以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads
首頁 > SHIB > Info

金色觀察|“迷途知返”的黑客與區塊鏈安全隱憂_POLY:比特幣

Author:

Time:1900/1/1 0:00:00

截止到8月11日12時59分,PolyNetwork發生的O3資金池被盜事件,在持續發酵后,似乎有了最終結果。

黑客使用攻擊地址“自己給自己”發送交易,在交易附帶信息里說到“INEEDASECUREDMULTISIGWALLETFROMYOU”

隨后PolyNetwork回復:“Wearepreparingamulti-sigaddresscontrolledbyknownPolyaddresses”并在50分鐘后回復了以太坊、BSC、Polygon三條鏈的接受地址,分別為:

ETH:0x71Fb9dB587F6d47Ac8192Cd76110E05B8fd2142f

金色晨訊 | 10月28日隔夜重要動態一覽:21:00-7:00關鍵詞:灰度、Stellar、Harvest、13700美元

1.灰度資產管理總規模達75億美元。

2.CME比特幣期貨10月合約收漲近5%。

3.比特幣散戶投資地址數量創歷史新高。

4.Stellar測試網將于10月28日重置。

5.Harvest Finance更新被盜總金額為3400萬美元。

6.以太坊鏈上錨定BTC的代幣總價值已超20億美元。

7.美股三大股指收盤漲跌不一 區塊鏈概念股普遍收漲。

8.英國央行金融科技主管:央行尚未就CBDC做出任何決定。

9.比特幣持續上漲,日內最低報13500美元,最高報13786.37美元。[2020/10/28]

BSC:0xEEBb0c4a5017bEd8079B88F35528eF2c722b31fc

金色財經行情播報 | BTC拉升整理,ETH爆發或改變節奏:據火幣行情顯示,今日上午BTC價格迅速拉升,最高觸及9530.56USDT。本輪上漲原因和ETH爆發有一定關系,目前市場整體左側交易節奏或將由此改變。BTC日線圖突破大周期下降楔形,均線多頭排列,且有形成上升通道跡象。4小時圖沿均線MA10形成上升通道,若要再次上攻或待MA10靠近。1小時圖持續整理,走勢穩健。截至18:30,主流幣的具體表現如下:[2020/7/23]

Polygon:0xA4b291Ed1220310d3120f515B5B7AccaecD66F17

這場漫長的溝通經歷差不多15小時,第一次嘗試溝通,PolyNetwork嘗試取得溝通,并留下了溝通郵箱。2小時后,繼續溝通表示,如果歸還資產,會因為這次發現安全漏洞給予安全獎勵。

金色沙龍丨初夏虎:比特幣可能會繼續走低一段時間:在本期金色沙龍上,元界基金會主席初夏虎發言指出:最近全球金融形勢動蕩,全球的資產價格都在下跌,包括比特幣。傳統金融圈的人并不把比特幣作為避險資產,他們把比特幣看做一個普通的商品或者是商品期貨,因此比特幣也遭到無情的拋售。本次金融的動蕩還會持續一段時間。四月份以后,很多經濟報表指數都會出來,而且經濟指標都會很差。所以,比特幣可能會繼續走低一段時間。

全球金融形勢動蕩對的公鏈影響也很大,主要是無法得到融資,或者說,在這個時間點,有很多便宜的優質資產。[2020/3/18]

