比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads

ETH:金色觀察 | Poly Network被盜事件再引DeFi安全之爭 監管或提上日程?

Author:

Time:1900/1/1 0:00:00

8月10日,跨鏈互操作協議Poly Network遭受黑客攻擊。Poly Network發推文稱,經過初步調查,已找到漏洞的原因。黑客利用了合約調用之間的一個漏洞,攻擊不是由傳聞中的單個保管人造成的。同時,Poly Network還發布了至攻擊者的一封信。Poly Network表示,希望建立溝通,并敦促攻擊者歸還被黑資產。此次被黑的金額是Defi歷史上最大的一筆。任何國家的執法部門都會將此視為重大經濟犯罪,攻擊者將受到追捕,再進行任何交易是非常不明智的。被盜資金來自數以萬計的加密社區成員。希望攻擊者與Poly Network團隊交談以制定解決方案。

慢霧團隊回顧攻擊細節指出,主要系因合約漏洞。本次攻擊主要在于 EthCrossChainData 合約的 keeper 可由 EthCrossChainManager 合約進行修改,而 EthCrossChainManager 合約的 verifyHeaderAndExecuteTx 函數又可以通過 _executeCrossChainTx 函數執行用戶傳入的數據。因此攻擊者通過此函數傳入精心構造的數據修改了 EthCrossChainData 合約的 keeper 為攻擊者指定的地址,并非網傳的是由于 keeper 私鑰泄漏導致這一事件的發生。

金色晚報 | 11月9日晚間重要動態一覽:12:00-21:00關鍵詞:波卡、Bitcoin ABC、沈南鵬、爆倉、美國新澤西州

1. Galaxy Digital首席執行官在美國大選押注中贏得半個比特幣。

2. 24小時合約市場爆倉超1.13億美元 BTC合約爆倉8860萬美元。

3. Bitcoin ABC:分叉后將繼續維護BCH節點。

4. Bitcoin ABC將在BCH分叉后支持BCHN和BCHA兩條鏈。

5. 報告:數字美元可能會引發通貨膨脹。

6. Longhash:以太坊兌比特幣兩個月內下跌30%,四大原因支撐其價格反彈。

7. Polkadot 已發布v 0.8.26-1升級版。

8. 沈南鵬對話李小加:人工智能、區塊鏈、大數據和云計算四大技術不是獨立存在的。

9. 人民網:應特別關注金融安全,穩扎穩打推進數字貨幣進程。

10. 美國新澤西州出臺監管加密貨幣提供商的參議院法案。[2020/11/9 12:07:52]

隨后慢霧團隊給出細節描述:

金色相對論丨夏伏彪:以太坊最終會進入到一個系統的穩定狀態,實現擴展性問題的緩解:在今日舉行的金色相對論中,針對“請各位就對于以太坊的發展給予一定的預測?在這些發展階段中,各位認為哪些特性成為了發展的關鍵點?”的提問,PlatON創新研究院高級研究員夏伏彪發言指出:首先,對新技術的創新和努力程度,保證了ETH2最終狀態的上限;其次,可能是我覺得更重要的,對安全性和穩定性的重視。

在此過程中,高強度和大量的測試資源投入,保證了最終系統是否真正可靠,是否真正面向用戶(不管是開發者還是普通用戶)并且很好用。

我預測以太坊會通過很長一段時間的穩定性考研,中間可能會出現意想不到的一些問題包括黑客攻擊,甚至治理層面的問題(比如嚴重到需要去改動PoS的系統參數),

但是我相信最終仍然會進入到一個系統的穩定狀態,實現擴展性問題的緩解,以及經濟和治理層面上PoS模式的普及和穩定。[2020/6/18]

1. 本次攻擊的核心在于 EthCrossChainManager 合約的 verifyHeaderAndExecuteTx 函數可以通過 _executeCrossChainTx 函數執行具體的跨鏈交易。

金色晚報 | 3月4日晚間重要動態一覽:12:00-21:00關鍵詞:山東金融局、印度最高法院、ETC、Tether Gold

1. 山東金融局:不輕信虛擬幣等炒作 非法集資政府不會買單。

2. 印度最高法院取消了印度央行針對加密貨幣的禁令。

3. 韓國國會法治司法委員會通過特殊金融法。

4. ETC 2020技術路線圖公布:以太坊堆棧客戶端Core-Geth完成開發。

5. 美國政府試圖扣押113個與朝鮮黑客組織有關地址中的加密貨幣。

6. 加密貨幣愛好者John McAfee將退出美國總統競選。

7. Tether Gold市值超2100萬美元 領先競爭對手PAX Gold。

8. 中國互金協會標準研究院成為《區塊鏈行業應用反洗錢技術標準》專家組單位。

9. 比特幣日內窄幅震蕩,最高漲至8847.71美元,最低跌至8655美元。[2020/3/4]

2. 由于 EthCrossChainData 合約的 owner 為 EthCrossChainManager 合約,因此 EthCrossChainManager 合約可以通過調用 EthCrossChainData 合約的 putCurEpochConPubKeyBytes 函數修改合約的 keeper。 

獨家 | 金色財經2月12日挖礦收益數據播報:金色財經報道,據印比特數據顯示,按照BTC參考價格71600元、電價0.38元/kWh計算,當前在售主流BTC礦機的市場價格及回本周期為:、阿瓦隆1066-50T(全新現貨6300元,212天回本)、神馬M20S-68T(二手機11000元,219天回本)、螞蟻T17-40T(全新現貨6500元,234天回本)、芯動T3+-57T(全新現貨9300元,264天回本)。[2020/2/12]

3. 其中 EthCrossChainManager 合約的 verifyHeaderAndExecuteTx 函數是可以通過內部調用 _executeCrossChainTx 函數執行用戶指定的跨鏈交易,所以攻擊者只需要通過 verifyHeaderAndExecuteTx 函數傳入精心構造的數據來使 _executeCrossChainTx 函數執行調用 EthCrossChainData 合約的 putCurEpochConPubKeyBytes 函數以改變 keeper 角色為攻擊者指定的地址。  

金色財經訊:美國財政部擬推出國家級發證系統,旨在為跨境創業公司提供便利。[2017/10/17]

4. 替換完成 keeper 角色地址后,攻擊者即可隨意構造交易從合約中取出任意數量的資金了。

值得注意的是,本次此次被黑的金額是DeFi歷史上最大的一筆,共計超 6.1 億美元轉出至 3 個地址。受此影響 O3 Swap 跨鏈池大額資產被轉出。目前,安全團隊梳理發現,黑客初始的資金來源是門羅幣(XMR),然后在交易所里換成了 BNB/ETH/MATIC 等幣種并分別提幣到 3 個地址,不久后在 3 條鏈上發動攻擊。 結合資金流向及多項指紋信息可以發現,這很可能是一次蓄謀已久的、有組織有準備的攻擊行為。 

事件發生后,Tether 已凍結 Poly Network 攻擊者地址上的 3300 萬 USDT。截止發稿,攻擊者也回應,如果我轉移了剩余的幣,那將是十億美金級別的攻擊。我剛剛是拯救了這個項目嗎?我對金錢不太感興趣,現在考慮歸還一些代幣,或者將它們留在此處。隨后該攻擊者還稱,如果我制作一個新的代幣并讓DAO決定代幣的去向會怎樣?

隨著事件的發酵,8月11日,攻擊Poly Network的黑客在區塊高度 13001631 轉賬中又表示,已決定歸還資產,不再創建 DAO 組織。同時,在描述中,黑客自稱為傳奇。

盡管黑客已決定歸還資產,但有關DeFi安全的討論還在繼續。事實上,隨著DeFi的爆發式發展,相關安全事件頻發,跨鏈攻擊也不在少數。此前,Rari Capital就在跨鏈攻擊事件中損失1500萬美元。有分析聲音就此指出,DeFi協議之間的互操作性變得越來越復雜,相關的攻擊媒介也在增多,預計相關攻擊也會增加。

Roxe支付網絡技術VP Jesse對此指出,DeFi本來就是個黑暗森林,很多別有用心的人一直都在暗中虎視眈眈,甚至有些漏洞發現后,攻擊者只是在等更合適的機會,并不一定會急于出手,就像病的潛伏期一樣,在等更大的利益機會,未知的漏洞一定還有很多,只是還未爆發而已。

