以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads
首頁 > TUSD > Info

ETH:Poly Network千萬美元損失攻擊事件分析

Author:

Time:1900/1/1 0:00:00

2023年7月1日,一名攻擊者利用Poly Network的漏洞,在多條鏈上增發了價值420億美元的資產。盡管發行的資產數量龐大,但因低流動性和部分項目代幣凍結,攻擊者無法從5個外部賬戶地址獲取超過1000萬美元的資產。

這是今年發生的第一起跨鏈橋攻擊事件,也是針對Poly Network發起的第二次攻擊。去年攻擊事件的總損失金額達37億美元,其中跨鏈橋攻擊損失占35%。雖然本次事件看似是有史以來涉案金額最大的漏洞攻擊事件,但黑客的實際收益要低很多。

2023年7月1日北京時間14:47,一名惡意行為者通過發起數筆跨鏈橋交易,將資產從Poly Network的Lock Proxy合約轉至攻擊者的地址。從賬面上看,攻擊者從10條鏈上獲利超420億美元價值的資產。

Polygon宣布推出Ethereum Adoption DAO:3月23日消息,Polygon宣布推出Ethereum Adoption DAO(EAD),以推動在以太坊主網和以太坊擴展平臺上采用和實施新的創新項目。

Polygon邀請Web3建設者參與該合作計劃,并表示,雖然其啟動這一倡議,但它只是眾多平等的Genesis成員之一。EAD推出后,Polygon將與其他成員合作,幫助促進EAD的獨立性和可信中立,然后由核心團隊和更廣泛的DAO社區運營。[2022/3/23 14:12:44]

圖片:Poly Network 攻擊者錢包地址。來源:Debank

但其實這個數字具有誤導性。例如,攻擊者在Metis區塊鏈上持有超過340億美元的Poly-pegged BNB和BUSD,但這些代幣因缺乏流動性而無法賣出。后來Metis也在推文中確認,那些新鑄造的BNB和BUSD沒有可用的流動性,因此毫無價值。

Polygon聯合創始人:印度加密監管不確定導致大量人才流失:3月11日消息,Polygon聯合創始人Sandeep Nailwal表示,印度在是否擁抱數字資產上的猶豫不決,導致大量開發者、投資者和企業家離開印度,前往監管更為友好的地方。Sandeep Nailwal在迪拜接受采訪時稱,人才流失絕對是瘋狂的。

據估計,印度有1500萬活躍加密用戶,自2020年最高法院推翻了央行對數字代幣的禁令以來,印度一直處于監管的不確定狀態。政府今年公布了一項加密交易稅,但沒有正式宣布不會禁止交易,從而造成了目前的這種混亂狀態。(彭博社)[2022/3/11 13:50:27]

同樣,大量剩余的代幣也變得一文不值。在聽說了這一事件和攻擊者發行的代幣后,幾個項目均及時采取了刪除流動性的行動,以防止代幣傾銷和價格崩潰。例如,OpenOcean、StackOS、Revomon和NEST都取消了項目的流動性,以防止攻擊者出售。

去中心化歐元穩定幣平臺Mimo已集成Polygon:去中心化歐元穩定幣平臺Mimo已經集成Polygon,通過更快更便宜的服務為其網絡帶來額外的效用。用戶可以在Polygon上鑄造PAR并賺取MIMO。

Mimo DeFi平臺允許其用戶在不花費任何數字資產的情況下,通過算法鑄造歐元掛鉤穩定幣。加密貨幣投資者可以質押持有的任何加密貨幣。投資者可以這樣做并同時鑄造PAR,讓其資產增值并保持持續的加密貨幣敞口。

在項目啟動后的前三個月內,Mimo總鎖倉量(TVL)超過6000萬歐元,創下新高。今年6月,該項目宣布在其與歐元掛鉤的穩定幣PAR和治理代幣MIMO在Bittrex Global交易所上線。(Cointelegraph)[2021/8/13 1:53:50]

Polygon L2 交易量超過 700 萬筆:數據顯示,Polygon L2 交易量超過 700 萬筆。[2021/6/14 23:34:44]

Revomon推特

盡管420億美元的數字并不能準確反映這次事件所造成的損失,但CertiK已證實至少有1000萬美元的資產被存放在5個以太坊錢包中。

2022年,影響跨鏈橋的安全事件導致了13億美元的經濟損失,而這13億美元僅僅是由五起事件造成的,因此跨鏈橋安全漏洞的破壞力可見一斑。保護跨鏈橋難度較高,再加上它們所具有巨大價值和各種可被利用的攻擊路徑,這些基礎設施往往是惡意行為者的首選目標。跨鏈橋由托管人、發債人、預言機等多種部分組成。由于鎖定在橋上的資金數量龐大,任何錯誤配置、漏洞或惡意利用都可導致重大損失。

Poly Network使用“鎖定”(Lock)和“解鎖”(Unlock)函數在不同網絡之間橋接資產。用戶必須先在源鏈上“鎖定”代幣,然后才能在目標鏈上進行“解鎖”。

