比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads
首頁 > 幣贏 > Info

OLY:金色觀察|“迷途知返”的黑客與區塊鏈安全隱憂

Author:

Time:1900/1/1 0:00:00

截止到8月11日12時59分,Poly Network發生的O3資金池被盜事件,在持續發酵后,似乎有了最終結果。

黑客使用攻擊地址“自己給自己”發送交易,在交易附帶信息里說到“I NEED A SECURED MULTISIG WALLET FROM YOU”

隨后Poly Network回復:“We are preparing a multi-sig address controlled by known Poly addresses”并在50分鐘后回復了以太坊、BSC、Polygon三條鏈的接受地址,分別為:

金色晨訊 | 5月25日隔夜重要動態一覽:21:00-7:00關鍵詞:對沖基金、AutoShark Finance、Chia、英國

1.對沖基金One River向SEC申請創建碳中和的比特幣ETF;

2.21世紀經濟網:打擊比特幣炒作,讓金融回歸服務實體經濟本質;

3.高盛前執行董事:加密貨幣市場將實現100到200倍的增長;

4.Marathon計劃在得克薩斯州的設施將容納73,000個比特幣礦機;

5.BSC鏈上DeFi協議AutoShark Finance遭閃電貸攻擊;

6.區塊鏈初創企業奇亞Chia估值5億美元,計劃進行IPO;

7.美聯儲博斯蒂克:加密貨幣、數字貨幣是美聯儲不能忽視的領域;

8.英國央行行長:加密貨幣資產是危險的,市場對加密貨幣具備很大的熱情。[2021/5/25 22:40:42]

ETH: 0x71Fb9dB587F6d47Ac8192Cd76110E05B8fd2142f

金色午報 | 8月2日午間重要動態一覽:12:00-21:00關鍵詞:三星、Connext、Uniswap、重慶

1. 三星SDS和IT公司NHN合作進行區塊鏈數字化轉型;

2. Connext部署兼容以太坊Layer2的即時跨鏈通信功能Spacefold;

3. 數據:ETH盈利地址數量刷新歷史新高;

4. Bitcoin Advisory創始人:不少山寨幣交易員將BTC當作儲備貨幣;

5. 區塊鏈游戲分銷平臺Ultra完成協議開發,即將進行公測;

6. Uniswap過去12個月美國谷歌趨勢指數達到峰值100;

7. 運用公證區塊鏈的破產案件智慧操作平臺落戶重慶;

8. 報告:以太坊2.0和EIP-1559將推動ETH長期價值增長;

9. BTC現報11996.7美元,市值前十幣種均出現上漲;[2020/8/2]

BSC: 0xEEBb0c4a5017bEd8079B88F35528eF2c722b31fc

金色相對論 | 歐陽默:RockTree LEX正在與美國政府和美國證券交易委員會(SEC)合作,制定和加密貨幣相關的新規則和政策:在今日舉行的金色相對論中,關于“美國政府對于加密貨幣和LIBRA的觀點是怎樣的”的問題,石木資本、RockTree Lex董事長,美國國會加密貨幣研究小組成員歐陽默表示,對于區塊鏈和加密貨幣而言,那是值得紀念的一周。我們參與了參議院和國會舉行的公開和閉門會議,LIBRA負責人David Marcus很好的回答了參議院和國會提出的問題。在閉門會議中,我和國會成員交談時,他們說他們意識到Libra與他們在加密貨幣方面的立場不同。最近由于隱私問題,美國政府中的很多人都不喜歡Facebook,但是他們支持加密貨幣。所以,目前RockTree LEX正在與美國政府和美國證券交易委員會(SEC)合作,制定和加密貨幣相關的新規則和政策。例如,一項新的有關于實用型代幣在美國發行的“安全港”規定。[2019/8/15]

Polygon: 0xA4b291Ed1220310d3120f515B5B7AccaecD66F17

動態 | 金色財經“2018年度最具實力投資機構”正式揭曉:1月22日,由金色財經主辦,數動派、TokenInsight協辦的“共識無界”金色財經2018年度風云榜——“2018年度最具實力投資機構”正式揭曉,入榜機構有: 經緯中國、分布式資本、節點資本、IDG資本、真格基金、丹華資本、了得資本、Pantera Capital、INBlockchain、FBG資本。[2019/1/22]

