8月10日,跨鏈互操作協議Poly Network遭受黑客攻擊。Poly Network發推文稱,經過初步調查,已找到漏洞的原因。黑客利用了合約調用之間的一個漏洞,攻擊不是由傳聞中的單個保管人造成的。同時,Poly Network還發布了至攻擊者的一封信。Poly Network表示,希望建立溝通,并敦促攻擊者歸還被黑資產。此次被黑的金額是Defi歷史上最大的一筆。任何國家的執法部門都會將此視為重大經濟犯罪,攻擊者將受到追捕,再進行任何交易是非常不明智的。被盜資金來自數以萬計的加密社區成員。希望攻擊者與Poly Network團隊交談以制定解決方案。
慢霧團隊回顧攻擊細節指出,主要系因合約漏洞。本次攻擊主要在于 EthCrossChainData 合約的 keeper 可由 EthCrossChainManager 合約進行修改,而 EthCrossChainManager 合約的 verifyHeaderAndExecuteTx 函數又可以通過 _executeCrossChainTx 函數執行用戶傳入的數據。因此攻擊者通過此函數傳入精心構造的數據修改了 EthCrossChainData 合約的 keeper 為攻擊者指定的地址,并非網傳的是由于 keeper 私鑰泄漏導致這一事件的發生。
金色午報|1月4日午間重要動態一覽:7:00-12:00關鍵詞:Yearn Finance、數字人民幣、彭博社、Bitwise
1.Yearn Finance通過新代幣經濟模型提案,未來 YFI 持有者需質押代幣才能參與治理;
2.數字人民幣(試點版)App上架各大應用商店;
3.彭博社:蘋果公司去年的股票表現優于比特幣;
4.Bitwise公布2021年低加密指數重組結果,Avalanche取代Uniswap進入10大盤加密指數;
5.三星美國公司與veritree合作使用區塊鏈植樹200萬棵;
6.梅拉尼婭特朗普發推紀念比特幣誕生13周年;
7.馬斯克:比特幣創世區塊讓我想起《創世紀5:命運斗士》游戲;
8.LinksDAO已籌集1050萬美元并計劃2022年推出治理代幣。[2022/1/4 8:23:49]
隨后慢霧團隊給出細節描述:
金色財經舉辦以“?-ing”為主題新產品發布會:在2020年新形勢、新趨勢之下,金色財經將于今晚18:00舉辦以“?-ing”為主題的新產品發布會,以“開放、共贏”的目標,發布服務區塊鏈全行業的工具產品-金色財經.直播,幫助行業發展,讓每個人都可成為區塊鏈主播。屆時更多行業大咖與行業頭部品牌共同參與見證,更多詳情見原文鏈接。[2020/4/2]
1. 本次攻擊的核心在于 EthCrossChainManager 合約的 verifyHeaderAndExecuteTx 函數可以通過 _executeCrossChainTx 函數執行具體的跨鏈交易。
2. 由于 EthCrossChainData 合約的 owner 為 EthCrossChainManager 合約,因此 EthCrossChainManager 合約可以通過調用 EthCrossChainData 合約的 putCurEpochConPubKeyBytes 函數修改合約的 keeper。
金色晚報 | 12月17日晚間重要動態一覽:12:00-21:00關鍵詞:國務院參事、央行、ofo、加密稅、道富銀行
1.國務院參事朱光耀:數字貨幣等問題 急需國際社會加強政策協調。
2.北京金融局李妍:將加快推動區塊鏈在金融領域的應用。
3.央行陳立吾:要建立區塊鏈技術金融應用創新管理機制。
4.ofo小黃車:從未參與虛擬貨幣的發行 與GSE Lab僅為合作關系。
5.英屬維爾京群島否認將推出官方背書的穩定幣。
6.德國聯邦金融監管局評估“市場參與者風險”以嚴格監管加密資產。
7.道富銀行將與Gemini合作進行新的數字資產試點。
8.波蘭稅務局:2018年夏天之前的加密交易需要征收加密稅。
9.比特幣失守7000美元關口 日內最低跌至6839.26美元。[2019/12/17]
3. 其中 EthCrossChainManager 合約的 verifyHeaderAndExecuteTx 函數是可以通過內部調用 _executeCrossChainTx 函數執行用戶指定的跨鏈交易,所以攻擊者只需要通過 verifyHeaderAndExecuteTx 函數傳入精心構造的數據來使 _executeCrossChainTx 函數執行調用 EthCrossChainData 合約的 putCurEpochConPubKeyBytes 函數以改變 keeper 角色為攻擊者指定的地址。
分析 | 金色盤面:OMG注意阻力的壓制情況:金色盤面綜合分析:OMG自低位小幅反彈,目前跌幅縮減至0.91%,注意上方5.4美元阻力的壓制情況,沒有破位之前還有下跌風險。[2018/8/8]
4. 替換完成 keeper 角色地址后,攻擊者即可隨意構造交易從合約中取出任意數量的資金了。
值得注意的是,本次此次被黑的金額是DeFi歷史上最大的一筆,共計超 6.1 億美元轉出至 3 個地址。受此影響 O3 Swap 跨鏈池大額資產被轉出。目前,安全團隊梳理發現,黑客初始的資金來源是門羅幣(XMR),然后在交易所里換成了 BNB/ETH/MATIC 等幣種并分別提幣到 3 個地址,不久后在 3 條鏈上發動攻擊。 結合資金流向及多項指紋信息可以發現,這很可能是一次蓄謀已久的、有組織有準備的攻擊行為。
金色財經現場報道,MATHEW BRANTON:當前數字貨幣的波動性是一個較為嚴峻的問題:在2018年世界數字資產峰會(WDAS)暨FBG年會上,來自NEUTRAL公司的MATHEW BRANTON表示,當前數字貨幣的波動性是一個較為嚴峻的問題,不穩定的情況下,數字貨幣難以被人們接受用作交易。[2018/5/2]
事件發生后,Tether 已凍結 Poly Network 攻擊者地址上的 3300 萬 USDT。截止發稿,攻擊者也回應,如果我轉移了剩余的幣,那將是十億美金級別的攻擊。我剛剛是拯救了這個項目嗎?我對金錢不太感興趣,現在考慮歸還一些代幣,或者將它們留在此處。隨后該攻擊者還稱,如果我制作一個新的代幣并讓DAO決定代幣的去向會怎樣?
