發生在8月10日的PolyNetwork攻擊事件可能是史上涉及金額最大的一起網絡安全事件,超過6.1億美元的加密資產在15天內被盜并被歸還。整個Blockchain行業及所有相關方,和PolyNetwork一起經歷了這跌宕起伏的過程。目前所有涉及資產已經全部歸還用戶,系統功能已經基本恢復至事件前水平,這起事件終于可以落下帷幕。在過去的兩周我們也收到很多關于這個事件的詢問,在此希望從我們的角度以一個公開透明的方式對此次事件進行一次回顧,以警示我們銘記本次事件,同時也讓更多的人了解到整件事情的處理細節,在這次事件中我們也許做的并不完美,但是或許是一點寶貴的經驗。
發生了什么
關于事故的具體描述,多家安全機構都進行了評述:1.慢霧:PolyNetwork攻擊的分析和問答TheAnalysisandQ&AOfPolyNetworkBeingHackedKelvinfichter關于攻擊原因的分析https://twitter.com/kelvinfichter/status/1425290462076747777慢霧:PolyNetwork攻擊的總體技術陳述https://slowmist.medium.com/the-root-cause-of-poly-network-being-hacked-ec2ee1b0c68f事發當晚也是我們承受最大壓力的一晚,我們盡量做到目標明確,有條不紊解決核心問題:鎖定資產,減少社區猜測,建立溝通渠道。l嘗試與攻擊地址取得聯系;https://etherscan.io/tx/0xf6488e1efacd9c280eb91133d04ba357beca8016df8b0b0524b9a2e207b2ad7f,https://twitter.com/PolyNetwork2/status/1425123153009803267l發現漏洞,尋找漏洞修補方案,分析資產去向和攻擊者行為;https://twitter.com/PolyNetwork2/status/1425130017546149891,https://twitter.com/SlowMist_Team/status/1425197809058254849l清點受影響資產,聯系資產發行方凍結資產,減小不可控制的損失;https://twitter.com/PolyNetwork2/status/1425073987164381196l通知各交易所,關注資金出金意圖;l呼吁礦池礦工攔截攻擊者試圖洗錢的交易;https://twitter.com/PolyNetwork2/status/1425090228830842893l向用戶、社區和媒體及時傳達進展;https://twitter.com/PolyNetwork2/status/1425130017546149891最終進展如下:l通過ETH網絡與0x8a地址建立加密溝通渠道;lTether宣布凍結了相關的超3300萬USDT資產;https://twitter.com/paoloardoino/status/1425090760609832978l幣安,Okex,火幣等發布公告,會關注此事件資金流向;https://twitter.com/cz_binance/status/1425091869709570060,https://twitter.com/JayHao8/status/1425094897976193034,https://twitter.com/DujunX/status/1425100770588954626l與USDC,BSC,Polygon,Heco,wBTC,MetaMask等取得聯系;lPolyNetwork推特持續發布事件進展,減少用戶恐慌情緒,避免非屬實的流言。https://twitter.com/PolyNetwork2/status/1425309429935710208去中心化還有很長的路要走
慢霧:從Multichain流出的資金總額高達2.65億美元,分布在9條鏈:金色財經報道,自7月7日以來,從 Multichain 流出的資金總額高達 2.65 億美元,分布在 Ethereum、BNB Chain、Polygon、Avalanche、Arbitrum、Optimism、Fantom、Cronos、Moonbeam 鏈。其中 6582 萬美元已經被 Circle 和 Tether 凍結,1,296,990.99 ICE(約 162 萬美元) 被 Token 發行方 Burn。流出的資金中,包括:
1)從 Multichain: Old BSC Bridge 轉出的 USDT;
2)從 Multichain: Fantom Bridge 轉出的 USDC、DAI、LINK、UNIDX、USDT、WOO、ICE、CRV、YFI、TUSD、WETH、WBTC;
