周二,?PolyNetwork?官方推特稱該項目遭到黑客攻擊,直接損失了價值超過6億美元的加密資產。這次攻擊是迄今為止最大的?DeFi?黑客攻擊,損失直接超過了2021年所有DeFi黑客攻擊的總和。此前的門頭溝和Coinchek?兩個轟動幣圈的大案損失分別為價值4億和5.32億美元的加密資產。
跨鏈協議PolyNetwork在收到攻擊后呼吁加密社區,甚至是"白帽黑客",通過區塊鏈來追蹤黑客轉移資金的行動。在本次黑客攻擊事件中,攻擊者利用了一個區塊鏈跨鏈協議PolyNetwork的技術漏洞。本次攻擊共涉及了三個不同的區塊鏈,它們分別是:以太坊網絡、幣安智能鏈和Polygon。最終黑客獲取了檢索加密貨幣錢包所有者的私鑰所需的信息,并最終盜取了鏈上資產。
Unstoppable Domains計劃年底推出基于Polygon的Web3消息服務:金色財經報道,Web3域名提供商Unstoppable Domains周三宣布將推出Unstoppable Messaging,這是一個平臺,允許用戶從基于Polygon的域名相互發送加密消息,計劃2023年底推出。Unstoppable Domains以幫助Web3項目策劃和建立其社區為目標,旨在幫助用戶在Web3體驗中攜帶自己的數字身份。持有者可以使用他們的域名結尾,例如.polygon、.nft或.x向另一個人發送點對點消息。
此前消息,Polygon Labs與Unstoppable Domains合作推出.polygon域名。[2023/3/23 13:20:27]
“漏洞”疑云
首個插槽流動性釋放協議Bifrost SALP將支持Polkadot插槽競拍:11月1日消息,Bifrost宣布SALP協議將支持Polkadot插槽競拍,并已與多個Polkadot插槽競拍項目達成合作,共同推出vsDOT作為插槽競拍衍生品,為用戶提供對沖96周插槽競拍質押期DOT的鎖倉成本。
SALP(Slot Auction Liquidity Protocol)作為首個插槽競拍流動性協議,由Bifrost于2021年9月16日推出上線,據鏈上顯示,目前已有多個Kusama插槽競拍項目在SALP注冊平行鏈ID,如Calamari、Altair、Kintsugi、Parallel、Basilisk、Picasso、Bit.Country等,其中大部分項目目前已經贏得Kusama平行鏈插槽。[2021/11/1 6:25:38]
PolyNetwork聲稱"數以萬計的社區成員"受到了該黑客攻擊事件的影響。
Poly Network:已恢復所有在攻擊事件中受影響用戶的資產:8月26日消息,Poly Network在推特中宣布,已完成所有Poly Network案件受影響用戶資產的恢復,約價值6.1億美元。PolyBridge現在已經恢復了總共59個資產的跨鏈功能。其他高級功能將逐步恢復。[2021/8/26 22:39:29]
PolyNetwork團隊通過推特表示,經過初步調查,我們找到了造成該漏洞的原因。黑客利用了合同調用之間的漏洞,漏洞并非像傳言的那樣是由單一Keeper造成的。
Nokenchain首席執行官GuillaumeThuill在youtube的直播中就談到,“很明顯,問題出在PolyNetwork只使用一個錢包來處理所有的業務。甚至其協議內部還存在著某種形式的賬戶管理不善。該公司將來自三個不同區塊鏈接近6億美金的代幣放在一個賬戶中,這本身就是一個錯誤。這明顯是違反了許多地區的金融安全監管法規的。
P2P交易所CryptoLocally集成Polygon:金色財經報道,據官方消息,P2P交易所CryptoLocally宣布集成Polygon(MATIC的創建者),用戶將可使用超過50種不同的支付方式用當地貨幣購買MATIC。此外,CryptoLocal的Earn錢包也將集成Polygon。[2021/6/18 23:45:49]
Thuill還補充道,“我們甚至還能猜測到黑客是如何設法獲得賬戶的內部密鑰的。他可能做了一個'利用'。這可能是他們的智能合約的審核問題。根據他們的網站,PolyNetwork總共"跨越"了11個區塊鏈。當然這是非常厲害的技術,但他們的風控和安全維護水平沒趕上他們的跨鏈技術。私鑰是件大事。一般來說,在每個階段,都應該有驗證或確認的交互系統。"
動態 | Poloniex因軟件問題導致“錯誤執行” 取消了12分鐘內所有交易:金色財經報道,今日,Poloniex發推證實,UTC時間2月10日17:53 到18:05,交易所由于軟件問題導致一系列交易被錯誤執行。因此決定回滾該時間段內的歷史交易紀錄,在此期間下達或執行的所有訂單均已從系統中清除。此外,該交易所還取消了所有待處理的提幣申請,并且通過電子郵件將所有受影響的客戶通知了該客戶。截至目前,提幣服務已重新啟用,所有錢包均可以正常使用。[2020/2/11]
為了挽救其聲譽,PolyNetwork甚至在推特上發布了一封信件與黑客隔空對話:"親愛的黑客我們想與你取得聯系,并敦促你歸還你所入侵的資產。任何國家的當局都會把你的不當行為視為重大經濟犯罪,你將被起訴。(……)你應該和我們談談,并嘗試找到一個解決方案。"
為什么項目方總會第一時間求助于加密社區?