有市場聲音擔心,DeFi安全如果始終無法妥善處理,可能會打擊行業的信心。當然,另一方面可能會加快全球對行業監管。Roxe支付網絡技術VP Jesse表示,從長期看,監管是必須的,隨著區塊鏈行業的不斷成熟,各國也一定會加強監管,這也是行業成熟的標記。無監管的混亂除早期帶來的所謂自由的快感,隨后一定會被少量的各類地下組織利用,從而損害大眾的利益。雖然有時候我們不喜歡政府的監管,但這種監管帶來的正面意義要遠比負面意義大。

在此背景下,作為普通投資者,應該如何保護好自己的財產?

Roxe支付網絡技術VP Jesse指出,區塊鏈一個很大的問題就是親民性不足,未接觸過的人很難理解,從而讓區塊鏈變成一個小眾游戲。安全性上看似自己掌握自己的資產,但它卻要求每個用戶自己必須成為安全專家,隨時面對來自暗處的黑客攻擊。問題是,大眾并沒有足夠的能力去甄別和自我保護,很多時候只能依賴安全公司的審計,但這也不是100%安全的。相對傳統行業,DeFi還很年輕,很多東西還不完善,無法像政府背書的銀行一樣提供良好的安全保障。DeFi最大的優勢是去信任,但這份信任是基于代碼的,而代碼的安全大眾又無法有效甄別,而黑客攻擊來源于知識的巨大不對等性,這也造成的DeFi的安全不是一個是或否的簡單問題。對于DeFi投資者,目前只能保護好自己的私鑰,不泄露,防止丟失。另外,盡可能的識別好的項目、識別經審計的合約。

比特派也在相關微博中建議,參與DeFi要用多地址,不同DeFi、不同資產用不同地址區分開來,這樣即使某個DeFi項目有危險,也不會影響到你的其他資產。同時也要定期檢查錢包地址的授權,不頻繁操作的項目要及時收回授權。

Tags:ETHCHAAINCROSSCHAINETHA幣是真的還是假的Dopple Exchange TokenfinchainCROSSCHAIN價格

以太坊價格
區塊鏈:觀點:NFT使人性優先于利益

區塊鏈提供了一個可以使全球經濟系統從以利潤為導向重新調整為以價值為導向的機會。人類正在面臨的問題比氣候變化還要多。世界正面臨著一些我們這個時代的最大挑戰:世界饑餓、日益加劇的不平等和經濟不穩定.

1900/1/1 0:00:00
PSG:金色前哨 | 梅西接受巴黎圣日爾曼粉絲代幣PSG作為部分薪酬

據巴黎圣日爾曼俱樂部官方信息,足球明星利昂內爾·梅西在轉會到法國巴黎圣日爾曼俱樂部后的財務方案將包括以加密貨幣粉絲代幣PSG支付.

1900/1/1 0:00:00
EFI:HashKey 郝凱:解析 Aave Pro 潛在影響及 DeFi 趨勢

Aave Pro 為機構用戶參與 DeFi 提供了新的通道,但也可能隨之帶來公平性和中心化等問題。Aave 是一個去中心化、開源、非托管的借貸平臺.

1900/1/1 0:00:00
加密貨幣:金色前哨|普京簽署法令要求政府官員申報加密資產持有詳情

金色財經報道,據bitcoin.com消息,俄羅斯總統普京簽署了該國的2021-2024年國家反腐計劃.

1900/1/1 0:00:00
區塊鏈:為什么企業業務應該部署在公有鏈而不是私有鏈上?

私有鏈很像企業的私有內網,可能永遠不會消失,但它們永遠不會像公共互聯網或以太坊這樣的公有鏈那樣有意義。這主要是因為私有鏈沒有令人信服的價值主張.

1900/1/1 0:00:00
NFT:金色觀察 | 2021成NFT爆發元年:多種風格NFT即將上線

近兩年來,全球區塊鏈投融資市場火熱,無論是專業投資機構還是交易平臺均在頻繁出手。DeFi、NFT等賽道輪番掀起熱潮。進入2021年,NFT市場交易火熱,各種項目層出不窮.

1900/1/1 0:00:00
ads