這場漫長的溝通經歷差不多15小時,第一次嘗試溝通,Poly Network嘗試取得溝通,并留下了溝通郵箱。2小時后,繼續溝通表示,如果歸還資產,會因為這次發現安全漏洞給予安全獎勵。

隨后黑客在攻擊地址表示,可能會建立一個DAO決定地址中資金的流向。

Poly Network再次回復,建立DAO也改變不了資金被盜的事實,如果歸還資產,會為黑客提供安全賞金,并且這也會成為歷史上最大金額的“白帽”黑客事件而被銘記。

金色財經現場報道 薩摩亞獨立國前國會議長Schmidt laauli:薩摩亞擁抱區塊鏈:金色財經現場報道,在全球區塊鏈世界巡回高峰會議大灣區站, 薩摩亞獨立國前國會議長Schmidt laauli在致辭中指出,對于區塊鏈技術,薩摩亞歡迎各公司前來投資,薩摩亞已經與部分公司展開合作,共同促進薩摩亞經濟得到更好的發展,政府也會對薩摩亞投資的企業提供更多的支持,也希望區塊鏈峰會在薩摩亞召開。[2018/4/23]

隨后便是黑客表示自己是傳奇,而將退還資產的關鍵消息的發布。

白帽黑客指正義的黑客,區塊鏈圈很多安全公司的中流砥柱都出自白帽。

也許這次參與的黑客真的如其所說,對錢不感興趣。

在下午5時左右,Poly公布的Polygon地址收到了101萬枚USDC。發稿前,其他地址暫時還沒有將資產轉入。

但作為區塊鏈從業者、用戶來說,面對攻擊事件,小概率可以得到善終,大概率是會波及項目和用戶資產安全。

此次安全事件發生后,在事件的評論中,有一條極為反諷的評論“講個笑話,區塊鏈是安全的。”

外行看熱鬧,內行看門道。

區塊鏈的安全是一個相對概念,而不是一個絕對概念。

在巨額收益的引誘、加密貨幣無監管、合約設計不成熟的情況下,加密貨幣網絡中的合約漏洞被當成黑客提款機也就不足為奇了。

傳統金融領域,安全不僅僅在于軟件,更多安全保證在于流程防護。但當全部的流程通過智能合約自動執行的時候,就會出現多個漏洞。

最大的保障變成了代碼正確性和安全案例的設計實踐。

此次Poly的問題就在于黑客可以控制資金池中管理賬戶轉賬的權限,當把轉出地址換成黑客自己的地址后,只要向合約發送虛擬的數據轉出交易,那資金池的資產就會順利被轉出。

這個漏洞主要在于,因為設計了一些合約接受某些數據而執行行為的操作,但可以執行這個動作又有多個因素管理,其中有一個因素漏洞被黑客利用了,劫取了“權限”。

這類事件還要有一個理解框架。

其中分為鏈的安全和合約安全。

一條公鏈,首先要保證鏈的安全,即總帳本的安全、交易打包的安全。然后是合約執行的安全。

軟件的安全依賴開發者代碼的成熟性,正所謂沒有絕對安全的系統,只有良莠不齊的開發者。

鏈的安全是指鏈上的共識算法設計、基礎協議的編寫不能有漏洞,其次是基礎協議執行的合約沒有問題,例如在以太坊上發型代幣,其合約是一個基礎流程,但如果合約漏洞里有明顯的增發漏洞,那極有可能被利用增發代幣。

鏈的安全,主要是共識來保證,比特幣使用中本聰共識,以太坊使用Ethash,波卡使用NPOS。其保證的是總帳本不能篡改。合約安全就只能考究其設計問題和編碼成熟度了。

