CROSSCHAIN:金色观察 | Poly Network被盗事件再引DeFi安全之争 监管或提上日程？_ArchAngel Token

8月10日，跨链互操作协议Poly Network遭受黑客攻击。Poly Network发推文称，经过初步调查，已找到漏洞的原因。黑客利用了合约调用之间的一个漏洞，攻击不是由传闻中的单个保管人造成的。同时，Poly Network还发布了至攻击者的一封信。Poly Network表示，希望建立沟通，并敦促攻击者归还被黑资产。此次被黑的金额是Defi历史上最大的一笔。任何国家的执法部门都会将此视为重大经济犯罪，攻击者将受到追捕，再进行任何交易是非常不明智的。被盗资金来自数以万计的加密社区成员。希望攻击者与Poly Network团队交谈以制定解决方案。

慢雾团队回顾攻击细节指出，主要系因合约漏洞。本次攻击主要在于 EthCrossChainData 合约的 keeper 可由 EthCrossChainManager 合约进行修改，而 EthCrossChainManager 合约的 verifyHeaderAndExecuteTx 函数又可以通过 _executeCrossChainTx 函数执行用户传入的数据。因此攻击者通过此函数传入精心构造的数据修改了 EthCrossChainData 合约的 keeper 为攻击者指定的地址，并非网传的是由于 keeper 私钥泄漏导致这一事件的发生。

金色午报｜12月7日午间重要动态一览:7:00-12:00关键词：英国FCA、印度、OpenSea、灰度

1.英国FCA最新提议或将加密投资者排除在其金融服务补偿计划之外；

2.印度发布电子政务“区块链国家战略”；

3.OpenSea 任命Brian Roberts为首席财务官，或为上市做准备；

4.披头士乐队首次NFT拍卖活动启动，起拍地板价为1.25 ETH；

5.加密货币交易平台Switchere支持使用信用卡购买NFT；

6.灰度：美国比特币持有者比例从2020年的23%增加至2021年的26%

7.数据：polygon链上每日新增地址数接近100万个

8.澳大利亚加密交易所MyCryptoWallet宣布倒闭清算。[2021/12/7 12:55:50]

随后慢雾团队给出细节描述：

金色科技集团研究院院长池骋：Filecoin主网上线后怎样增加信任价值是未来所面临的挑战:Filecoin主网上线在即，金色科技集团研究院院长池骋在接受金色财经独家采访时表示，Filecoin主网上线后社区热度肯定会有所改观，同时我自己也会更多关注Filecoin社区中关于实际应用场景落地的讨论。我认为上线后怎样增加信任价值是未来所面临的挑战，作为一种全新区块链底层技术我认为更多的是去探索一种跟现实应用的连接，这种连接的增加也是提高Filecoin本身信任价值的一种方式。但这就得需要我们的社区和更多的关注者去发现了。[2020/10/15]

1. 本次攻击的核心在于 EthCrossChainManager 合约的 verifyHeaderAndExecuteTx 函数可以通过 _executeCrossChainTx 函数执行具体的跨链交易。

金色财经行情播报丨BTC持续震荡 整理后空头占优:据火币行情显示，昨日BTC冲高回落，持续震荡，今日凌晨再度冲高回落后，形成双顶雏形，局部加速下跌在颈线位获支撑，整理后空头占优。截至10:00，主流币的具体表现如下：[2020/5/15]

2. 由于 EthCrossChainData 合约的 owner 为 EthCrossChainManager 合约，因此 EthCrossChainManager 合约可以通过调用 EthCrossChainData 合约的 putCurEpochConPubKeyBytes 函数修改合约的 keeper。 

3. 其中 EthCrossChainManager 合约的 verifyHeaderAndExecuteTx 函数是可以通过内部调用 _executeCrossChainTx 函数执行用户指定的跨链交易，所以攻击者只需要通过 verifyHeaderAndExecuteTx 函数传入精心构造的数据来使 _executeCrossChainTx 函数执行调用 EthCrossChainData 合约的 putCurEpochConPubKeyBytes 函数以改变 keeper 角色为攻击者指定的地址。  

金色晨讯 | 2月28日隔夜重要动态一览:21:00-7:00关键词：美国众议院、陈伟钢、澳本聪、华为云、OKEx、以太坊期货

1. 美国众议院将举行听证会，讨论区块链对小企业的影响。

2. CFTC专员：稳定币有潜力成为智能合约的强大推动者。

3. IMF官员：稳定币需要考虑金融稳定性等公共政策。

4. 陈伟钢：银保监会等部门应联合打击以区块链为幌子的犯罪活动。

5. 澳本聪：今年法院将开始勒令矿工协助没收BTC。

6. 华为云“目录区块链”助力北京市精准防控疫情。

7. OKEx遭到短时DDoS攻击。

8. 深圳市税务局上线区块链电子发票极速版。

9. 以太坊期货日交易量接近历史最高水平。[2020/2/28]

