欧易下载

欧易交易所
欧易交易所APP官网下载

欧易交易所(Huobi Global)是最老牌的比特、莱特、以太交易所,欧易交易平台支持OTC法币交易,支持微信、支付宝和银行卡转账,安全方便快捷,欧易下载官方APP链接。

黑客在 Poly Network 狂揽 6.1 亿美元 在线演绎花式 DeFi 出金

8 月 10 日,异构跨链协议 Poly Network 遭到攻击,损失达到 6.1 亿美元,包含 2,857 ETH、9,630万 USDC、26,000 WETH、1,000 WBTC、3,340万 USDT、2,590亿 SHIB、14 renBTC、673,000 DAI和 43,000 UNI 转至以太坊,6,600 BNB、8,760万 USDC、26,600 ETH、1,000BTCb、3,210万 BUSD 转至BSC,8,500万 USDC 转至 Polygon。

PeckShield「派盾」第一时间定位并分析发现,此次攻击源于合约漏洞。

据了解,Poly Network 是由小蚁 Neo、本体 Ontology、Switcheo 基金会共同作为创始成员,分布科技作为技术提供方共同发起的跨链组织。

PeckShield「派盾」简述攻击过程:

京东数科将与中国金融认证中心共建“区块链-电子合同存证联盟链”:12月1日,京东数科与中国金融认证中心(CFCA)在京举行战略合作签约仪式。依托互惠合作协议签署,未来双方将整合各自金融场景、技术、客户等资源优势,基于智臻链技术推进在电子认证业务、司法实践、密码应用、信息安全服务等方面的合作,同时双方将共建“区块链-电子合同存证联盟链”、“区块链-分布式身份验证联盟链”等应用创新产品。(新浪财经)[2020/12/2 22:50:06]

Poly Network 中有一特权合约 EthCrossChainManager,此合约主要用于触发来自其他链的信息。

在跨链交易中,任何人都可调用 verifyHeaderAndExecuteTx 来执行跨链交易,这个函数主要有三个作用: 一是通过检验签名来验证区块头是否正确,二是利用默克尔树来验证交易是否包含在该区块中,三是调用函数 _executeCrossChainTx,即目标合约。

此次攻击事件源于 Poly Network 允许调用目标合约,但在此过程中没有限制用户调用 EthCrossChainData 合约,该合约可追踪来自其他链上数据的公钥列表,即便在没有盗取公钥的情况下,如果你已经获取了修改公钥列表的权限,那么只需要设置公钥来匹配自己的私钥,基本上就可以畅通无阻了。

以太坊互助保险Nexus Mutual以太坊锁仓量接近10万枚:据Defi Pulse数据显示,以太坊互助保险Nexus Mutual(NXM)当前美元锁仓量达到4330万美元,创历史新高,24小时增加近14%,以太坊锁仓量达到9.93万枚,24小时增加9.7%。比特币锁仓量达到3700枚,24小时增加近12%。[2020/8/15]

由于用户可通过发送跨链请求 EthCrossChainManager 合约调用 EthCrossChainData 合约,来蒙混 onlyOwner 的检验,此时,用户只需要杜撰一个正确的数据就能触发修改公钥的函数。

接下来,攻击者离得手只有一步之遥,Poly Network 的合约允许调用任意合约,但是,它只调用与签名哈希对应的合约函数,如上图合约 C 所示。 

8月10日晚 20:38 PM,Poly Network 官方在推特上公布攻击事件,并表示,为追回被盗资产,Poly Network 将采取法律行动,敦促黑客尽快还款,希望相关链上的矿工及各大交易所伸手援助,共同阻止黑客地址所发起的交易。

中心化机构、安全机构多方联动,试图阻止黑客。其中,稳定币 USDT 的发行方 Tether 响应极为快速,直接冻结攻击黑客以太坊地址中 3,300 万 USDT。

虽然已有多方积极参与对黑客的围堵,但黑客仍通过各种花式 DeFi 玩法快速混币,从这一点也可以看出,攻击者是个 DeFi 高阶玩家。

据 PeckShield 追踪显示,他先是在以太坊上利用 Curve 添加 9,600万 USDC/673,000 DAI 流动性,又在 BSC 上利用 Curve 分叉项目 Ellipsis Finance 添加 8,700万 USDC/3,200万 BUSD 流动性;很快,攻击者移除在 Curve 的流动性,全部兑换为 DAI,以防被冻。

一方面,Poly Network 在积极与黑客喊话,试图挽回所盗资产;另一方面,“看热闹不嫌事大”的吃瓜群众给黑客支起了招:“不要动用你的 USDT,你已经被列入黑名单了。”并收到了黑客馈赠的 13.5 ETH(价值 4.3 万美元);眼看着有利可图,吃瓜群众越发积极为黑客出谋划策,更有甚者,留言黑客一些可行的混币措施,试图换取看起来极为可观的回报。

就在各关联方进退无门之时,黑客在区块高度 13001578 和区块高度 13001573 中留言表示,准备归还部分资产。在 Poly Network 提供多签钱包几个小时后,PeckShield 追踪到黑客开始在 Polygon 上归还部分 USDC,PeckShield 将持续关注和追踪相关资产流转情况。

据 PeckShield 统计,截至目前,2021年第三季度发生的跨链桥安全事件,已造成损失合计逾 6.4 亿美元,占总损失 44.5%。

PeckShield 观察发现,跨链协议这个新兴领域,打破了链与链之间的信息孤岛的壁垒,仍需要经受时间的考验。随着近期跨链桥的生态愈发多样化、丰富化,在它上面进行的交易、资金量大幅增长,例如,遭到攻击的 Poly Network,跨链资产转移的规模已经超过 100 亿美元,超过 22 万地址使用该跨链服务,这也就吸引了黑客对于跨链协议的关注,再加上跨链桥本身是黑客资金出逃的重要环节,因此,也会成为黑客攻击的目标。

PeckShield 建议设计一定的风控熔断机制,引入第三方安全公司的威胁感知情报和数据态势情报服务,在 DeFi 安全事件发生时,能够做到第一时间响应安全风险,及时排查封堵安全攻击,避免造成更多的损失;并且应联动行业各方力量,搭建一套完善的资产追踪机制,实时监控相关虚拟货币的流转情况;还要提升运维安全的重视度。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

欧易交易所

火币下载金色观察 | 13F季度持仓报告:受宠的Coinbase

上市四个月,Coinbase 究竟有多受宠? 近日,已有多家机构披露了其13F季度持仓报告,ARK 、贝莱德、摩根大通、德银、摩根士丹利、高盛等机构均在二季度建仓Coinbase。 根据美国证监会规定:股票资产超过1亿美元的机构,都需要在每个季度结束的45天内向美国证券交易委员会(SEC)提交该季度末的股票持仓报告,即13F。

UNI从全球12个票务供应商真实案例看 区块链与NFT如何改变票务系统?

在本文中,我们将回答以下几个关键问题: 什么是区块链? 什么是NFT? 在票务系统中使用区块链技术和NFT有什么好处? 哪些事件能给用户带来最大的好处? 机遇和挑战是什么? 我们将要回答这个领域中最迫切的问题,即在活动票务中如何使用区块链技术和NFT,并列举了该领域中主要的运营商。

Filecoin加密货币里的吸血鬼攻击

实际上,吸血鬼攻击是DeFi的一种利用一个协议提供比另一个协议更好的利率以窃取他们的客户和投资者的方法。 我相信我们的大多数读者在人生的某个阶段都有过女朋友或男朋友。大部分加密投资者是男性,我会在后续用女朋友举例。比方说,你刚交了一个新女朋友,出于某种原因,你最好的朋友想带你们俩出去吃饭。鉴于他是你的朋友,你看不出有什么坏处。

[0:15ms0-4:359ms