以太幣交易所 以太幣交易所
Ctrl+D 以太幣交易所
ads
首頁 > DYDX > Info

金色觀察|“迷途知返”的黑客與區塊鏈安全隱憂_OLY

Author:

Time:1900/1/1 0:00:00

截止到8月11日12時59分,Poly Network發生的O3資金池被盜事件,在持續發酵后,似乎有了最終結果。

黑客使用攻擊地址“自己給自己”發送交易,在交易附帶信息里說到“I NEED A SECURED MULTISIG WALLET FROM YOU”

隨后Poly Network回復:“We are preparing a multi-sig address controlled by known Poly addresses”并在50分鐘后回復了以太坊、BSC、Polygon三條鏈的接受地址,分別為:

同道大叔十二星座《嘻哈一夏》數字藏品,明日15:00于金色數藏平臺開售:據官方消息,金色數藏平臺將于7月8日15:00,公開發售同道大叔十二星座《嘻哈一夏》數字藏品。本系列基于同道大叔最具商業價值的十二星座IP創作,發行其中典藏版金牛座500份,其他11款數字藏品各2000份,詳情查看原文鏈接。金色數藏是由金色財經孵化,依托騰訊至信鏈為底層技術的元宇宙數字藝術文化收藏平臺。[2022/7/7 1:57:55]

ETH: 0x71Fb9dB587F6d47Ac8192Cd76110E05B8fd2142f

BSC: 0xEEBb0c4a5017bEd8079B88F35528eF2c722b31fc

Polygon: 0xA4b291Ed1220310d3120f515B5B7AccaecD66F17

金色晚報 | 4月25日晚間重要動態一覽:12:00-22:00關鍵詞:金融科技研究院、美國SEC、福布斯、ETH2.0、LINK

1. 央行旗下金融科技研究院批量招人研發法定數字貨幣。

2. 美SEC訴Kik一案新進展:雙方均反對對方提出的簡易裁決申請。

3. 福布斯:比特幣2020年或是“新2017”牛市重現。

4. 萊特幣基金會聯合創始人王新喜:當USDT被迫停止增發,整個加密市場市值將會崩盤。

5. 韋氏評級:Chainlink的效用會隨著MakerDAO添加LINK作為抵押品而擴展。

6. EthereumPrice.org發布ETH 2.0 Staking計算器。

7. 數據:三月初以來,交易所中的BTC大幅減少,ETH大幅增加。[2020/4/25]

這場漫長的溝通經歷差不多15小時,第一次嘗試溝通,Poly Network嘗試取得溝通,并留下了溝通郵箱。2小時后,繼續溝通表示,如果歸還資產,會因為這次發現安全漏洞給予安全獎勵。

金色晚報 | 1月31日晚間重要動態一覽:12:00-21:00關鍵詞:Facebook、柬埔寨、以太坊、ETC

1. 扎克伯格:Facebook正在開發與Libra一起使用的數字錢包;

2. 柬埔寨將發行CBDC,目前該項目已進入最后部署階段;

3. 塞舌爾證券交易所MERJ計劃對包括法拉利在內的豪車進行代幣化;

4. Galaxy Digital創始人:有三個原因將推動比特幣未來幾個月上漲;

5. 開發者:以太坊向PoS的轉換不會影響到建立在其上的項目;

6. 日本JVCEA公示19家注冊交易所去年12月的交易數據報告;

7. Blockstack用戶增長負責人:公司未來將不再主導硬分叉升級

8. Block.one首席執行官:我們正在全面重建數字基礎設施;

9. ETC官方宣布將實施Phoenix硬分叉對原計劃Aztlán硬分叉進行修復。[2020/1/31]

隨后黑客在攻擊地址表示,可能會建立一個DAO決定地址中資金的流向。

分析 | 金色盤面:BTC/USDT季度合約在6350壓力位回調:金色盤面綜合分析:BTC季度合約在6350遇到壓力位向下,BTC反彈之后回落,說明壓力位附近賣盤壓力較大。目前來看,BTC在6000左右振蕩的概率較大,可以在壓力位附近短線看空。[2018/8/16]