4. 替换完成 keeper 角色地址后，攻击者即可随意构造交易从合约中取出任意数量的资金了。

分析 | 金色盘面：QTUM/USDT向下跌幅较大:金色盘面综合分析：QTUM/USDT在最高处向下跌幅达到0.7美金，跌幅达到14%。预计在4.5美金处可能遇到支撑位振荡。注意后续是否跌破支撑位，一旦跌破将有可能持续下跌。[2018/8/18]

值得注意的是，本次此次被黑的金额是DeFi历史上最大的一笔，共计超 6.1 亿美元转出至 3 个地址。受此影响 O3 Swap 跨链池大额资产被转出。目前，安全团队梳理发现，黑客初始的资金来源是门罗币(XMR)，然后在交易所里换成了 BNB/ETH/MATIC 等币种并分别提币到 3 个地址，不久后在 3 条链上发动攻击。 结合资金流向及多项指纹信息可以发现，这很可能是一次蓄谋已久的、有组织有准备的攻击行为。 

事件发生后，Tether 已冻结 Poly Network 攻击者地址上的 3300 万 USDT。截止发稿，攻击者也回应，如果我转移了剩余的币，那将是十亿美金级别的攻击。我刚刚是拯救了这个项目吗？我对金钱不太感兴趣，现在考虑归还一些代币，或者将它们留在此处。随后该攻击者还称，如果我制作一个新的代币并让DAO决定代币的去向会怎样？

随着事件的发酵，8月11日，攻击Poly Network的黑客在区块高度 13001631 转账中又表示，已决定归还资产，不再创建 DAO 组织。同时，在描述中，黑客自称为传奇。

尽管黑客已决定归还资产，但有关DeFi安全的讨论还在继续。事实上，随着DeFi的爆发式发展，相关安全事件频发，跨链攻击也不在少数。此前，Rari Capital就在跨链攻击事件中损失1500万美元。有分析声音就此指出，DeFi协议之间的互操作性变得越来越复杂，相关的攻击媒介也在增多，预计相关攻击也会增加。

Roxe支付网络技术VP Jesse对此指出，DeFi本来就是个黑暗森林，很多别有用心的人一直都在暗中虎视眈眈，甚至有些漏洞发现后，攻击者只是在等更合适的机会，并不一定会急于出手，就像病的潜伏期一样，在等更大的利益机会，未知的漏洞一定还有很多，只是还未爆发而已。

有市场声音担心，DeFi安全如果始终无法妥善处理，可能会打击行业的信心。当然，另一方面可能会加快全球对行业监管。Roxe支付网络技术VP Jesse表示，从长期看，监管是必须的，随着区块链行业的不断成熟，各国也一定会加强监管，这也是行业成熟的标记。无监管的混乱除早期带来的所谓自由的快感，随后一定会被少量的各类地下组织利用，从而损害大众的利益。虽然有时候我们不喜欢政府的监管，但这种监管带来的正面意义要远比负面意义大。

在此背景下，作为普通投资者，应该如何保护好自己的财产？

Roxe支付网络技术VP Jesse指出，区块链一个很大的问题就是亲民性不足，未接触过的人很难理解，从而让区块链变成一个小众游戏。安全性上看似自己掌握自己的资产，但它却要求每个用户自己必须成为安全专家，随时面对来自暗处的黑客攻击。问题是，大众并没有足够的能力去甄别和自我保护，很多时候只能依赖安全公司的审计，但这也不是100%安全的。相对传统行业，DeFi还很年轻，很多东西还不完善，无法像政府背书的银行一样提供良好的安全保障。DeFi最大的优势是去信任，但这份信任是基于代码的，而代码的安全大众又无法有效甄别，而黑客攻击来源于知识的巨大不对等性，这也造成的DeFi的安全不是一个是或否的简单问题。对于DeFi投资者，目前只能保护好自己的私钥，不泄露，防止丢失。另外，尽可能的识别好的项目、识别经审计的合约。

比特派也在相关微博中建议，参与DeFi要用多地址，不同DeFi、不同资产用不同地址区分开来，这样即使某个DeFi项目有危险，也不会影响到你的其他资产。同时也要定期检查钱包地址的授权，不频繁操作的项目要及时收回授权。

标签：CROSSCHAINCHASSCCROSCROSSCHAIN币ArchAngel TokenSSCQCROS Token

聚币热门资讯