白话解说,你一定能看懂,全流程重现PolyNetwork6亿美元盗币案!
白话解说,你一定能看懂,全流程重现Poly Network 6 亿美元盗币案!
18:04起,黑客在Polygon从该项目智能合约转移了8508万USDC。
18:08起,黑客在BSC从该项目智能合约转移了8760万个USDC、26629个ETH等资产。
晚间,链必安-区块链安全态势感知平台(Beosin-Eagle Eye)舆情监测显示,跨链协议Poly Network 遭受攻击,Ethereum、BinanceChain、Polygon3条链上近6亿美元资金被盗。
此刻成都链安的警报群开始响起来,技术团队成员此刻已经下班在家,大家远程电话开始讨论分析黑客的手段。
讨论刚开始,大家的表情都是:
作为不太懂技术的小编,也加入远程沟通之中,那一晚大家都很亢奋,毕竟“抓黑客”这件事,确实很刺激,而作为守护区块链生态安全的成都链安,必须要把这个黑客摸清楚。
只是一整晚过去,ETH资金还没动,也没发币,我司安全团队成员小A说,黑客难道还在睡觉?还没开始行动?
而在当晚,最担忧的还是项目方,Poly Network一直在尝试与这位淡定的黑客沟通。
这场漫长的沟通经历差不多15小时,第一次尝试沟通,Poly Network留下了沟通邮箱。
2小时后,项目方继续沟通表示,如果归还资产,会因为这次发现安全漏洞给予安全奖励。
那一整晚,黑客策划本次行动之后,还在社区自问自答,比如对钱不感兴趣,攻击只是为了好玩等让大家继续“吃瓜”。
让我们回到本次事件中。
简单来说,事情的经过就是:黑客攻击了一个跨链桥的协议,然后转走6亿美金资产。
先来说什么是“跨链桥协议”?
简单来说,每一个公链就是一个生态,那么在这个生态上发行的代币互换很简单,但是你要和其它公链的币进行互换,就比较麻烦了。
比如今年BSC、HECO、Solana、Near 等各大公链出来后,用户在不同公链间进行资产转移的时候流程就非常复杂。
这个有点类似于比如我想把A交易所的币卖掉,去B交易所买另一种币,那我必须先把A交易所的币卖掉换成USDT,再用USDT去买B交易所的另一种币。
为了解决这个问题,跨链桥协议就出来了,就相当于把所有生态链都连接起来。
你想在不同的公链上进行换币操作,那这个跨链桥的协议就自动在后台用程序帮你处理了。
本次受攻击的这个跨链桥协议名字叫O3 swap,这是 O3 Labs 团队孵化的跨链聚合交易协议,通过与以太坊、BSC、Heco、Neo 等主流公链和 Layer2 跨链交互,进行多链 DEX 的流动性聚合,从而实现不同链上主流资产的自由兑换,DeFi 用户可以享受快速一键跨链交易的便捷。
那黑客是如何得手的呢?
第一件事情,就是必须找到黑客攻击的源头。
攻击者是如何拿到正常的Keeper的签名的?难道是Keeper私钥泄漏?
成都链安技术团队带着这个疑问进行了深入分析,终于解决了这个疑问。
经对
0x3eba3f1fb50c4cbe76e7cc4dcc14ac***a0e785cf22034f175f67c8d3be9
交易的层层解密,终于解决了这个问题。
经分析:该笔交易对应的跨链交易由本体链上f771ba***d5a37b67d30bf2f***c86ad***caaffff280c这笔交易发出,并因此定位到本体链上的攻击者地址
AM2W2LpbPKbyoT7wXoZPvaR2ctGHgFWs9k。
攻击者通过在ONT链上先进行了初期的攻击尝试,发现攻击手段有效后,通过这笔f771ba***d5a37b67d30bf2f***c86ad***caaffff280c交易批量向多个链发起更改Keeper的跨链消息,然后BSC链的relayer 0xa0872c79900fed7a1a41e046d***a14c3bab率先处理了该笔跨链交易,并将keeper设置为攻击者指定的地址0xa87fb85a93ca072cd4e5f0d4f178bc831df8a00b。
然后Ethereum、Polygon两条链上攻击者重放了BSC链的 relayer所使用的有效签名。Keeper地址更改为自己的地址后,攻击者使用自己可控的Keeper发起了提币交易,转移了跨链池中的资产。此处攻击成功表明PolyNetwork在对跨链交易事件的验证存在缺陷,导致了恶意的跨链消息被接收并在对应的链上进行了跨链消息所指定的操作。
简单来说就是攻击者利用了一个区块链跨链协议 Poly Network 的技术漏洞,获取了检索加密货币钱包所有者的私钥所需的信息,并最终盗取了链上资产。
攻击完成后,这位攻击者又去进行混币处理,也可以说是一个洗钱的过程,让大家无法追踪他的盗币。
反正就是一系列操作,黑客得逞了,然后项目方发现后,直接哭晕在厕所。
怎么办?赶紧联系黑客啊。
Poly Network在推特发布了致攻击者的一封信。Poly Network表示,希望建立沟通,并敦促攻击者归还被黑资产。此次被黑的金额是DeFi历史上最大的一笔。任何国家的执法部门都会将此视为重大经济犯罪,攻击者将受到追捕,再进行任何交易是非常不明智的。被盗资金来自数以万计的加密社区成员。希望攻击者与Poly Network团队交谈以制定解决方案。