這是一個經典的策略。通常情況下,項目方出事后都會第一時間呼吁活躍的社區用戶來識別地址,并追蹤資金,以阻止資金的流通。由于一切都在區塊鏈上被追蹤,而社區用戶往往與項目方有直接的利益相關性,所以會自愿自發的進行這些追蹤行動,項目方相當于免費雇傭了一大批“私人偵探”。這就像區塊鏈上的壞地址的黑名單,雖然簡單,但該方法實際上是非常有效的。唯一的問題是,黑客經常會讓作案錢包進入“冬眠”狀態,一直到風波浪潮過去。
在Twitter上,PolyNetwork就直接公布了黑客使用的地址,并呼吁加密貨幣錢包的持有人將其列入"黑名單"。
該方法也在美國運營商ColonialPipeline被黑的案件中得到了嘗試和檢驗,該公司被要求支付贖金來恢復它的計算機系統。但在支付給黑客的440萬美元贖金中,美國當局表示,他們僅僅通過追蹤這些以加密貨幣支付的資金在區塊鏈上的流動,就收回了一半以上的贖金。
雖然PolyNetwork項目和許多新的初創公司一樣,正在為欣欣向榮的Defi生態添磚加瓦。但并不太代表著安全問題可以被忽略掉。區塊鏈是安全的,但顯然基于區塊鏈的智能合約卻并非如此。
歸還贓款
所以自官方公布被盜之后,無論是項目方還是安全機構、幣圈各方力量以及每個幣圈人都在時刻關注PolyNetwork事件的最新進展,并盡全力協助凍結追回資金。
被攻擊的當天,8月10號中午12時,黑客竟公開表示將要歸還所有資產,其通過鏈上交易備注表示準備歸還盜取的資產,但因為無法聯系PolyNetwork項目方,希望PolyNetwork提供一個多簽錢包。黑客還稱“獲取這么多財富已經是一個傳奇,而拯救世界更是永恒的傳奇,我做出了決定,不再使用DAO。”
看起來似乎是黑客“回心轉意”,但實際上僅僅是一次“風險大于作惡收益”的權衡。在攻擊發生之后的三小時內,慢霧安全團隊就表示,通過鏈上及鏈下追蹤已關聯發現攻擊者的郵箱、IP及設備指紋等信息,正在追蹤PolyNetwork攻擊者相關的可能身份線索。并確認這很可能是一次蓄謀已久的、有組織有準備的攻擊行為。
隨后鏈上陸續記錄了黑客的還款動作。
據PeckShield追蹤的數據顯示,攻擊PolyNetwork的黑客在BSC上于區塊9939700歸還近1.2億枚BUSD。比推此前報道,周二,去中心化金融(DeFi)項目PolyNetwork被黑客盜取超過6億美元的數字資產。這次攻擊是迄今為止最大的DeFi黑客攻擊,超過了2021年所有DeFi黑客攻擊的總和。美東時間周三早上,該公司發布推文稱,已收到黑客返還的總價值為4,772,297.675美元的資產,包括ETH地址:2,654,946.051美元;BSC地址:1,107,870.815美元;Polygon地址:1,009,480.809美元。
盡管資金已經得到歸還,但一次黑客攻擊便可轉移6億美元資產的負面新聞,可能又再次對Defi的發展打上了不可逆轉的陰影。
《比推》此前報道,根據CipherTrace數據,到4月底,加密貨幣盜竊、黑客攻擊和欺詐的總金額已經達到4.32億美元。該公司在報告中寫道,“與過去幾年相比,這個數字似乎很小,但如果我們更仔細地去了解這個數據,一個糟糕的趨勢正在形成:去中心化金融領域的黑客現在占到黑客和盜竊總量的60%以上。”
據Chainalysis在2月份發布的另一份報告指出,2020年用于非法目的的加密貨幣交易達到100億美元,僅占去年加密貨幣活動總量的1%,是前年同期的50%。
作者:ChenZou
金色財經報道,ElectricCoinCompany首席執行官兼Zcash創始人ZookoWilcox今天在一篇博客文章中提議.
1900/1/1 0:00:00金色周刊是金色財經推出的一檔每周區塊鏈行業總結欄目,內容涵蓋一周重點新聞、礦業信息、項目動態、技術進展等行業動態。本文是其中的新聞周刊,帶您一覽本周區塊鏈行業大事.
1900/1/1 0:00:00移動支付網訊:近日,據網友透露,民生銀行手機銀行App加入了“數字人民幣”入口,用戶可通過該入口實現數字人民幣錢包的開立.
1900/1/1 0:00:00美國的兩黨政策制定者和州執法部門都在對加密貨幣市場施加壓力。參議員波特曼和白宮在基礎設施法案草案中要求了加密市場參與者應進行稅務報告的責任.
1900/1/1 0:00:00以太坊的倫敦升級于8月4日完成,其中包括了著名的EIP-1559。當真實的ETH被燒毀時,人們終于感受到EIP-1559的燃燒能量,看到每天都會有大量的ETH被燒掉.
1900/1/1 0:00:00在數字貨幣投資者中,說起“釣魚”欺詐,很多朋友都不會陌生。2020年2月,據金色財經報道,有數字貨幣投資者在社區表示,有賬號在空投Voice代幣,但其中memo出現的網站為釣魚網站.
1900/1/1 0:00:00