USD:黑客在 Poly Network 狂揽 6.1 亿美元 在线演绎花式 DeFi 出金_POLY

8月10日，异构跨链协议PolyNetwork遭到攻击，损失达到6.1亿美元，包含2,857ETH、9,630万USDC、26,000WETH、1,000WBTC、3,340万USDT、2,590亿SHIB、14renBTC、673,000DAI和43,000UNI转至以太坊，6,600BNB、8,760万USDC、26,600ETH、1,000BTCb、3,210万BUSD转至BSC，8,500万USDC转至Polygon。

PeckShield「派盾」第一时间定位并分析发现，此次攻击源于合约漏洞。

PeckShield：黑客在6月窃取了价值约227万美元的NFT，较上月下降23%:金色财经报道，PeckShield分析表示，黑客在6月窃取了价值约227万美元的NFT。较上月下降23%，上月为295万美元。这可以归因于底价下降。一半被盗NFT在盗窃发生后的三个小时内立即在各个市场上出售。Blur等著名NFT市场成为热点，近86%的非法资金被出售，其次是OpenSea，占13.76%。

与此同时，Bored Ape Yacht Club (BAYC)、Otherdeed、Mutant Ape Yacht Club、Azuki Elementals以及DeGods等NFT系列的底价均大幅下跌。从数字资产行业的整体表现来看，6月份是今年第二高的月份。黑客通过42次黑客攻击窃取了超过9200万美元。[2023/7/4 22:16:21]

据了解，PolyNetwork是由小蚁Neo、本体Ontology、Switcheo基金会共同作为创始成员，分布科技作为技术提供方共同发起的跨链组织。

报告：黑客在2023年Q1的40次攻击中从窃取了约4亿美元:金色财经报道，TRM Labs在一份新报告中表示，黑客在2023年前三个月的40次攻击中从加密项目中窃取了约4亿美元。这比2022年第一季度下降了70%。黑客的平均规模也变小了，从2022年的3000万美元减少到2023年同期的1050万美元。黑客也越来越多地归还他们窃取的资金，从被利用的项目中获得“白帽”奖励。TRM Labs估计，黑客攻击受害者在2023年拿回了将近一半的被盗资金。

TRM Labs表示，一个可能的解释是监管机构越来越关注加密货币黑客攻击和一些备受瞩目的执法案件。首先，加密货币交易所正在加强他们的KYC/AML政策，这使得兑现被盗的加密货币变得更加困难。与此同时，Tornado Cash自2022年8月以来一直受到美国制裁，该协议自动将所有与Tornado相关的资金重新列入任何受监管交易所。[2023/5/23 15:19:53]

黑客如何狂揽6.1亿美元？

外媒：Yearn黑客在攻击过程中偿还了Aave V1版本用户的USDT债务:4月14日消息，Yearn攻击事件的不同之处在于，部分用户没有遭遇损失，反而赚了。前Aave集成负责人Marc Zeller表示，这是因为攻击者使用了闪电贷攻击的方式，并在此过程中偿还了Aave V1版本用户的USDT债务。

在4月12日，也就是该攻击事件发生的前一天，Aave V1协议的USDT借贷池中27%被借出，但截至发稿时，Aave v1协议上借出的USDT金额现在为0美元。根据Aave v1 USDT市场的网站，大约有131万美元USDT可用于流动性。

此前昨日消息，Yearn Finance项目遭受攻击，黑客获利超1000万美元。[2023/4/14 14:03:37]

PeckShield「派盾」简述攻击过程：

动态 | 黑客在Windows安装文件中隐藏加密货币挖掘恶意软件:据cnBeta消息，趋势科技的安全研究人员表示，黑客正在伪装加密货币挖掘恶意软件，并将其作为合法的Windows安装包传递出去。这种恶意软件，通常被称为Coinminer，使用了一系列混淆方法，使其攻击特别难以检测。[2018/11/9]

PolyNetwork中有一特权合约EthCrossChainManager，此合约主要用于触发来自其他链的信息。

在跨链交易中，任何人都可调用verifyHeaderAndExecuteTx来执行跨链交易，这个函数主要有三个作用:一是通过检验签名来验证区块头是否正确，二是利用默克尔树来验证交易是否包含在该区块中，三是调用函数_executeCrossChainTx，即目标合约。