但是这位攻击者却很淡定的表示:“如果我转移了剩余的币,那将是十亿美金级别的攻击。我刚刚是拯救了这个项目吗?我对金钱不太感兴趣,现在考虑归还一些代币,或者将它们留在此处。”
8月12日晚,Poly Network通过以太坊网络转账留言回复黑客称:
自官方公布被盗之后,无论是项目方还是安全机构、媒体都在时刻关注Poly Network事件的最新进展,并尽全力协助冻结追回资金。
在后面几十个小时的时间里,在多方的共同努力与沟通下,Poly Network安全事件有了新的进展。
根据消息,这位白帽黑客目前已退还几乎所有被盗资金。
项目方终于松了一口气。
当然,此次事件是对DeFi所有参与者的一次警示,随着DeFi的爆发式发展,相关安全事件频发,跨链攻击也成为很多攻击者的袭击目标。
本次攻击事件主要原因还是中继器对链上跨链消息检验不完善以及合约权限管理逻辑存在问题。成都链安在此提醒各大项目方一定要加强智能合约安全审计。
遇到安全事件攻击,我们会用最专业的技术告诉你:
当然,未来的安全事件还会时有发生,本次事件因为金额巨大,引起多方关注,无论是项目方还是所有的安全机构、媒体,都为本次事件付出了巨大精力。
最后,小编想要感谢对本次“安全事件”报道的媒体朋友们,以及守护区块链生态的安全公司,因为大家及时且专业的报道和分析,为区块链生态安全行业不断注入能量,推动着产业发展。谢谢大家为此做出的努力。
随着数字货币的热度一年比一年高,很多投资者都纷纷加入了炒币行列。
我们要知道进入数字货币市场的新手只有快速学会炒币了,才能赚钱。否则只靠自己的“运气”或者道听途说的“小道消息”来炒币,结局都不会太美妙!
欢迎大家来一起交流,互相学习!
白话解说,你一定能看懂,全流程重现Poly Network 6 亿美元盗币案!
------
延伸阅读:
炒币被套时,我们该如何应对,炒币技巧
首先先给大家说下基本技巧.币好的时候就不用说了,肯定都是赚,就是不好的时候我们怎么办呢, 这才是最考验大家的,毕竟做什么都要有经验和经历,受得住才有钱赚
八大炒币口诀,分享给大家。
炒币口诀一:套牢补仓求保本,奢求盈利乃为贪
炒币口诀二:平静水面一波高,当心后面大波涛
炒币口诀三: 大涨之后必回调,K线多日画三角。
炒币口诀四:买阴不买阳,卖阳不卖阴,逆市而动,方为英雄
炒币口诀五:不冲高不卖,不跳水不买,横盘不交易。
炒币口诀六:上涨趋势中看支撑位,下跌趋势中看阻力位。
炒币口诀七:满仓操作是大忌,一意孤行不可取,无常变化要知止,进出自如在 观机。
炒币口诀八:炒币玩的是心态,贪婪恐惧是大害。追涨跌要谨慎,心平气和要自在。
在熊市中部分投资人往往容易恐慌,纷纷卖出手中的币,保持空仓观望。此时,空方在市场中是占主导地位的,做多(看好后市)氛围严重不足。那熊市该怎么操作呢?关于熊市怎么操作,我们一起看一下
不管什么时候,保本和控制风险,永远比寻找牛币重要!
投资、交易的首要任务都是保本,保存有生力量,交易的精髓在于控制回撤。大势不好,还强做,这才是致命的,不懂得休息和仓控,迟早会吃大亏。任何时候都要战战兢兢、如履薄冰。
对于价值币,越跌越买
市场低迷正是我们建仓、补仓的最佳时机。越跌越买后让我们被套的币的平均成本越降越低。然后靠耐心和信仰支撑我们穿越熊牛。什么是价值币?一言以蔽之,有强大市场的区块链应用前景和已落地或者具有可落地的基本条件。没有那么多闲钱越跌越补怎么办?那就佛系炒币吧,原有多少价值币都拿好了,反正不要在熊市割肉。话说守币比守寡更难,你守不守寡沙子不管,但守币(空气币除外)的话再难沙子都建议你还是要坚持守的。
潜伏独立行情的币种
大家敏锐的去发现,在大盘下跌的过程中逆势飞扬的和下跌幅度较小的是哪些币种?然后再判断它牛逼的原因是有主力在胡闹托底而已还是它的应用是近期热点而且前景一片光明,而且准备落地?如果是有主力胡闹托底而已的话,无非昙花一现。而它的应用领域是近期热点或者前景一片光明,且准备落地的话,那它就是我们要找的独立行情币种。
炒币不能贪心图块,通过炒币理财积累财富,那是一个漫长的过程。如果在此过程中,既贪心还图赚钱快,那基本是无法实现财富增长的。因为这两种心理都会让人一味追逐利益,当面对高收益时,就会失去理智。但高收益就意味着高风险,盲目投资只能造成失败。只有追求财富的稳定增长,才能均衡风险和利润。
在币市里没有最好的老师, 经历就是最好的老师,不段学习,总结,继续,坚持,耐得住寂寞才能享受人间的繁华,不单单普通币民,包括那些自以为是的币评者是多么渺小和企图螳臂当车,总觉得自己怎么想的,自己怎么样,然而在币市里,其实我们什么都不是!任何人什么都不是!只有市场是你最好的老师,也只有紧跟市场你才能活下来,之后再说什么跑赢市场!今天就跟大家分享到这里,如有不懂,继续追问
------------------
推荐阅读:
