8月10日,DeFi领域发生了有史以来最大盗窃案——跨链互操作协议PolyNetwork遭遇黑客攻击,总计6.1亿美元的加密货币被盗,包括3.02亿枚USDT、5.5万枚ETH、2000枚比特币等若干类代币,以太坊、BSC、Polygon三条网络上的资产在30多分钟内几乎被洗劫一空。本次黑客入侵事件中,主要的受害者是通过跨链聚合器O3Swap进行挖矿的用户,目前O3Swap已暂停跨链功能。围追堵截VS通风报信PolyNetwork的官方推特发布了遭攻击声明,贴出了黑客在不同链上的具体地址,并呼吁矿工和加密货币交易所将黑客地址的代币列入黑名单。随后各方纷纷发声支援,币安CEO赵长鹏、OKExCEOJay、虎符CEO王瑞锡等都就此事表态,Tether首席技术官PaoloArdoino发推称,Tether已经冻结攻击PolyNetwork的黑客地址3300万USDT。虽然,黑客的地址已遭到多方的围追堵截,但黑客仍然“清洗”了一些资产,更戏剧性的是,有社区用户hanashiro.eth通过交易消息提示黑客USDT已被列入黑名单、不要再使用USDT,之后黑客向hanashiro.eth地址转入了13.37个ETH作为“回礼”,随后一众投机主义者闻讯而来,纷纷向黑客地址发送链上信息,试图通过帮助黑客获得奖励,并开始将黑客称为“Etherhood”。更令人意想不到的是,hanashiro将收到的ETH全部捐了出去,还在链上留下了极具文艺气息的诗句歌词,更像是在完成一场行为艺术。
BSC生态Carson遭遇攻击,损失约14.5万美元:7月27日消息,据派盾监测数据,BSC 生态 Carson 遭遇攻击,损失约 14.5 万美元。目前 Carson 代币价格下跌达 96%,攻击者已将窃取资产兑换为 600 枚 BNB 并转至 Tornado Cash。[2023/7/27 16:01:33]
双方对话,黑客准备归还资产PolyNetwork发推文称,经过初步调查,已找到漏洞的原因。黑客利用了合约调用之间的一个漏洞,攻击不是由传闻中的单个保管人造成的。Roxe支付网络技术VPJesse也认为本次PolyNetwork被盗主要是由于智能合约的代码漏洞造成的。Jesse指出,DeFi本来就是个黑暗森林,很多别有用心的人一直都在暗中虎视眈眈,甚至有些漏洞被发现后,攻击者不会立即出手,而是选择等待更合适的机会,就像病的潜伏期一样,在等待更大的利益机会。未知的漏洞一定还有很多,只是还未爆发而已。资产被盗后,PolyNetwork试图与黑客建立沟通,并希望黑客归还被盗资产,还称已经检索到了部分DeFi通证。随后安全公司慢雾也发布了一份报告称,他们已经识别了攻击者的邮箱、IP和设备指纹。另有报告指出,DeFi的资金与中央实体挂钩,因此,追踪攻击者是可能的。
Web3身份系统Gitcoin Passport推出Scorer API用于防御女巫攻击:金色财经报道,Web3身份系统Gitcoin Passport宣布已推出Scorer API,开发人员通过该API只需要几行代码就可以获得与Gitcoin Grants等级相同的女巫保护。此外,为了配合Scorer API的发布,官方彻底修改了其开发人员文档。[2023/2/21 12:19:16]
8月11日凌晨,攻击PolyNetwork的黑客回应:“如果我转移了剩余的币,那将是十亿美金级别,我难道不是拯救了这个项目?我对金钱不太感兴趣,现在考虑归还一些Token,或者将它们留在此处”。随后他又表示,“如果我制作一个新的代币并让DAO决定代币的去向会怎样。”这份回应带有些许挑衅。但令人意想不到的是,之后黑客竟然在最新的转账中表示,准备归还资产,但因为无法联系到PolyNetwork项目方,希望PolyNetwork提供一个多签钱包。黑客还称“获取这么多财富已经是一个传奇,而拯救世界更是永恒的传奇,我做出了决定,不再使用DAO。”PolyNetwork官方也立即回应,在以太坊区块高度13001657向黑客的转账中表示,正在准备一个由PolyNetwork控制的公开多签钱包。至此,这场足以载入区块链安全史册的黑客攻击事件,也算是画上了圆满的句号,但区块链、DeFi的资金安全却再一次引发了热议。
Audius:合约中允许重复调用的漏洞导致此次攻击,已部署修复程序并将重新上线:7月25日消息,去中心化音乐平台Audius发布攻击事件回顾报告,称是由于合约初始化代码中存在允许重复调用“initialize”函数的漏洞,所以导致已审计的合约遭到攻击。该漏洞允许攻击者修改投票系统并在网络中设置错误的权益值,从而导致Audius社区金库持有的1800万枚AUDIO代币被恶意转移到攻击者的钱包中。但剩余资金都是安全的,并且已部署修复程序,除了质押和委托功能外所有剩余的智能合约组件都已更新并重新运行,审核更新后希望在接下来的几天内全部重新上线。
此前报道,Audius社区金库被利用,损失1850万枚AUDIO代币。[2022/7/25 2:35:20]
