻擊涉及到1251個ETH地址,涉案金額約1.9億美元,其中包括12個ENS地址,ENS地址約占總金額的38%。項目方并未給出一個確切的賠付方案,已有部分白帽黑客表態愿意歸還資金。相關閱讀:《超1.5億美元損失,跨鏈橋協議Nomad黑客攻擊事件分析》小結

跨鏈橋安全事故的多發足以讓我們保持警惕,按流動性排名前三的橋Multichain、Portal、PolyNetwork均發生過安全事故,說明跨鏈橋屬于高危領域,任何跨鏈橋都有可能再次出現安全問題。相對而言,開發團隊背景越好越有資本的跨鏈橋在出現安全事故后,確實更容易找回資產或者由項目方進行賠付,如PolyNetwork、RoninNetwork、Wormhole的巨量資金被盜后找回,或進行了足額賠付。團隊的實時監控和積極處理是有效的,HopProtocol和Stargate在收到可疑活動報告后都快速進行了處理,即時狙擊黑客未能攻擊成功。

Tags:ETH加密貨幣WORSWAPBULLETH加密貨幣行情INVESTINGGalaxy Network CoinLocal Coin Swap

DYDX
一個簡單的簽名如何導致50萬美元被盜?_USDC:在哪可以賺usdt幣

你可能很難想象,Metamask中一個簡單的簽名就能掏空你的錢包。但這樣的事卻發生在了一名資深用戶身上,今天他因一個漏洞損失了近50萬USDC。如果不多加小心的話,你可能就是下一個他.

1900/1/1 0:00:00
新項目 | Center:像使用Google一樣搜索NFT_NFT:Mocha Media Center

“百度一下,你就知道。”搜索這一產品在Web2的世界里已經存在二十余年了,人們對“搜索”的認知是根深蒂固的.

1900/1/1 0:00:00
前以太坊CCO講述The DAO的真相:什么是真正的DAO?_以太坊:LOC

DAO是以太坊創建者VitalikButerin發明的一個概念,并在該平臺的開創性白皮書中進行了詳細描述。因此,它是以太坊所要提供的一個重要部分.

1900/1/1 0:00:00
DAOrayaki:以太坊社區需要什么樣的社會恢復系統_以太坊:DAO

讓加密貨幣和區塊鏈應用程序對普通用戶可用的最大挑戰之一是安全性:我們如何防止用戶的資金丟失或被盜?丟失和盜幣是一個嚴重的問題,經常使無辜的區塊鏈用戶損失數千美元.

1900/1/1 0:00:00
DigiDaigaku全面分析:融資2億美元、NFT暴漲、創熊市奇跡_DIG:DIGI

8月10日,一個項目以StealthDrop(隱形發射)形式發售,全部freeMint,僅需付gas費,在發售一天之內最高漲到2.45ETH,這意味著它在一日之內就完成了將近千倍的收益.

1900/1/1 0:00:00
SBF 登上《Fortune》雜志封面:下一個巴菲特?_TUNE:TUNE價格

Fortune評論表示,SBF現在是加密社群的領導者,但也可能會惹來一些加密信徒的不滿。比起那些幣圈英雄是以“改變世界”、“打倒政府”的理由進入區塊鏈產業,SBF進入幣圈純粹是因為看到了賺錢的機.

1900/1/1 0:00:00
ads