隨著事件的發酵,8月11日,攻擊Poly Network的黑客在區塊高度 13001631 轉賬中又表示,已決定歸還資產,不再創建 DAO 組織。同時,在描述中,黑客自稱為傳奇。
盡管黑客已決定歸還資產,但有關DeFi安全的討論還在繼續。事實上,隨著DeFi的爆發式發展,相關安全事件頻發,跨鏈攻擊也不在少數。此前,Rari Capital就在跨鏈攻擊事件中損失1500萬美元。有分析聲音就此指出,DeFi協議之間的互操作性變得越來越復雜,相關的攻擊媒介也在增多,預計相關攻擊也會增加。
Roxe支付網絡技術VP Jesse對此指出,DeFi本來就是個黑暗森林,很多別有用心的人一直都在暗中虎視眈眈,甚至有些漏洞發現后,攻擊者只是在等更合適的機會,并不一定會急于出手,就像病的潛伏期一樣,在等更大的利益機會,未知的漏洞一定還有很多,只是還未爆發而已。
有市場聲音擔心,DeFi安全如果始終無法妥善處理,可能會打擊行業的信心。當然,另一方面可能會加快全球對行業監管。Roxe支付網絡技術VP Jesse表示,從長期看,監管是必須的,隨著區塊鏈行業的不斷成熟,各國也一定會加強監管,這也是行業成熟的標記。無監管的混亂除早期帶來的所謂自由的快感,隨后一定會被少量的各類地下組織利用,從而損害大眾的利益。雖然有時候我們不喜歡政府的監管,但這種監管帶來的正面意義要遠比負面意義大。
在此背景下,作為普通投資者,應該如何保護好自己的財產?
Roxe支付網絡技術VP Jesse指出,區塊鏈一個很大的問題就是親民性不足,未接觸過的人很難理解,從而讓區塊鏈變成一個小眾游戲。安全性上看似自己掌握自己的資產,但它卻要求每個用戶自己必須成為安全專家,隨時面對來自暗處的黑客攻擊。問題是,大眾并沒有足夠的能力去甄別和自我保護,很多時候只能依賴安全公司的審計,但這也不是100%安全的。相對傳統行業,DeFi還很年輕,很多東西還不完善,無法像政府背書的銀行一樣提供良好的安全保障。DeFi最大的優勢是去信任,但這份信任是基于代碼的,而代碼的安全大眾又無法有效甄別,而黑客攻擊來源于知識的巨大不對等性,這也造成的DeFi的安全不是一個是或否的簡單問題。對于DeFi投資者,目前只能保護好自己的私鑰,不泄露,防止丟失。另外,盡可能的識別好的項目、識別經審計的合約。
比特派也在相關微博中建議,參與DeFi要用多地址,不同DeFi、不同資產用不同地址區分開來,這樣即使某個DeFi項目有危險,也不會影響到你的其他資產。同時也要定期檢查錢包地址的授權,不頻繁操作的項目要及時收回授權。
原標題:《價值投資在幣圈真的管用嗎?》研究機構:Mint Ventures在各個中文的加密投資聊天群里,“價值投資”常常是一個梗一樣的存在,人們往往用它來進行自嘲,當投資者被套牢時.
1900/1/1 0:00:00移動支付網消息:隨著數字人民幣試點逐步深入,越來越多的企業開始加入到試點中,而“數字貨幣”相關的專利申請也不斷更新。2019年年底,關于DCEP試點的消息不脛而走.
1900/1/1 0:00:008月17日晚間,BC科技集團公布了2021年上半年業績報告。財報數據顯示,截止2021年6月30日,集團收入1.53億港幣(約合人民幣1.27億元),同比增長54%;凈虧損1.58億港元(約合人.
1900/1/1 0:00:00富達公司占領加密貨幣市場的計劃似乎比之前想象的更加雄心勃勃,因為該資產管理公司希望為數字資產提供更多機構途徑.
1900/1/1 0:00:00北京時間8月11日,嘉楠科技(Nasdaq:CAN)宣布戰略投資全球領先的創新視頻和顯示處理解決方案提供商Pixelworks(Nasdaq:PXLW)在中國的全資子公司逐點半導體(上海)有限公.
1900/1/1 0:00:00要點總結: 1.DeFi概念(Decentralized Finance,去中心化金融)持續火熱,DEFI中的生態鎖定總資金從2020年年初的6.8億美元至2021年8月增長至804.1億美元.
1900/1/1 0:00:00