3)從 Anyswap: Bridge Fantom 轉出的 BIFI;
4)從 Multichain: Moonriver Bridge 轉出的 USDC、USDT、DAI、WBTC;
5)從 MultiChain: Doge Bridge 轉出的 USDC;
6)從 Multichain: Executor 轉出的 DAI、USDC、BTCB、WBTC、WETH、Dai.e、WBTC.e、Bridged USDC、BTC、fUSDT、ETH 等;
7)從被 Etherscan 標記為 Fake_Phishing183873 的 0xe1910...49c53 轉出的 WBTC、USDT、ETH,同時我們認為該標記(Fake Phishing183873)或許是 Etherscan 上的虛假標記,地址可能以前屬于 Multichain 官方賬戶。[2023/7/11 10:48:30]
通過與白帽先生的溝通,雙方緩和了情緒,基本信任建立。8月11日,攻擊者宣布「準備歸還資產」。隨后PolyNetwork的收款地址部署完成,8月11日8:43:57AM+UTCPoly團隊開始回收第一批退還資產。截止到8月13日,系統收回足夠的資產以恢復部分功能,在與白帽先生確認后,項目進入了恢復重建階段,核心目標還是兩點:促成資產收回,快速系統修復。l與白帽先生確認收款流程;https://etherscan.io/tx/0x910b00b2b60b76d7c29a1855f9a1ebf204356eed22498334ddd46e46d96e06c2l向用戶承諾將收回全部資產作為首要目標;https://twitter.com/PolyNetwork2/status/1425785007486820368l修復系統漏洞,確保系統的安全性;https://github.com/polynetwork/eth-contracts/pull/12/filesl確認系統重啟計劃和籌備路線圖;https://medium.com/poly-network/poly-network-roadmap-for-the-next-phase-9f84c03c2e53?source=social.tw&_branch_match_id=549963884981436182l開放恢復資產的項目方申請通道;https://twitter.com/PolyNetwork2/status/1427233445185409026l與Tether協商凍結的USDT處理方式;l與社區保持溝通;https://twitter.com/PolyNetwork2/status/1425739339820982275最終進展如下:l回收BSC,Polygon資產;https://twitter.com/PolyNetwork2/status/1425309429935710208l建立共管賬戶;https://etherscan.io/tx/0xf391ec8d5935d4ec11efb2c8b99ba3586cb0b0f05c5e0b9c44c74a1c40386bd7l完成修復系統漏洞并公布新安全方案;https://twitter.com/PolyNetwork2/status/1426819500263890946l宣布系統重啟路線圖;https://twitter.om/PolyNetwork2/status/1426490057276280832l確認可恢復功能項目清單并支持功能恢復;https://twitter.com/PolyNetwork2/status/1427839007501680640白帽先生自己也在區塊鏈上闡述了自己此次攻擊的原因,過程和給大家的誠懇建議,我們對全文進行了記錄:https://docs.google.com/spreadsheets/d/14hMTpPNylZG6DizU3K-fpDbfYZxenI_KtbHpWkdc7VM/edit#gid=0期間,PolyNetwork團隊也在經歷著前所未有的評議與爭論,我們看到最大的爭議也同樣是白帽先生提出自己最大的顧慮-PolyNetwork的去中心化進程;在此,我們也想為此疑慮做出解釋,事實上項目已經在去中心化的路徑上探索許久,我們相信去中心化永遠是優秀的協議非常重要的一環,如果有興趣,大家可以關注下:https://github.com/polynetwork/Zion,在半年前,我們已經啟動了PolyNetwork的新版本的開發,我們希望未來通過完整的經濟模型和治理機制,來保證整個網絡的去中心化管理。因為跨鏈協議不同于單鏈項目,由于要實現不同特性鏈之間的互操作性,除了實現安全性要比單鏈更加復雜外,如何更有效的治理也是一個重要的部分,實現多元化世界的一致性,需要各個相關方進行更加高效的共識。安全就是一切