Poly Network再次回復,建立DAO也改變不了資金被盜的事實,如果歸還資產,會為黑客提供安全賞金,并且這也會成為歷史上最大金額的“白帽”黑客事件而被銘記。

隨后便是黑客表示自己是傳奇,而將退還資產的關鍵消息的發布。

白帽黑客指正義的黑客,區塊鏈圈很多安全公司的中流砥柱都出自白帽。

也許這次參與的黑客真的如其所說,對錢不感興趣。

在下午5時左右,Poly公布的Polygon地址收到了101萬枚USDC。發稿前,其他地址暫時還沒有將資產轉入。

金色財經現場報道 快的打車創始人陳偉星:以后沒那么多機會炒幣:金色財經現場報道,在4月3日舉辦的2018年世界區塊鏈峰會現場,快的打車創始人陳偉星表示,區塊鏈發展肯定每一年都會有進步,但是五年會是一個很大的進步,最終要實現到股權的多貨幣體系里面,可能還需要二十年或者更久。但是每五年度,都會有一個很巨大的進步。肯定不是現在大家看到的炒幣,以后沒那么多機會炒幣,估計炒幣也是機器人炒,人炒不過機器人。股市肯定不是現在的狀態,最終我們一定能找到區塊鏈可以用來解決什么問題。[2018/4/3]

但作為區塊鏈從業者、用戶來說,面對攻擊事件,小概率可以得到善終,大概率是會波及項目和用戶資產安全。

此次安全事件發生后,在事件的評論中,有一條極為反諷的評論“講個笑話,區塊鏈是安全的。”

外行看熱鬧,內行看門道。

區塊鏈的安全是一個相對概念,而不是一個絕對概念。

在巨額收益的引誘、加密貨幣無監管、合約設計不成熟的情況下,加密貨幣網絡中的合約漏洞被當成黑客提款機也就不足為奇了。

傳統金融領域,安全不僅僅在于軟件,更多安全保證在于流程防護。但當全部的流程通過智能合約自動執行的時候,就會出現多個漏洞。

最大的保障變成了代碼正確性和安全案例的設計實踐。

此次Poly的問題就在于黑客可以控制資金池中管理賬戶轉賬的權限,當把轉出地址換成黑客自己的地址后,只要向合約發送虛擬的數據轉出交易,那資金池的資產就會順利被轉出。

這個漏洞主要在于,因為設計了一些合約接受某些數據而執行行為的操作,但可以執行這個動作又有多個因素管理,其中有一個因素漏洞被黑客利用了,劫取了“權限”。

這類事件還要有一個理解框架。

其中分為鏈的安全和合約安全。

一條公鏈,首先要保證鏈的安全,即總帳本的安全、交易打包的安全。然后是合約執行的安全。

軟件的安全依賴開發者代碼的成熟性,正所謂沒有絕對安全的系統,只有良莠不齊的開發者。

鏈的安全是指鏈上的共識算法設計、基礎協議的編寫不能有漏洞,其次是基礎協議執行的合約沒有問題,例如在以太坊上發型代幣,其合約是一個基礎流程,但如果合約漏洞里有明顯的增發漏洞,那極有可能被利用增發代幣。

鏈的安全,主要是共識來保證,比特幣使用中本聰共識,以太坊使用Ethash,波卡使用NPOS。其保證的是總帳本不能篡改。合約安全就只能考究其設計問題和編碼成熟度了。

