以太幣交易所 以太幣交易所
Ctrl+D 以太幣交易所
ads

黑客在 Poly Network 狂攬 6.1 億美元 在線演繹花式 DeFi 出金_POLY

Author:

Time:1900/1/1 0:00:00

8 月 10 日,異構跨鏈協議 Poly Network 遭到攻擊,損失達到 6.1 億美元,包含 2,857 ETH、9,630萬 USDC、26,000 WETH、1,000 WBTC、3,340萬 USDT、2,590億 SHIB、14 renBTC、673,000 DAI和 43,000 UNI 轉至以太坊,6,600 BNB、8,760萬 USDC、26,600 ETH、1,000BTCb、3,210萬 BUSD 轉至BSC,8,500萬 USDC 轉至 Polygon。

PeckShield「派盾」第一時間定位并分析發現,此次攻擊源于合約漏洞。

PeckShield:黑客在6月竊取了價值約227萬美元的NFT,較上月下降23%:金色財經報道,PeckShield分析表示,黑客在6月竊取了價值約227萬美元的NFT。較上月下降23%,上月為295萬美元。這可以歸因于底價下降。一半被盜NFT在盜竊發生后的三個小時內立即在各個市場上出售。Blur等著名NFT市場成為熱點,近86%的非法資金被出售,其次是OpenSea,占13.76%。

與此同時,Bored Ape Yacht Club (BAYC)、Otherdeed、Mutant Ape Yacht Club、Azuki Elementals以及DeGods等NFT系列的底價均大幅下跌。從數字資產行業的整體表現來看,6月份是今年第二高的月份。黑客通過42次黑客攻擊竊取了超過9200萬美元。[2023/7/4 22:16:21]

據了解,Poly Network 是由小蟻 Neo、本體 Ontology、Switcheo 基金會共同作為創始成員,分布科技作為技術提供方共同發起的跨鏈組織。

跨鏈橋黑客在過去兩年里造成大約25億美元損失:金色財經報道,根據Token Terminal的報告,跨鏈橋是50% DeFi漏洞的受害者。在過去的兩年里,黑客利用漏洞竊取了大約25億美元。同一時期DeFi貸款黑客攻擊造成7.18億美元損失,DEX黑客攻擊造成3.62億美元損失。

與2021年同期相比,2022年上半年,利用跨鏈橋的盜竊行為增加了58%。[2022/12/30 22:16:43]

PeckShield「派盾」簡述攻擊過程:

Poly Network 中有一特權合約 EthCrossChainManager,此合約主要用于觸發來自其他鏈的信息。

黑客在暗網門戶上出售超85000個SQL數據庫,每個數據庫索要550美元比特幣贖金:目前有超過85000個SQL數據庫在暗網門戶上出售,每個數據庫的價格索要價值550美元的比特幣。今天早些時候,該門戶引起了一名安全研究人員的注意,這也是2020年初開始實施的數據庫勒索計劃的一部分。黑客已經侵入SQL數據庫,下載表格,刪除原始文件,并留下贖金記錄,讓服務器所有者聯系攻擊者,以取回他們的數據。雖然最初的贖金通知要求受害者通過電子郵件聯系攻擊者,將近一年的時間里,攻擊者也利用網站門戶實現贖金索要流程自動化。該門戶首先托管在sqldb.to和dbrestore.to上,隨后轉到暗網上的一個洋蔥地址。(ZDNet)[2020/12/10 14:49:50]

在跨鏈交易中,任何人都可調用 verifyHeaderAndExecuteTx 來執行跨鏈交易,這個函數主要有三個作用: 一是通過檢驗簽名來驗證區塊頭是否正確,二是利用默克爾樹來驗證交易是否包含在該區塊中,三是調用函數 _executeCrossChainTx,即目標合約。

推特稱在BTC黑客事件中黑客在員工中獲得支持工具:推特更新了比特幣黑客事件的最新信息,稱黑客在員工中獲得了支持工具,攻擊者下載了7個賬戶的推特數據。(金十)[2020/7/31]

此次攻擊事件源于 Poly Network 允許調用目標合約,但在此過程中沒有限制用戶調用 EthCrossChainData 合約,該合約可追蹤來自其他鏈上數據的公鑰列表,即便在沒有盜取公鑰的情況下,如果你已經獲取了修改公鑰列表的權限,那么只需要設置公鑰來匹配自己的私鑰,基本上就可以暢通無阻了。

由于用戶可通過發送跨鏈請求欺騙 EthCrossChainManager 合約調用 EthCrossChainData 合約,來蒙混 onlyOwner 的檢驗,此時,用戶只需要杜撰一個正確的數據就能觸發修改公鑰的函數。

動態 | 黑客在推特冒充特朗普發布加密貨幣騙局:據Fortune報道,本周三,黑客入侵了推特賬戶JoyJoyce2,并將其名稱改為看起來與美國總統特朗普推特帳戶非常類似的名稱,并發布了一個加密貨幣騙局推文,其攻擊的目標群體為關注總統特朗普總統的推特用戶。人們在閱讀特朗普的推文時,被黑帳戶會回應稱特朗普正提供5000個以太幣和500個比特幣作為贈品。實際上這些推文都是假的,賬號由機器人運行。但是這個騙局在推特上出奇的普遍,過去曾被用于其他著名賬戶。[2018/8/3]

