因 Defrost Finance 被盗而损失 1200 万美元的大户 Hoi 昨晚松了一口,昨晚近 12 点,他在推特上写到“天亮了”。一个多小时前,Defrost Finance 公告称黑客已退还资金,将很快退还给用户。
虽然最终是大欢喜的结局,但依旧被用户扣上了“自导自演”的帽子。
时间拉回圣诞节当天, 12 月 25 日,Avalanche 生态原生稳定币项目 Defrost Finance 协议被爆出再次出现问题,协议被添加了假的抵押代币,并使用恶意价格预言机清算当前用户,损失估计超过 1200 万美元。Defrost Finance 官方表示,已注意到 V 1 出现的紧急情况,团队目前正在调查,恳请社区等待更新,暂时不要使用 V 1 或V2。
Novi研究人员称新数字支付系统FastPay速度或是Visa的7倍:Libra背后研究团队最近发表论文,并提出一种新数字支付系统FastPay,其速度很可能是Visa系统的7倍。新支付方式就像通过某人最喜欢的消息应用程序向其发送消息一样简单。
FastPay系统建立在亚马逊网络服务(AWS)上。研究人员发现,FastPay每秒可以支持多达16万个事务,负载为1.5万个事务。这几乎是Visa支付网络交易速度的7倍。在英国的另一项实验中,FastPay表现得更好。
FastPay是一个交易结算系统,将用于结算加密货币支付,它还将支持以法定货币进行的零售支付。Novi部门的研究人员和科学家们目前正在进行实验,到目前为止,他们已经实现在不到100毫秒的时间内每秒管理超过80000个陆内事务。他们还设法与大约20个不同的支付机构和设施做到这一点。
关于结算的最终性,Novi研究人员在其论文中提出,FastPay将使不同支付机构在不同账户之间进行联合账户余额结算和预存零售支付。他们还声称,FastPay将消除与交易对手和净结算问题相关的所有类型信用风险。这将消除对中间银行的需求,有关当局也不必在它们之间签订复杂的金融合同。(The Paypers)[2020/11/11 12:20:18]
而就在两天前, 12 月 23 日,Defrost FinanceV2曾遭到黑客的闪电贷攻击,黑客获利 173, 000 美元,但因为 V 1 并没有提供闪电贷服务,因此未受到影响。
分析 | 美国数州安全漏洞事件频发 区块链或是一剂良药:据CCN 7月7日消息,美国马里兰州劳工部近期宣布,其数据库中的安全漏洞可能暴露了大约78,000人的敏感和个人数据。该机构表示,该漏洞发生在今年早些时候,诱因为9名员工遭受了网络钓鱼攻击。无独有偶,6月下旬,俄勒冈州民政服务部(DHS)也发生了类似的数据泄露事件,当时有50多万人的个人数据遭到泄露。 分析指出,此类事件或可利用区块链技术予以解决,该技术在网络安全领域非常有前景。不同的美国机构已经认识到该技术在提高数据存储安全性方面的潜力。今年早些时候,NASA发表了一篇论文,探索区块链在空中交通管理、安全、认证和隐私方面的可能应用。与此同时,正在试验分布式账本技术(DLT)在网络安全和防止方面应用的其他司法管辖区包括中国、马恩岛和爱沙尼亚等。[2019/7/7]
随后,名为 Hoi 的用户发推特并在社区内求助,称 Defrost Finance 中的大部分存款都由其提供,其个人损失了 1200 万美元,审计公司 CertiK 尚未回应,并请求大家提供线索。
声音 | 社科院教授:Libra将打通法币和比特币等主流币价值兑换通道 打破美联储模式或是破冰之举:据封面新闻6月20日消息,中国社科院研究生特聘教授王彬生认为,Libra基于区块链技术原理发行的token。“只要具备区块链的特征,必然是跨国界的和可自由流通的,因为脸书是互联网巨头,该事件将是区块链世界的又一个里程碑事件。”他还表示,“主流社会传统的金融资产向虚拟世界转移大幕即将拉开,将直接打通传统法币和比特币等主流币价值兑换通道,而且在未来将直接导致比特币价格暴涨。打破美联储模式可能是破冰之举。[2019/6/20]