所以合約設計者和開發者要嚴格設計合約,要檢查合約的設計漏洞,代碼編寫漏洞,設計邏輯,以及在業務場景里可能出現的問題。

在這里,我們還是再次通過合約審計的思路,來為大家提供理解合約安全的思路。

安全審計團隊拿到審計需求后,會先用團隊內部的安全審計工具過一遍,不過工具是一個輔助,然后進行人工審計,這個流程會按照審計列表將常規漏洞點審計一遍。

然后進行業務上的審計,其中包含什么業務場景、業務規模、業務邏輯。然后業務的描述如何,看代碼里是否有和描述功能不一致,是否會被薅羊毛,代幣是否有被鎖,權限設置錯誤問題,是否會增發或無限鑄幣等等。

但這些流程進行完畢后,上文講到,代碼的安全要看代碼編寫成熟度,而不同開發者因為其經驗,對合約的判斷也不同,再加上智能合約的特殊性和DeFi業務邏輯復雜性,代碼審計必須要進行交叉審計,相互審查的。

就像Poly的以太坊合約問題,其在該合約后續的流程上是沒問題的,但在黑客看來,通過合約流程前面的一些數據偽造,就控制了其合約轉出的權限。也是一種迂回擊破的方式了。

或者因為Poly是一個跨鏈系統,出問題的部分可以稱為跨鏈合約交互部分,這也代表著跨鏈案例的實踐,要邏輯更為嚴密。

從智能合約的設計來看,絕大部分DeFi合約出問題都出在資產轉移、價格計算和權限控制上,因此這些方面開發者需要入手向上延展,并找到這條路徑上可能存在的薄弱環節加以防范。

Poly此次是萬幸的,黑客可以歸還資產,盡管目前歸還了一小部分,我們還在等待更多的資產轉賬。筆者從Poly處獲取的消息是,目前合約已經在升級,最優先級的目標是追回用戶資產,其他的細節會后續公布。

從黑客公布的消息看,似乎黑客已經接受了Poly提出的安全賞金,也希望在這場博弈里,雙方可以快速結束相互的拉扯。就像Poly說的,讓這一次安全事件,成為歷史上最大的白帽黑客事件。

Tags:OLYPOLPOLY區塊鏈polyx幣創始團隊poloniex兌付騙局PolypuX區塊鏈域名成交

DYDX
以太坊可能是過去20年來最好的投資_以太坊

時間回到六年前,有多少人會覺得以太坊很性感?很多人最近在以太坊上的投資翻了一番。目前來看,以太坊可能是過去20年來最好的投資。以下就是原因。以太坊進行了大規模升級.

1900/1/1 0:00:00
NFT 大火的今天 我們到底該如何看待它?_NFT

2021年NFT作為區塊鏈破圈的新代表突然進入大眾視野。今年三月,藝術家Beeple以6900萬美元的價格出售了他的NFT作品,成為有史以來第三貴的作品.

1900/1/1 0:00:00
金色觀察|薩爾瓦多的比特幣計劃進展如何?_比特幣

金色財經報道,薩爾瓦多央行在8月17日已出臺兩份草案,指導銀行和金融機構如何為客戶提供BTC相關服務.

1900/1/1 0:00:00
a16z合伙人Chris Dixon:加密貨幣或將 Web2 網絡升級為 Web3 經濟體_WEB

原文標題:《a16z 創始人:加密貨幣如何將 Web2 網絡升級為 Web3 經濟體?》我們在過去 20 年里在互聯網上建立了網絡.

1900/1/1 0:00:00
Cardano創始人:“厄運體”Tether會對加密貨幣市場產生毀滅性影響_ETHE

Cardano(ADA)創始人兼以太坊聯合創始人查爾斯-霍斯金森(CharlesHoskinson)長期以來一直都在對加密貨幣行業最大的穩定幣Tether的問題發表意見,他再次強調.

1900/1/1 0:00:00
Visa斥15萬美元買入加密朋克背后:NFT進擊主流+三大發展階段探討_NFT

最流行的NFT之加密朋克于2021年5月12日在時代廣場展出。(來源:Getty Images)摘要:為什么VISA要如此“神圣”地購買加密朋克NFT,一小筆15萬美元的支出背后的蝴蝶效應是?N.

1900/1/1 0:00:00
ads