動態 | Poloniex XMR錢包因進行維護暫時禁用:據Poloniex官方推特發文表示,Poloniex(P網)XMR錢包因進行維護已被禁用,錢包恢復時將在官方推特發布更新。[2019/3/3]

以下示例是基于從BSC到ETH的跨鏈轉移。

①攻擊者首先在BSC網絡上調用Lock函數,以發起少量8PAY代幣的跨鏈轉移。

圖片:攻擊者使用少量的8PAY代幣發起跨鏈轉移。來源:Etherscan

在這筆交易中,數據被指定為“0x4a14feea0bdd3d07eb6fe305938878c0cadbfa16904214e0afadad1d93704761c8550f21a53de3468ba599e80300000000000000000000000000”開頭“0x4a”四個字節代表數據長度。

②攻擊者調用了EthCrossChainManager.verifyHeaderAndExecuteTx()函數,觸發了相應的UnlockEvent“解鎖”函數。我們可以從開頭表示數據長度的4個字節看出,當前的交易數據已發生改變。

“0x14feea0bdd3d07eb6fe305938878c0cadbfa16904214e0afadad1d93704761c8550f21a53de3468ba59900e00fc80b54905e35ca0d000000000000000000000000000000000000000000“

在這筆交易中,8pay代幣的數量顯著增加。

③攻擊者按照上述步驟重復了這一過程。其中涉及57種代幣,且分布在11個不同的區塊鏈上。攻擊者從中獲利約420億美元的資產(按賬面價值計算)。

圖片:Poly Network攻擊者在以太坊上解鎖的代幣。來源: Etherscan

在以太坊網絡上,攻擊者成功將一些代幣轉換成了ETH。過程如下:

在攻擊期間,攻擊者還通過一筆交易轉移了1592枚ETH(約305萬美元),并將2240枚ETH分別轉至3個EOA外部賬戶。此外,攻擊者還獲取約301萬枚USDC和265萬枚USDT,分別兌換為1557枚和1371枚ETH。

攻擊者將剩余的部分代幣資產轉移到了新的EOA地址,并向每個地址轉移1枚ETH。(盡管他們目前尚未兌出這些代幣)。由于項目所有者為防止拋售而從代幣中移除流動性,一些代幣變得毫無價值。截至目前,攻擊者似乎只能從該事件中獲得約1000萬美元的資金。

圖片:Poly Network攻擊者將資產和數量為1的ETH轉入新的EOA地址

2022年,Web3.0生態系統經歷了跨鏈橋攻擊的毀滅性影響,Ronin Bridge、Wormhole、Nomad等項目都遭受了安全事件的影響。Poly Network事件的初期檢測結果顯示,這是Web生態系統迄今為止遭遇的最大安全事件,但由于新鑄造代幣缺乏流動性支持,損失在撰寫本文時已被控制在大約1000萬美元。目前尚無關于攻擊者如何利用Poly Network的確切共識。然而初步跡象表明,因鏈上功能運行正常,很可能是私鑰泄露或鏈下漏洞導致。

CertiK中文社區

企業專欄

閱讀更多

金色早8點

Odaily星球日報

金色財經

Block unicorn

DAOrayaki

曼昆區塊鏈法律

Tags:POLPOLYOLYETHpolis幣發行價POLYBUNNY價格polydoge幣項目方最新消息AETH價格

TUSD
okx:MPC+AA 是 Crypto 錢包10億級用戶 Mass Adoption 必經之路

MPC 與 AA 之爭回顧總結近期以太坊創始人 Vitalik  針對基于 MPC EOA 錢包負面評價再次引起了 Crypto 錢包技術路線之爭的大討論.

1900/1/1 0:00:00
POE:Arthur Hayes:比特幣將成為人工智能的貨幣

以下為Arthur Hayes的全文編譯:幾周前,我在巴黎參觀了一家真正與眾不同的咖啡店后,我對人類未來的信心恢復了。出于對精品咖啡的熱情,這家特別店的咖啡師提供了2小時的咖啡制作體驗.

1900/1/1 0:00:00
以太坊:深度解析全鏈游戲Full On-chain Game的過去、現在和未來

導讀:本文為 LK Venture 投研團隊對全鏈游戲(Full On-chain Game)進行的全方位解析。全鏈游戲應該發揮其全上鏈的優勢,而不是簡單地將運行邏輯遷移至鏈上.

1900/1/1 0:00:00
比特幣:金色Web3.0日報 | 國家標準《區塊鏈和分布式記賬技術參考架構》將于12月1日實施

DeFi數據 1、DeFi代幣總市值:483.97億美元 DeFi總市值及前十代幣 數據來源:coingecko2、過去24小時去中心化交易所的交易量36.

1900/1/1 0:00:00
Ordinals:比特幣銘文突破千萬 協議創始人卻隱退江湖

比特幣 Ordinals 銘文數在周一突破了 1000 萬,新的領導者打算填補協議創造者 Casey Rodarmor 的位置.

1900/1/1 0:00:00
ANC:晚間必讀 | 美國SEC為何要對 ETH 持續逃避?

2023年6月5日,美國證監會SEC對 Binance 實體及其創始人趙長鵬提出 13 項指控.

1900/1/1 0:00:00
ads