隨后黑客在攻擊地址表示,可能會建立一個DAO決定地址中資金的流向。

PolyNetwork再次回復,建立DAO也改變不了資金被盜的事實,如果歸還資產,會為黑客提供安全賞金,并且這也會成為歷史上最大金額的“白帽”黑客事件而被銘記。

金色午報 | 3月9日午間重要動態一覽:7:00-12:00關鍵詞:比特幣、安徽金管局、關機價、暴跌

1. 安徽金管局:近日發現不法分子炒作“區塊鏈”等概念非法集資。

2. 比特幣算力達到122.1EH/s S9系列礦機再次達到關機價格。

3. 股市普跌 黃金期貨小幅上漲站上1700美元。

4. USDT溢價率攀升至3.13%。

5. “比特幣下跌”登微博熱搜榜 現排名42位。

6. 分析:新冠病、Plustoken涉案地址拋售等導致了BTC周末暴跌。

7. The Block研究總監稱趙長鵬參與Steem投票“不負責任”。

8. 2020胡潤全球少壯派白手起家富豪榜:徐明星、李林上榜。

9. BTC現報8041美元,日內跌幅4.29%,當前市值1474億美元。[2020/3/9]

隨后便是黑客表示自己是傳奇,而將退還資產的關鍵消息的發布。

金色財經現場報道 中國軟件行業協會常務理事方亞南:區塊鏈在管理上不能去中心化:6月10日,清華數據院區塊鏈產業發展論壇在清華大學召開。中國軟件行業協會常務理事方亞南博士作《我國區塊鏈應用面臨的問題及對策》主旨演講。他認為:“區塊鏈在管理上不能去中心化,在數據上實現去中心化。大數據和人工智能都依賴于可信數據,區塊鏈可以制定和保證可信數據的透明規則”。[2018/6/10]

白帽黑客指正義的黑客,區塊鏈圈很多安全公司的中流砥柱都出自白帽。

也許這次參與的黑客真的如其所說,對錢不感興趣。

在下午5時左右,Poly公布的Polygon地址收到了101萬枚USDC。發稿前,其他地址暫時還沒有將資產轉入。

但作為區塊鏈從業者、用戶來說,面對攻擊事件,小概率可以得到善終,大概率是會波及項目和用戶資產安全。

此次安全事件發生后,在事件的評論中,有一條極為反諷的評論“講個笑話,區塊鏈是安全的。”

外行看熱鬧,內行看門道。

區塊鏈的安全是一個相對概念,而不是一個絕對概念。

在巨額收益的引誘、加密貨幣無監管、合約設計不成熟的情況下,加密貨幣網絡中的合約漏洞被當成黑客提款機也就不足為奇了。

傳統金融領域,安全不僅僅在于軟件,更多安全保證在于流程防護。但當全部的流程通過智能合約自動執行的時候,就會出現多個漏洞。

最大的保障變成了代碼正確性和安全案例的設計實踐。

此次Poly的問題就在于黑客可以控制資金池中管理賬戶轉賬的權限,當把轉出地址換成黑客自己的地址后,只要向合約發送虛擬的數據轉出交易,那資金池的資產就會順利被轉出。

這個漏洞主要在于,因為設計了一些合約接受某些數據而執行行為的操作,但可以執行這個動作又有多個因素管理,其中有一個因素漏洞被黑客利用了,劫取了“權限”。

這類事件還要有一個理解框架。

其中分為鏈的安全和合約安全。

一條公鏈,首先要保證鏈的安全,即總帳本的安全、交易打包的安全。然后是合約執行的安全。

軟件的安全依賴開發者代碼的成熟性,正所謂沒有絕對安全的系統,只有良莠不齊的開發者。

鏈的安全是指鏈上的共識算法設計、基礎協議的編寫不能有漏洞,其次是基礎協議執行的合約沒有問題,例如在以太坊上發型代幣,其合約是一個基礎流程,但如果合約漏洞里有明顯的增發漏洞,那極有可能被利用增發代幣。

鏈的安全,主要是共識來保證,比特幣使用中本聰共識,以太坊使用Ethash,波卡使用NPOS。其保證的是總帳本不能篡改。合約安全就只能考究其設計問題和編碼成熟度了。