分析 | BitPoint被盗的三种可能:外部入侵、钓鱼攻击和内部犯罪:据Coinpost发文称,由于信息较少,BitPoint受到怎样的攻击尚且无法推测,但大致可想到3种可能性: 1.黑客通过一个外部漏洞进行入侵; 2.以职员为目标进行钓鱼攻击,安装恶意软件以盗取私钥; 3.内部犯罪。 据悉,目前面向香港的服务BitPoint.HK也已从7月12日开始停止服务。 此次攻击无论是外部所为还是内部所为,在多个服务平台受到攻击这一点上,可见存在公司内部网络或权限不能很好分离的可能性,因此可以探讨一下网络分权化作为防止资金被盗损失扩大的重要性。对于详细情况,目前还在等待调查结果。(Coinpost)[2019/7/15]
Tether冻结USDT,用户的资产还安全吗?在本次事件中,Tether的做法及时制止了黑客的清洗行动,但也掀起了“Tether是否应该冻结资产?”“去中心化的边界在哪里?”的热议。Roxe支付网络技术VPJesse表示,中心化和去中心化都各有所长、所短,用户既希望100%的独立控制资产,又希望一旦出现问题有人能帮忙找回。正如Tether一直以来饱受中心化质疑和诟病,但每次盗币、丢币之后,又不得不借助这些中心化手段来减少损失。相对传统行业,DeFi发展时间较短,还有很多地方需完善,更无法像政府背书的银行一样提供良好的安全保障。DeFi最大的优势是去信任,但这份信任是基于代码的,普通用户并不是安全专家,没有能力甄别代码是否安全,只能依赖安全公司的审计,但这并不能保证100%安全。黑客却具备大量的代码知识,大多数攻击正是由于双方知识的巨大不对等造成的。对于DeFi投资者而言,需保护好自己的私钥,不泄露,防止丢失。另外,尽可能地选择好的项目和经过审计的合约。为了避免被攻击,保护用户资产安全,RoxeChain在门限密钥的算法和不同链间通讯的互验性方面进行了改进。对于跨链资产,Roxe的结算节点必须遵守Roxe协议来对发出的资产映射请求进行审核。同时,Roxe不仅仅利用纯粹的技术手段,还包含一系列的授权和审计机制,来保证授权节点的所有业务都纳入周期性审计。同时,为了最大限度的维护Roxe用户的权益,Roxe在法律监管、合规、个人隐私、反、反欺诈方面也投入了大量的精力。安全事件频发,或加快监管靴子落地在币圈,DeFi是黑客攻击的重灾区。加密货币情报公司CipherTrace的报告显示,今年前7个月,整体加密货币欺诈和犯罪已大幅下降,但DeFi黑客造成的损失比去年全年高出了270%。
动态 | EOS竞猜游戏HiGold Game遭随机数攻击:今天中午,11:57至12:01之间,PeckShield安全盾风控平台DAppShield监测到黑客向EOS竞猜类游戏HiGold Game发起连续攻击,已实现获利。针对异常获利情况,PeckShield安全人员随即和项目方取得联系,及时暂停了游戏合约,避免了进一步资产损失。PeckShield安全人员在此提醒,开发者应在合约上线前做好安全测试,特别是要排除已知攻击手段的威胁,必要时可寻求第三方安全公司协助,帮助其完成合约上线前攻击测试及基础安全防御部署。[2019/7/3]
但此前跨链领域的被盗事件并不多见,此次事件表明黑客已经盯上跨链赛道。7月以来,ChainSwap两次遭到攻击,随后Anyswap也遭到攻击,安全事件频发或许会加快各国监管靴子落地的进程。对此,Roxe支付网络技术VPJesse表示:“从长远来看监管是利好行业发展的,随着区块链行业的不断成熟,各国加强监管是大势所趋,这也是行业成熟的标志。”
头条央行:督促指导平台企业全面整改,对虚拟货币交易炒作保持高压态势7月30日,中国人民银行召开2021年下半年工作会议.
1900/1/1 0:00:00写在前面:如今,NFT价格已不是评估和衡量NFT价值的唯一方法,有时,构筑一个让SuperFansorClubMembers深度参与的独特体系可以远远超越数字收藏品本身的价值.
1900/1/1 0:00:00AMA时间:北京时间7月23日上午首先,我们欢迎两位来自以太坊基金会的来宾,他们分别是:TimBeiko:AllCoreDevs电话会议的协调人;HsiaoWei:以太坊研究员.
1900/1/1 0:00:00作者|秦晓峰编辑|郝方舟出品|Odaily星球日报 北京时间今晚8点33分,以太坊网络达到既定区块高度12,965,000,完成伦敦硬分叉升级.
1900/1/1 0:00:00播报数据由Greeks.live格致数据实验室和Deribit官网提供。比特币连续的拉升使市场看涨情绪越发浓厚,中远期平值期权IV只是小幅上涨,目前上涨明显的是中短期虚值看涨期权.
1900/1/1 0:00:00吴说作者|ColinWu本期编辑|ColinWu全球最大的专业衍生品交易所ByBit面临严厉监管,这家以保守著称的公司,选择激进地全面入局DeFi.
1900/1/1 0:00:00