不久后,Hoi 再次发推称已经掌握了一些项目方的实名线索,并认为项目方是监守自盗。因为在在 V 1 被盗前一天,V2的所有钱都被盗了;V 1 的所有接口都有写防重入,V2的竟然没有写;他猜测团队一直想做大V2,这样攻击时可以推脱是第三方攻击,因为V2被攻击时可以由第三方通过闪电贷触发。但是V2里面的钱实在太少了,不够团队的胃口。所以第二天铤而走险直接用开发者权限。强行更改了预言机价格、铸币给自己、弄了一个新的抵押池,这些操作不可能由第三方触发。开发团队熊市赚不到钱估计就把心一横了,反正现在项目只有我一个傻大户放钱在这,估计也没啥人维权,就偷了。
金色财经独家分析 腾讯首款区块链游戏或是收集类小游戏:腾讯区块链业务总经理蔡弋戈今日在互联网+数字经济峰会金融分论坛上表示,腾讯将于4月23日发布第一款区块链游戏,在当前环境中,区块链在即时数据传递方面难以支撑起一个大型游戏的需求,可以推测此次腾讯推出的游戏应该是类似于简单的集卡类或收集类小游戏。[2018/4/12]
据区块链安全审计公司 Beosin 分析,攻击者通过 setOracleAddress 函数修改了预言机的地址,随后使用 joinAndMint 函数铸造了 100, 000, 000 个 H 20 代币给 0 x 6 f 31 地址,最后调用 liquidate 函数通过虚假的价格预言机获取了大量的 USDT。后续攻击者通过跨链的方式将被盗资金转移到了以太坊的 0 x 4 e 22 上。这与 Hoi 分析的操作情况相吻合。
花39个比特币祝福新婚前任系炒作,“金主”或是币圈人士:据广东美至简网络科技有限公司负责营销的工作人员表示,今日刷屏的砸39枚比特币买头条的“梁诗雅事件”是他们策划的事件营销,“后续还会有新内容爆出”,至于金主是谁,这位工作人员不愿透露,但据文章内容推测,或是来自币圈内人士所为。[2018/3/21]
12 月 25 日下午 8 点,Defrost 发推称,团队愿意与黑客谈判,愿意分享 20% 的被盗资金以换回大部分被盗资产,具体金额可以协商,并呼吁黑客尽快和我们联系。”
12 月 26 日下午,Defrost Finance 的审计公司 CertiK 发推称,监测显示,Defrost Finance 项目为退出局(exit scam),CertiK 曾试图联系该团队的多名成员,但没有得到回应。此外,CertiK 还表示“该团队未进行 KYC,但是我们正在利用我们掌握的所有信息协助当局”。这似乎把 Defrost 监守自盗的行为,盖棺定论。
或许是“黑客”的个人信息被掌握,因此选择迅速归还资金。Defrost Finance 在 26 日晚 10 点发推表示:“被黑客入侵的资金已退还给 DefrostFinance。受影响的用户将很快能够收回他们的资产。”
至此,这起黑客事件,仅用了 2 天就有了个愉快的大结局。但这对于安全公司和生态也敲醒了警钟。
Hoi 在推特上回顾自己为何会选择这个矿时列了几点原因, 1 合约我自己和员工都看过没问题的,第三方黑客黑不到。2 Certik 等审计。3 这个项目上过很多 Avax 各种平台的推广,甚至官方号推荐。4 后来想出来时发现其他 Defi 矿的收益都一般,然后社区里面都是好说话的兄弟。
审计公司竟然没有对被审计项目的团队有基本的了解,仅合约的安全并不能防止主观的恶意,因此掌握团队的 KYC 必不可少。因此也有用户质疑 CertiK,既然团队拒绝 KYC,你们就应该拒绝提供审计。此外,Avalanche 公链中文官方的确多次为该项目推广,因此生态方需要谨慎推广项目。
此外也有用户称,DefrostFinance 的项目方也是之前被盗的 Finnexus 和 PhoenixFinance 的同一个团队。这一信息真实性还有待考证,但也对用户提了个醒,尽量要选择实名的项目,匿名创始人背后,很有可能另有企图。
PANews
媒体专栏
阅读更多
金色财经 子木
金色早8点
去中心化金融社区
虎嗅科技
区块律动BlockBeats
CertiK中文社区
深潮TechFlow
念青
Odaily星球日报
腾讯研究院
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。