所以合約設計者和開發者要嚴格設計合約,要檢查合約的設計漏洞,代碼編寫漏洞,設計邏輯,以及在業務場景里可能出現的問題。

在這里,我們還是再次通過合約審計的思路,來為大家提供理解合約安全的思路。

安全審計團隊拿到審計需求后,會先用團隊內部的安全審計工具過一遍,不過工具是一個輔助,然后進行人工審計,這個流程會按照審計列表將常規漏洞點審計一遍。

然后進行業務上的審計,其中包含什么業務場景、業務規模、業務邏輯。然后業務的描述如何,看代碼里是否有和描述功能不一致,是否會被薅羊毛,代幣是否有被鎖,權限設置錯誤問題,是否會增發或無限鑄幣等等。

但這些流程進行完畢后,上文講到,代碼的安全要看代碼編寫成熟度,而不同開發者因為其驚艷,對合約的判斷也不同,再加上智能合約的特殊性和DeFi業務邏輯復雜性,代碼審計必須要進行交叉審計,相互審查的。

就像Poly的以太坊合約問題,其在該合約后續的流程上是沒問題的,但在黑客看來,通過合約流程前面的一些數據偽造,就控制了其合約轉出的權限。也是一種迂回擊破的方式了。

或者因為Poly是一個跨鏈系統,出問題的部分可以稱為跨鏈合約交互部分,這也代表著跨鏈案例的實踐,要邏輯更為嚴密。

從智能合約的設計來看,絕大部分DeFi合約出問題都出在資產轉移、價格計算和權限控制上,因此這些方面開發者需要入手向上延展,并找到這條路徑上可能存在的薄弱環節加以防范。

Poly此次是萬幸的,黑客可以歸還資產,盡管目前歸還了一小部分,我們還在等待更多的資產轉賬。筆者從Poly處獲取的消息是,目前合約已經在升級,最優先級的目標是追回用戶資產,其他的細節會后續公布。

從黑客公布的消息看,似乎黑客已經接受了Poly提出的安全賞金,也希望在這場博弈里,雙方可以快速結束相互的拉扯。就像Poly說的,讓這一次安全事件,成為歷史上最大的白帽黑客事件。

Tags:POLYPOLOLY比特幣POLYDOGEpoloniex官網WEXPOLY幣比特幣交易時間

SHIB
深圳區塊鏈電子發票上線三年 累計開票超5800萬張_ITZ:bitcoin-cash-sv

圖為區塊鏈電子發票。 國家稅務總局深圳市稅務局供圖區塊鏈電子發票10日迎來在深圳落地三周年。國家稅務總局深圳市稅務局稱,截至目前,深圳區塊鏈電子發票系統累計開票超5800萬張,日均開票超12萬張.

1900/1/1 0:00:00
金色觀察 | Coinbase的加密帝國_BASE:CopperCoin

雖然二季度以比特幣為代表的加密貨幣遭遇腰斬行情,但激增的交易量仍然使加密貨幣交易所保持“旱澇保收”的狀態.

1900/1/1 0:00:00
金色觀察 | 搶購稀有NFT 這份攻略需要收好_NFT:BBNFT

NFT市場的火熱還在繼續。根據加密貨幣分析機構Messari的數據,NFT市場OpenSea在今年已經促成了超過10.2億美元的交易量.

1900/1/1 0:00:00
金色觀察丨五圖看懂Coinbase二季度股東信_COIN:gcoin幣人民幣

北京時間2021年8月11日,在納斯達克上市的美國加密貨幣交易所Coinbase發布2021年二季度股東信,詳細披露了Coinbase在2021年二季度的運營數據.

1900/1/1 0:00:00
Tether、鏈下穩定幣和合成加密泡沫_USD:THE

這就是加密愛好者會告訴您的關于加密貨幣的未來前景。然而,正如目前的情況所示,如果穩定幣造成的一些短期問題沒有得到很好的解決,加密貨幣可能真的是在月球上使用的貨幣.

1900/1/1 0:00:00
Twitter的140件NFT在OpenSea交易量突破500萬美元_TWI:SWITCH

8月10日消息,Twitter在6月30日發布的NFT系列“The140Collection”在OpenSeaNFT市場上創造了1700ETH的總交易量.

1900/1/1 0:00:00
ads