接下來,攻擊者離得手只有一步之遙,Poly Network 的合約允許調用任意合約,但是,它只調用與簽名哈希對應的合約函數,如上圖合約 C 所示。 

8月10日晚 20:38 PM,Poly Network 官方在推特上公布攻擊事件,并表示,為追回被盜資產,Poly Network 將采取法律行動,敦促黑客盡快還款,希望相關鏈上的礦工及各大交易所伸手援助,共同阻止黑客地址所發起的交易。

中心化機構、安全機構多方聯動,試圖阻止黑客洗錢。其中,穩定幣 USDT 的發行方 Tether 響應極為快速,直接凍結攻擊黑客以太坊地址中 3,300 萬 USDT。

雖然已有多方積極參與對黑客的圍堵,但黑客仍通過各種花式 DeFi 玩法快速混幣,從這一點也可以看出,攻擊者是個 DeFi 高階玩家。

據 PeckShield 追蹤顯示,他先是在以太坊上利用 Curve 添加 9,600萬 USDC/673,000 DAI 流動性,又在 BSC 上利用 Curve 分叉項目 Ellipsis Finance 添加 8,700萬 USDC/3,200萬 BUSD 流動性;很快,攻擊者移除在 Curve 的流動性,全部兌換為 DAI,以防被凍。

一方面,Poly Network 在積極與黑客喊話,試圖挽回所盜資產;另一方面,“看熱鬧不嫌事大”的吃瓜群眾給黑客支起了招:“不要動用你的 USDT,你已經被列入黑名單了。”并收到了黑客饋贈的 13.5 ETH(價值 4.3 萬美元);眼看著有利可圖,吃瓜群眾越發積極為黑客出謀劃策,更有甚者,留言黑客一些可行的混幣措施,試圖換取看起來極為可觀的回報。

就在各關聯方進退無門之時,黑客在區塊高度 13001578 和區塊高度 13001573 中留言表示,準備歸還部分資產。在 Poly Network 提供多簽錢包幾個小時后,PeckShield 追蹤到黑客開始在 Polygon 上歸還部分 USDC,PeckShield 將持續關注和追蹤相關資產流轉情況。

據 PeckShield 統計,截至目前,2021年第三季度發生的跨鏈橋安全事件,已造成損失合計逾 6.4 億美元,占總損失 44.5%。

PeckShield 觀察發現,跨鏈協議這個新興領域,打破了鏈與鏈之間的信息孤島的壁壘,仍需要經受時間的考驗。隨著近期跨鏈橋的生態愈發多樣化、豐富化,在它上面進行的交易、資金量大幅增長,例如,遭到攻擊的 Poly Network,跨鏈資產轉移的規模已經超過 100 億美元,超過 22 萬地址使用該跨鏈服務,這也就吸引了黑客對于跨鏈協議的關注,再加上跨鏈橋本身是黑客資金出逃的重要環節,因此,也會成為黑客攻擊的目標。

PeckShield 建議設計一定的風控熔斷機制,引入第三方安全公司的威脅感知情報和數據態勢情報服務,在 DeFi 安全事件發生時,能夠做到第一時間響應安全風險,及時排查封堵安全攻擊,避免造成更多的損失;并且應聯動行業各方力量,搭建一套完善的資產追蹤機制,實時監控相關虛擬貨幣的流轉情況;還要提升運維安全的重視度。

Tags:POLYOLYUSDPOLPOLYDOGE幣會是百倍幣嗎POLY價格OUSD價格polis幣發行價

幣安app下載
與鯊魚共舞:巨頭FTX簡史_FTX

這些之前從未公開的數據,為我們揭開了一個加密貨幣世界低調巨頭的神秘面紗。FTX立志成為未來十年最具影響的公司之一.

1900/1/1 0:00:00
NFT 一種新型社交網絡「Status Monkeys」_NFT

整個周末,The DEAD都在 Twitter 上追蹤我。不是以 Haley Joel Osment 的方式,只是以這個化身不斷出現在各處: 對于不熟悉的人來說:這個綠色的家伙叫CryptoPu.

1900/1/1 0:00:00
中心化衍生品限速 鏈上競品沖鋒_DYDX

在新一輪DeFi市場增長期里,去中心化衍生品成為熱門賽道。鏈上數據顯示,在8月18日的DEX交易量排行榜中,Perpetual與dYdX兩大衍生品交易協議同時登上前十榜單,日交易量均超過2億美元.

1900/1/1 0:00:00
DeFi周刊 | SEC主席:無論多么“去中心化”DeFi都必須被監管_NFT

DeFi數據 1.DeFi總市值:1107.6億美元 市值前十幣種價格及本周漲跌幅,數據來源:CoinGecko2.去中心化交易所24小時交易量:36.2億美元 交易量排名前十的DEX 數據來源.

1900/1/1 0:00:00
對話火小律:未來加密監管形勢、趙東案分析、OTC動態_加密貨幣

1、首先恭喜我們的老朋友、火律師最近有了新工作,方便再和讀者們介紹下您的履歷和新工作嗎?火律師:謝謝老吳,認真介紹下,火伊婕,一名以刑事業務為主的律師。大家比較熟悉的應該是公眾號名稱“火小律”.

1900/1/1 0:00:00
NFT概念究竟是怎么回事 區塊鏈“正式”出圈?_NFT

其實NTF并不是什么新概念,如果你是一位幣圈早鳥,那么你一定或多或少的聽說過CryptoKitties(謎戀貓)、Etheremon (以太小怪獸世界)和Etherbots(以太機器人).

1900/1/1 0:00:00
ads