所以合約設計者和開發者要嚴格設計合約,要檢查合約的設計漏洞,代碼編寫漏洞,設計邏輯,以及在業務場景里可能出現的問題。

在這里,我們還是再次通過合約審計的思路,來為大家提供理解合約安全的思路。

安全審計團隊拿到審計需求后,會先用團隊內部的安全審計工具過一遍,不過工具是一個輔助,然后進行人工審計,這個流程會按照審計列表將常規漏洞點審計一遍。

然后進行業務上的審計,其中包含什么業務場景、業務規模、業務邏輯。然后業務的描述如何,看代碼里是否有和描述功能不一致,是否會被薅羊毛,代幣是否有被鎖,權限設置錯誤問題,是否會增發或無限鑄幣等等。

但這些流程進行完畢后,上文講到,代碼的安全要看代碼編寫成熟度,而不同開發者因為其經驗,對合約的判斷也不同,再加上智能合約的特殊性和DeFi業務邏輯復雜性,代碼審計必須要進行交叉審計,相互審查的。

就像Poly的以太坊合約問題,其在該合約后續的流程上是沒問題的,但在黑客看來,通過合約流程前面的一些數據偽造,就控制了其合約轉出的權限。也是一種迂回擊破的方式了。

或者因為Poly是一個跨鏈系統,出問題的部分可以稱為跨鏈合約交互部分,這也代表著跨鏈案例的實踐,要邏輯更為嚴密。

從智能合約的設計來看,絕大部分DeFi合約出問題都出在資產轉移、價格計算和權限控制上,因此這些方面開發者需要入手向上延展,并找到這條路徑上可能存在的薄弱環節加以防范。

Poly此次是萬幸的,黑客可以歸還資產,盡管目前歸還了一小部分,我們還在等待更多的資產轉賬。筆者從Poly處獲取的消息是,目前合約已經在升級,最優先級的目標是追回用戶資產,其他的細節會后續公布。

從黑客公布的消息看,似乎黑客已經接受了Poly提出的安全賞金,也希望在這場博弈里,雙方可以快速結束相互的拉扯。就像Poly說的,讓這一次安全事件,成為歷史上最大的白帽黑客事件。

Tags:OLYPOLYPOL加密貨幣OlyseumPolyQuitypoly幣前景加密貨幣是什么意思哪里最流行

幣贏
FTX:這是一個“鏈”愛的季節 TME數字藏品 當音樂遇見NFT

人們都說,音樂和愛一樣 是能夠穿越時光的寶藏 從口耳相傳到工尺記譜 從黑膠唱片到CD光盤 音樂的載體不斷更迭變遷 能夠穿越時光卻始終不變的是我們對音樂的熱愛與赤誠互聯網浪潮下.

1900/1/1 0:00:00
HAI:公鏈大戰迎來中場休息?NA(Nirvana) Chain探索出一條社區雙治理機制嶄露鋒芒

區塊鏈的高速發展帶動了加密貨幣投資興起及爆發,各大公鏈也開始涉及到整合資源的不同方向,在龐大的商業帝國中可供加密經濟發揮的領域實在太多,貿易、支付、電商、通信等都成為肆意改革的風口.

1900/1/1 0:00:00
數字人:數字人民幣銀銀合作以及平臺接入的模式分析

前不久,民生銀行在其手機銀行App加入了“數字人民幣”入口,用戶可通過該入口實現數字人民幣錢包的開立.

1900/1/1 0:00:00
元宇宙:“搶灘”元宇宙:不只Facebook和騰訊

Facebook創始人兼首席執行官馬克·扎克伯格在2021年6月底表示,該公司的未來規劃遠不止是社交媒體,而是筑造一個元宇宙.

1900/1/1 0:00:00
NBS:Vitalik Buterin:超越代幣投票的治理

原文: Moving beyond coin voting governance過去一年,區塊鏈領域的一個重要趨勢是,從關注去中心化的金融(DeFi)過渡到同時思考去中心化的治理(DeGov).

1900/1/1 0:00:00
ATO:波卡的跨鏈是如何實現的?

“波卡知識圖譜”是我們針對波卡從零到一的入門級文章,我們嘗試從波卡最基礎的部分講起,為大家提供全方位了解波卡的內容,當然這是一項巨大的工程,也充滿了挑戰.

1900/1/1 0:00:00
ads