此次攻击事件源于PolyNetwork允许调用目标合约，但在此过程中没有限制用户调用EthCrossChainData合约，该合约可追踪来自其他链上数据的公钥列表，即便在没有盗取公钥的情况下，如果你已经获取了修改公钥列表的权限，那么只需要设置公钥来匹配自己的私钥，基本上就可以畅通无阻了。

币安创始人赵长鹏：异常交易已完成回滚处理，黑客在此次攻击中损失了货币:币安创始人赵长鹏在其推特上表示：“币安上所有异常交易已完成回滚处理。充值、交易和提现均已恢复。将会对今日凌晨所发生的事情进行更详细的说明。有趣的是，黑客在此次攻击中损失了货币。我们将把这些币捐给币安慈善。”今日币安出现故障，多名网友反应持有币种被出售，币安也关闭了提现功能。[2018/3/8]

由于用户可通过发送跨链请求EthCrossChainManager合约调用EthCrossChainData合约，来蒙混onlyOwner的检验，此时，用户只需要杜撰一个正确的数据就能触发修改公钥的函数。

接下来，攻击者离得手只有一步之遥，PolyNetwork的合约允许调用任意合约，但是，它只调用与签名哈希对应的合约函数，如上图合约C所示。?

黑客在线演绎花式DeFi出金

8月10日晚20:38PM，PolyNetwork官方在推特上公布攻击事件，并表示，为追回被盗资产，PolyNetwork将采取法律行动，敦促黑客尽快还款，希望相关链上的矿工及各大交易所伸手援助，共同阻止黑客地址所发起的交易。

中心化机构、安全机构多方联动，试图阻止黑客。其中，稳定币USDT的发行方Tether响应极为快速，直接冻结攻击黑客以太坊地址中3,300万USDT。

虽然已有多方积极参与对黑客的围堵，但黑客仍通过各种花式DeFi玩法快速混币，从这一点也可以看出，攻击者是个DeFi高阶玩家。

据PeckShield追踪显示，他先是在以太坊上利用Curve添加9,600万USDC/673,000DAI流动性，又在BSC上利用Curve分叉项目EllipsisFinance添加8,700万USDC/3,200万BUSD流动性；很快，攻击者移除在Curve的流动性，全部兑换为DAI，以防被冻。

年度大戏：吃瓜群众频支招黑客欲还所盗资产

一方面，PolyNetwork在积极与黑客喊话，试图挽回所盗资产；另一方面，“看热闹不嫌事大”的吃瓜群众给黑客支起了招：“不要动用你的USDT，你已经被列入黑名单了。”并收到了黑客馈赠的13.5ETH；眼看着有利可图，吃瓜群众越发积极为黑客出谋划策，更有甚者，留言黑客一些可行的混币措施，试图换取看起来极为可观的回报。

就在各关联方进退无门之时，黑客在区块高度13001578和区块高度13001573中留言表示，准备归还部分资产。在PolyNetwork提供多签钱包几个小时后，PeckShield追踪到黑客开始在Polygon上归还部分USDC，PeckShield将持续关注和追踪相关资产流转情况。

据PeckShield统计，截至目前，2021年第三季度发生的跨链桥安全事件，已造成损失合计逾6.4亿美元，占总损失44.5%。

为何跨链桥频遭攻击？

PeckShield观察发现，跨链协议这个新兴领域，打破了链与链之间的信息孤岛的壁垒，仍需要经受时间的考验。随着近期跨链桥的生态愈发多样化、丰富化，在它上面进行的交易、资金量大幅增长，例如，遭到攻击的PolyNetwork，跨链资产转移的规模已经超过100亿美元，超过22万地址使用该跨链服务，这也就吸引了黑客对于跨链协议的关注，再加上跨链桥本身是黑客资金出逃的重要环节，因此，也会成为黑客攻击的目标。

PeckShield建议设计一定的风控熔断机制，引入第三方安全公司的威胁感知情报和数据态势情报服务，在DeFi安全事件发生时，能够做到第一时间响应安全风险，及时排查封堵安全攻击，避免造成更多的损失；并且应联动行业各方力量，搭建一套完善的资产追踪机制，实时监控相关虚拟货币的流转情况；还要提升运维安全的重视度。

标签：USDOLYPOLPOLYStable USDpoly币怎么样POLYBUNNY币Metropoly

XMR热门资讯