月亮链 月亮链
Ctrl+D收藏月亮链
首页 > 波场 > 正文

POL:黑客在 Poly Network 狂揽 6.1 亿美元 在线演绎花式 DeFi 出金_poloniex兑付局

作者:

时间:1900/1/1 0:00:00

8 月 10 日,异构跨链协议 Poly Network 遭到攻击,损失达到 6.1 亿美元,包含 2,857 ETH、9,630万 USDC、26,000 WETH、1,000 WBTC、3,340万 USDT、2,590亿 SHIB、14 renBTC、673,000 DAI和 43,000 UNI 转至以太坊,6,600 BNB、8,760万 USDC、26,600 ETH、1,000BTCb、3,210万 BUSD 转至BSC,8,500万 USDC 转至 Polygon。

PeckShield「派盾」第一时间定位并分析发现,此次攻击源于合约漏洞。

Poly Network攻击黑客在多条链上铸造超340亿美元资产:7月2日消息,据 Beosin Alert 监测,跨链互操作协议 Poly Network 攻击黑客在多条链上铸造了超过 340 亿美元的资产,其中部分被盗资金(约合 80 万美元)被转移至以太坊地址:0xe0Afadad1d93704761c8550F21A53DE3468Ba599。

此前报道,Poly Network 在 2021 年曾遭黑客攻击被盗 6 亿美元。[2023/7/2 22:13:02]

据了解,Poly Network 是由小蚁 Neo、本体 Ontology、Switcheo 基金会共同作为创始成员,分布科技作为技术提供方共同发起的跨链组织。

PeckShield「派盾」简述攻击过程:

Euler黑客在链上收到某用户请求后向其发送了100枚ETH:3月16日消息,Web3知识图谱协议0xscope发推表示,有人(0x2A开头的地址)向Euler黑客发送信息称,其全部积蓄(78枚ETH)存在了Euler Finance中,请攻击者能返还90%或80%,然后攻击者向其发送了100枚ETH。目前已有其他地址效仿0x2A地址的行为。

今日早些时候消息,Euler Finance攻击者转移约446万美元资金。[2023/3/16 13:07:51]

Poly Network 中有一特权合约 EthCrossChainManager,此合约主要用于触发来自其他链的信息。

CremaFinance:找到了黑客在黑客事件中使用的可疑discord账户:金色财经报道,CremaFinance在社交媒体上称,根据合作伙伴提供的线索,我们找到了黑客在黑客事件中使用的可疑discord账户。我们正在与有关方面接触,以获得更多可能有助于侦查的信息。

金色财经此前报道,CremaFinance被黑客攻击损失约880万美元。[2022/7/4 1:50:09]

在跨链交易中,任何人都可调用 verifyHeaderAndExecuteTx 来执行跨链交易,这个函数主要有三个作用: 一是通过检验签名来验证区块头是否正确,二是利用默克尔树来验证交易是否包含在该区块中,三是调用函数 _executeCrossChainTx,即目标合约。

黑客在暗网售卖25万个MySQL数据库,单个价格为0.03枚BTC:PeckShield发微博称,目前,暗网上有逾25万个MySQL数据库正在出售,每个数据库的价格为0.03枚BTC。自今年10月初起,黑客窃取MySQL数据库的频率骤增,他们下载表格,删除原始文档,并留下赎金记录,告诉服务器所有者与其联系以取回他们的数据。据派盾CoinHolmes追踪显示,自11月起,黑客的钱包共入账0.075枚BTC。[2020/12/11 14:56:10]

此次攻击事件源于 Poly Network 允许调用目标合约,但在此过程中没有限制用户调用 EthCrossChainData 合约,该合约可追踪来自其他链上数据的公钥列表,即便在没有盗取公钥的情况下,如果你已经获取了修改公钥列表的权限,那么只需要设置公钥来匹配自己的私钥,基本上就可以畅通无阻了。

黑客在暗网门户上出售超85000个SQL数据库,每个数据库索要550美元比特币赎金:目前有超过85000个SQL数据库在暗网门户上出售,每个数据库的价格索要价值550美元的比特币。今天早些时候,该门户引起了一名安全研究人员的注意,这也是2020年初开始实施的数据库勒索计划的一部分。黑客已经侵入SQL数据库,下载表格,删除原始文件,并留下赎金记录,让服务器所有者联系攻击者,以取回他们的数据。虽然最初的赎金通知要求受害者通过电子邮件联系攻击者,将近一年的时间里,攻击者也利用网站门户实现赎金索要流程自动化。该门户首先托管在sqldb.to和dbrestore.to上,随后转到暗网上的一个洋葱地址。(ZDNet)[2020/12/10 14:49:50]

由于用户可通过发送跨链请求 EthCrossChainManager 合约调用 EthCrossChainData 合约,来蒙混 onlyOwner 的检验,此时,用户只需要杜撰一个正确的数据就能触发修改公钥的函数。

接下来,攻击者离得手只有一步之遥,Poly Network 的合约允许调用任意合约,但是,它只调用与签名哈希对应的合约函数,如上图合约 C 所示。 

8月10日晚 20:38 PM,Poly Network 官方在推特上公布攻击事件,并表示,为追回被盗资产,Poly Network 将采取法律行动,敦促黑客尽快还款,希望相关链上的矿工及各大交易所伸手援助,共同阻止黑客地址所发起的交易。

