截止到8月11日12时59分,PolyNetwork发生的O3资金池被盗事件,在持续发酵后,似乎有了最终结果。
黑客使用攻击地址“自己给自己”发送交易,在交易附带信息里说到“INEEDASECUREDMULTISIGWALLETFROMYOU”
随后PolyNetwork回复:“Wearepreparingamulti-sigaddresscontrolledbyknownPolyaddresses”并在50分钟后回复了以太坊、BSC、Polygon三条链的接受地址,分别为:
金色算力云联合创始人梅洪睿:长期看多Filecoin这个赛道:金色财经现场报道,由开源矿池和火币主办,金色算力云、链上ChainUP、Filecoin Beijing联合主办的“分布式存储中国行首站暨开源矿池IPFS私享会”2020年11月13日在北京举行。金色算力云联合创始人梅洪睿在会上表示,金色算力云长期看多Filecoin这个赛道,Filecoin项目未来有增长价值,主要依据有:第一,Filecoin不仅仅是一个矿币,它有具体的应用场景落地。未来所有的开发者和应用场景都会对FIL有需求。第二,Filecoin价值被低估。从盘面来看Filecoin 2017年的私募价值25亿美金,但是目前流通盘3000万,流通市值大约8亿美金,数字货币流通市值前五都排不到,价值被低估了。一年后流动盘达到1亿左右,假设流通市值进前五,算下来Filecoin币价在100美金左右。[2020/11/13 20:45:03]
ETH:0x71Fb9dB587F6d47Ac8192Cd76110E05B8fd2142f
金色午报 | 8月25日午间重要动态一览:7:00-12:00关键词:数字人民币、Filecoin、哥伦比亚、Aave
1.央行货币政策司司长:数字人民币目前没有具体推出时间表。
2.Filecoin官方:已发现第一个bug。
3.点存科技:节点出线后遭受大量DDOS攻击。
4.哥伦比亚大学教授将对以太坊EIP-1559提案进行研究。
5.比特大陆与其两家控股公司在天津自贸区成立新公司。
6.Filecoin大矿工测试榜单首次出现非官方节点:t01101与t01102。
7.比特币网络难度调整后,BTC.com重回比特币矿池排名第一。
8.DeFi协议Aave获英国FCA颁发电子货币机构许可证。
9.YfvFinance:用户需停止在当前的stakingpool中质押YFV 并提取资金。[2020/8/25]
BSC:0xEEBb0c4a5017bEd8079B88F35528eF2c722b31fc
金色财经挖矿数据播报 | ETH今日全网算力上涨1.88%:金色财经报道,据蜘蛛矿池数据显示:
BTC全网算力109.687EH/s,挖矿难度15.78T,目前区块高度636072,理论收益0.00000833/T/天。
ETH全网算力187.705TH/s,挖矿难度2365.49T,目前区块高度10325460,理论收益0.00878826/100MH/天。
BSV全网算力1.962EH/s,挖矿难度0.29T,目前区块高度640704,理论收益0.00045861/T/天。
BCH全网算力2.613EH/s,挖矿难度0.37T,目前区块高度640922,理论收益0.00034441/T/天。[2020/6/24]
Polygon:0xA4b291Ed1220310d3120f515B5B7AccaecD66F17
金色晨讯 | 支付宝实现移动端区块链跨境汇款服务 百度超级链55000TPS远超行业水平:1.ONTology已在谷歌云、Amazon Web和微软Azure发布公链。
2.日本三菱研究院利用区块链技术提高食品溯源效率。
3.易见股份利用华为云搭建“易见区块2.0”系统部署环境。
4.支付宝已在移动端实现区块链跨境汇款服务。
5.富达接过比特币闪电“火炬” 将推出比特币托管服务。
6.海南省知识产权局与恒生电子合作引入区块链技术。
7.以太坊两个升级命名为君士坦丁堡/圣彼得堡 删除改进提案EIP1283。
8.百度Q4财报:超级链55000TPS远超行业水平。
9.Ken Rogoff:未来中央机构或会通过一个准入系统操作数字货币。[2019/2/24]
这场漫长的沟通经历差不多15小时,第一次尝试沟通,PolyNetwork尝试取得沟通,并留下了沟通邮箱。2小时后,继续沟通表示,如果归还资产,会因为这次发现安全漏洞给予安全奖励。