Waves Labs現已推出社區開源治理平臺Power Protocol:金色財經報道,旨在推動Layer1公鏈Waves生態發展的機構Waves Labs發文稱,社區開源治理平臺Power Protocol現已上線,任何新的或現有的DAO社區都可以提出并推出自己的子DAO(Special Purpose DAO,SP-DAO),并利用其治理機制,Power DAO(Mother DAO)充當于去中心化孵化器、天使投資人和所有基于Power Protocol構建的子DAO的仲裁方。Power Protocol允許POWER代幣持有者為項目自行組織、提議和啟動SP-DAO或遷移現有的DAO。[2023/3/4 12:41:23]
安全一定不是一蹴而就的事,對于網絡安全,此次事件已經凝聚了全行業最直接深刻的體會。https://twitter.com/PolyNetwork2/status/14261973611774935118月15日,在確定并公布恢復計劃后,團隊開始持續推進和落實路線圖中的工作,包括在immunefi的平臺上發布了總額為50萬美金的安全賞金計劃,希望吸引全球安全機構和白帽組織為PolyNetwork的安全助力,當然這只是安全的第一步,系統恢復期內我們也:l邀請白帽先生作為PolyNetwork的首席安全顧問并提供160ETH安全賞金https://twitter.com/PolyNetwork2/status/1427574236483231749l與PeckShield、BlockSecTeam、Beosin(ChengduLianAnTech)等安全機構確認修復和重啟方案1)PeckShield:https://peckshield.medium.com/polynetwork-bug-review-and-patch-analysis-88bde84412972)BlockSecTeam:https://blocksecteam.medium.com/the-informal-security-review-of-the-patch-of-the-poly-network-1a0a532b731e3)Beosin(ChengduLianAnTech):https://beosin.medium.com/boesins-analysis-of-the-fix-code-on-poly-network-smart-contracts-a305639ea626https://medium.com/poly-network/latest-updates-aug-20-a12447c6d899https://medium.com/poly-network/latest-updates-aug-19-ed7ab8e5c2f0https://medium.com/poly-network/latest-updates-aug-17-241398d64a40同時我們也想引用白帽先生闡述的對區塊鏈安全的一些建議,我們覺得在一定程度上是中肯客觀的。https://etherscan.io/tx/0x078063e9574e1937a64b6552919b9fc0035429df1e601d79e200bf211e75f337https://etherscan.io/tx/0x42446ccc66bb48eac7bd905ae7d79708f303849802b280eb4d65770c1bfc0997我們相信協議的安全始終是重要的一環,但是我們也相信在crypto的世界里,代碼之上仍有更廣袤和豐富的存在,或許大家有著不同的價值觀和知識儲備,但是依舊可以公平的參與到這個世界建設和治理里,我們在未來想建立的不僅僅是一個安全的協議,更是一個對所有人公平透明的協議。所有的代幣都還給你了所有的故事都會有一個尾聲,很欣慰,這次的故事是一個HappyEnding。l8月19日,白帽先生歸還了Ethereum上的96,942,063個DAI。l8月22日,除wBTC和ETH資產已盡數歸還。PolyNetwork開始進行穩定幣的資產清點和復原,以協助O3Hub的功能恢復。l8月23日完成了白帽先生返回的96,942,063個DAI與USDC之間的轉換,同時將BSC上的87,557,051個BUSD轉換為USDC(BEP-20)。對于在交易中產生的滑點損耗和手續費,PolyNetwork團隊用自有資金進行補償。https://etherscan.io/tx/0x814e6a21c8eb34b62a05c1d0b14ee932873c62ef3c8575dc49bcf12004714edahttps://medium.com/poly-network/latest-updates-aug-23-7f6cca47b574l8月23日白帽先生公布了多簽錢包的私鑰。