中心化机构、安全机构多方联动,试图阻止黑客。其中,稳定币 USDT 的发行方 Tether 响应极为快速,直接冻结攻击黑客以太坊地址中 3,300 万 USDT。

虽然已有多方积极参与对黑客的围堵,但黑客仍通过各种花式 DeFi 玩法快速混币,从这一点也可以看出,攻击者是个 DeFi 高阶玩家。

据 PeckShield 追踪显示,他先是在以太坊上利用 Curve 添加 9,600万 USDC/673,000 DAI 流动性,又在 BSC 上利用 Curve 分叉项目 Ellipsis Finance 添加 8,700万 USDC/3,200万 BUSD 流动性;很快,攻击者移除在 Curve 的流动性,全部兑换为 DAI,以防被冻。

一方面,Poly Network 在积极与黑客喊话,试图挽回所盗资产;另一方面,“看热闹不嫌事大”的吃瓜群众给黑客支起了招:“不要动用你的 USDT,你已经被列入黑名单了。”并收到了黑客馈赠的 13.5 ETH(价值 4.3 万美元);眼看着有利可图,吃瓜群众越发积极为黑客出谋划策,更有甚者,留言黑客一些可行的混币措施,试图换取看起来极为可观的回报。

就在各关联方进退无门之时,黑客在区块高度 13001578 和区块高度 13001573 中留言表示,准备归还部分资产。在 Poly Network 提供多签钱包几个小时后,PeckShield 追踪到黑客开始在 Polygon 上归还部分 USDC,PeckShield 将持续关注和追踪相关资产流转情况。

据 PeckShield 统计,截至目前,2021年第三季度发生的跨链桥安全事件,已造成损失合计逾 6.4 亿美元,占总损失 44.5%。

PeckShield 观察发现,跨链协议这个新兴领域,打破了链与链之间的信息孤岛的壁垒,仍需要经受时间的考验。随着近期跨链桥的生态愈发多样化、丰富化,在它上面进行的交易、资金量大幅增长,例如,遭到攻击的 Poly Network,跨链资产转移的规模已经超过 100 亿美元,超过 22 万地址使用该跨链服务,这也就吸引了黑客对于跨链协议的关注,再加上跨链桥本身是黑客资金出逃的重要环节,因此,也会成为黑客攻击的目标。

PeckShield 建议设计一定的风控熔断机制,引入第三方安全公司的威胁感知情报和数据态势情报服务,在 DeFi 安全事件发生时,能够做到第一时间响应安全风险,及时排查封堵安全攻击,避免造成更多的损失;并且应联动行业各方力量,搭建一套完善的资产追踪机制,实时监控相关虚拟货币的流转情况;还要提升运维安全的重视度。

标签:POLOLYPOLYNETpoloniex兑付局polydoge币持币地址polyx币创始团队Spock Network

波场热门资讯
NFT:全面解析开源跨链NFT协议Rarible Protocol_ARIA20币

8 月 13 日,NFT 市场 Rarible 宣布推出一套开源工具(称为「Rarible Protocol」),以极大地简化 NFT 项目和想法的上线流程.

1900/1/1 0:00:00
比特币:金色早报 | 福布斯:美国国会今年已推出18项加密和区块链相关法案_数字人

头条▌福布斯:美国国会今年已推出18项加密和区块链相关法案8月23日消息,据福布斯统计,美国第117届国会目前已经提出了18项直接影响加密货币、区块链技术或中央银行数字货币的法案.

1900/1/1 0:00:00
NFT:金色观察丨 Pantera Capital合伙人:我为何会投资数字艺术NFT市场MakersPlace_BCHC(BCL)

金色财经 区块链8月13日讯? MakersPlace 是首屈一指的数字艺术 NFT 市场,去年取得了巨大的增长,销售额超过 1 亿美元,独立收藏家数量增加了 10 倍.

1900/1/1 0:00:00
区块链:首发 | 区块链的商业模式之路在哪里?_SON

本文由黄锐老师原创,授权“金色财经”首发,转载请注明出处。一、引言2021年2月美国区块链媒体Coindesk援引4名知情人士透露,IBM将对区块链部门进行裁撤,而IBM区块链负责人Jerry.

1900/1/1 0:00:00
NFT:NFT之于Web3.0:个人数据价值回归的关键_WEB

Web3.0的愿景是打造一个开放的,人人都可以参与、无需授权、去中心化的网络,而NFT的稀缺性、唯一性和可验证性,是让个人在Web3.0落地实现数据价值回归的关键.

1900/1/1 0:00:00
比特币:金色早报 | 美国众议院投票采纳拜登支持的3.5万亿美元预算蓝图_CEB

头条▌美国众议院投票采纳拜登支持的3.5万亿美元预算蓝图美国众议院周二投票采纳一项3.5万亿美元的预算决议蓝图,此前来自白宫的压力和美国众议院议长佩洛西的保证团结了陷入分歧的民主党人.

1900/1/1 0:00:00