金色财经独家分析 IMF对加密货币监管发挥积极的磋商与协调作用:金色财经分析,国际货币基金组织(IMF)一直对区块链、加密货币领域保持着密切的关注和积极的态度。日前IMF主席拉加德强调了对于区块链加密货币监管应达成国际间的共识,政策制定者保持开放的态度。此前,IMF也针对数字货币频繁发发声,总体保持着对于一项新生事物客观负责的审视态度,并提示了风险,强调了监管。在新的经济体系下,IMF不仅要适应新兴国家发声的需要,也在适应新兴技术群体发声的需要。作为重要世界经济组织,IMF积极履行磋商与协调的作用,通过了解相关统计数据,与政府高官在经济政策效果及调整政策措施上进行探讨,并预测经济发展前景。IMF的积极态度或将侧面影响各国关于加密货币的看法,对区块链金融、加密货币的发展产生积极作用。[2018/4/17]
随后黑客在攻击地址表示,可能会建立一个DAO决定地址中资金的流向。
PolyNetwork再次回复,建立DAO也改变不了资金被盗的事实,如果归还资产,会为黑客提供安全赏金,并且这也会成为历史上最大金额的“白帽”黑客事件而被铭记。
随后便是黑客表示自己是传奇,而将退还资产的关键消息的发布。
白帽黑客指正义的黑客,区块链圈很多安全公司的中流砥柱都出自白帽。
也许这次参与的黑客真的如其所说,对钱不感兴趣。
在下午5时左右,Poly公布的Polygon地址收到了101万枚USDC。发稿前,其他地址暂时还没有将资产转入。
但作为区块链从业者、用户来说,面对攻击事件,小概率可以得到善终,大概率是会波及项目和用户资产安全。
此次安全事件发生后,在事件的评论中,有一条极为反讽的评论“讲个笑话,区块链是安全的。”
外行看热闹,内行看门道。
区块链的安全是一个相对概念,而不是一个绝对概念。
在巨额收益的引诱、加密货币无监管、合约设计不成熟的情况下,加密货币网络中的合约漏洞被当成黑客提款机也就不足为奇了。
传统金融领域,安全不仅仅在于软件,更多安全保证在于流程防护。但当全部的流程通过智能合约自动执行的时候,就会出现多个漏洞。
最大的保障变成了代码正确性和安全案例的设计实践。
此次Poly的问题就在于黑客可以控制资金池中管理账户转账的权限,当把转出地址换成黑客自己的地址后,只要向合约发送虚拟的数据转出交易,那资金池的资产就会顺利被转出。
这个漏洞主要在于,因为设计了一些合约接受某些数据而执行行为的操作,但可以执行这个动作又有多个因素管理,其中有一个因素漏洞被黑客利用了,劫取了“权限”。
这类事件还要有一个理解框架。
其中分为链的安全和合约安全。
一条公链,首先要保证链的安全,即总帐本的安全、交易打包的安全。然后是合约执行的安全。
软件的安全依赖开发者代码的成熟性,正所谓没有绝对安全的系统,只有良莠不齐的开发者。
链的安全是指链上的共识算法设计、基础协议的编写不能有漏洞,其次是基础协议执行的合约没有问题,例如在以太坊上发型代币,其合约是一个基础流程,但如果合约漏洞里有明显的增发漏洞,那极有可能被利用增发代币。
链的安全,主要是共识来保证,比特币使用中本聪共识,以太坊使用Ethash,波卡使用NPOS。其保证的是总帐本不能篡改。合约安全就只能考究其设计问题和编码成熟度了。
所以合约设计者和开发者要严格设计合约,要检查合约的设计漏洞,代码编写漏洞,设计逻辑,以及在业务场景里可能出现的问题。
在这里,我们还是再次通过合约审计的思路,来为大家提供理解合约安全的思路。
安全审计团队拿到审计需求后,会先用团队内部的安全审计工具过一遍,不过工具是一个辅助,然后进行人工审计,这个流程会按照审计列表将常规漏洞点审计一遍。
然后进行业务上的审计,其中包含什么业务场景、业务规模、业务逻辑。然后业务的描述如何,看代码里是否有和描述功能不一致,是否会被薅羊毛,代币是否有被锁,权限设置错误问题,是否会增发或无限铸币等等。
但这些流程进行完毕后,上文讲到,代码的安全要看代码编写成熟度,而不同开发者因为其惊艳,对合约的判断也不同,再加上智能合约的特殊性和DeFi业务逻辑复杂性,代码审计必须要进行交叉审计,相互审查的。
就像Poly的以太坊合约问题,其在该合约后续的流程上是没问题的,但在黑客看来,通过合约流程前面的一些数据伪造,就控制了其合约转出的权限。也是一种迂回击破的方式了。
或者因为Poly是一个跨链系统,出问题的部分可以称为跨链合约交互部分,这也代表着跨链案例的实践,要逻辑更为严密。
从智能合约的设计来看,绝大部分DeFi合约出问题都出在资产转移、价格计算和权限控制上,因此这些方面开发者需要入手向上延展,并找到这条路径上可能存在的薄弱环节加以防范。
Poly此次是万幸的,黑客可以归还资产,尽管目前归还了一小部分,我们还在等待更多的资产转账。笔者从Poly处获取的消息是,目前合约已经在升级,最优先级的目标是追回用户资产,其他的细节会后续公布。
从黑客公布的消息看,似乎黑客已经接受了Poly提出的安全赏金,也希望在这场博弈里,双方可以快速结束相互的拉扯。就像Poly说的,让这一次安全事件,成为历史上最大的白帽黑客事件。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。