https://twitter.com/PolyNetwork2/status/1429738587046563841l8月25日,此次攻擊事件受影響的WBTC和ETH資產全部恢復。https://twitter.com/PolyNetwork2/status/1430485302527741954l同日,Tether將此前凍結的33,431,200USDT資產全數釋放至PolyNetwork接收資產的多簽錢包內。https://twitter.com/Tether_to/status/1430510652582416387l8月26日,PolyNetwork完成USDT資產的復原工作。至此,所有受此次攻擊事件影響的資產恢復完畢。https://medium.com/poly-network/poly-network-asset-recovery-complete-a7ba33c2f2e4
BitPay:弗吉尼亞州的豪華汽車經銷商現已接受Shiba Inu支付:12月3日消息,據官方推特,BitPay宣布,已與總部位于弗吉尼亞州的豪華汽車經銷商“Exclusive Automotive Group”建立合作伙伴關系,將支持使用比特幣、以太坊、Shiba Inu等加密貨幣購買Koenigsegg Hypercars。[2022/12/3 21:20:17]
謝謝大家支持我們
這個故事到了一個尾聲,但是對于我們來說卻是下一個征程的開始,在新的征程開始之前,我們想對所有使用PolyNetwork的項目和用戶,表示誠摯的感謝和深切的歉意。很抱歉由于系統漏洞給所有用戶帶來的困擾。感謝你們對項目的信任,雖然我們有可能會失去了一部分曾經相信我們的人,但我們會用之后的行動重新建立大家對項目的信心。同時,我們也將會用我們的方式去感謝所有使用過,支持過,一起經歷過這次事件的每個人,后續具體的細則我們將在系統完全恢復后在官方渠道公布,請大家保持關注。最后我們想說,項目安全始終是PolyNetwork以及整個行業永恒的主題,希望PolyNetwork事件不僅能幫助我們建設一個更健壯的項目,還能給整個行業帶來足夠深刻和持久的警示。對于我們來說,這段經歷將成為我們永不會忘卻的記憶,它不僅僅代表了一個協議的安全,更有關對信任、權力、欲望、責任、信仰新的理解。
M11 Credit:Auros面臨短期流動性問題,未按時償還300萬美元的DeFi貸款:12月1日消息,加密信用池平臺M11 Credit發推表示,由于FTX破產,加密交易公司Auros Global正面臨短期流動性問題,該公司從DeFi借貸平臺Maple Finance的信用池中借入了2400枚wETH,價值約300萬美元,逾期未還,根據智能合約觸發了5天的寬限期。
M11 Credit表示:“我們的首要任務是限制貸方的風險。我們將繼續與Auros團隊就我們資金池中的所有未結貸款進行聯絡。”[2022/12/1 21:14:19]
Cash App:已通過閃電網絡支持發送和接收BTC,但7天交易上限為999美元:金色財經報道,據 Cash App 比特幣產品負責人 Michael Rihani 在社交媒體上披露,該平臺用戶現在可以使用閃電網絡發送和接收 BTC,此前 Cash App 用戶只能通過閃電網絡發送比特幣。不過根據 Cash APP 官方網站披露,雖然使用閃電網絡“通常很少或不涉及任何費用”,但通常僅用于發送少量 BTC,而且其平臺還設定了 7 天內最多可發送或接收價值 999 美元 BTC 的限制。[2022/10/26 16:38:56]
近期發布的Chainlink2.0白皮書中提到了圍繞去中心化的預言機網絡功能展開的一系列創新。其中最值得一提的是通過DON展開安全的鏈下計算.
1900/1/1 0:00:00起于2020年末的數字貨幣大牛市,帶動了區塊鏈技術應用場景的落地。DeFi首先進入公眾視野,并縷縷刷新賽道的市值總量。眼下,NFT開始接棒DeFi,成為加密世界的風口.
1900/1/1 0:00:00撰文:ForesightVentures概要:1.BTC縮量上漲,GBTC溢價率下跌,短期避免追高。2.借貸市場總量有望再創新高。3.NFT市場成交量暴跌.
1900/1/1 0:00:00值得注意的第一類區塊鏈項目是那些為運行智能合約而設計的項目。智能合約驅動的區塊鏈正變得越來越廣泛和龐大。加密媒體喜歡“以太坊殺手”這個詞,不斷尋找第二大智能合約平臺.
1900/1/1 0:00:00文章來源:AxiePulse文章翻譯:Blockunicorn Axie經濟目前依賴于在Axies需求的驅動下將ETH存入生態系統。當前的Axie需求可能主要由新玩家推動.
1900/1/1 0:00:00頭條 成都6人利用“GUCS”“麒麟礦機”虛擬貨幣實施犯罪被刑拘8月18日晚,成都發布消息:近日.
1900/1/1 0:00:00