發生在8月10日的PolyNetwork攻擊事件可能是史上涉及金額最大的一起網絡安全事件,超過6.1億美元的加密資產在15天內被盜并被歸還。整個Blockchain行業及所有相關方,和PolyNetwork一起經歷了這跌宕起伏的過程。目前所有涉及資產已經全部歸還用戶,系統功能已經基本恢復至事件前水平,這起事件終于可以落下帷幕。在過去的兩周我們也收到很多關于這個事件的詢問,在此希望從我們的角度以一個公開透明的方式對此次事件進行一次回顧,以警示我們銘記本次事件,同時也讓更多的人了解到整件事情的處理細節,在這次事件中我們也許做的并不完美,但是或許是一點寶貴的經驗。
發生了什么
關于事故的具體描述,多家安全機構都進行了評述:1.慢霧:PolyNetwork攻擊的分析和問答TheAnalysisandQ&AOfPolyNetworkBeingHackedKelvinfichter關于攻擊原因的分析https://twitter.com/kelvinfichter/status/1425290462076747777慢霧:PolyNetwork攻擊的總體技術陳述https://slowmist.medium.com/the-root-cause-of-poly-network-being-hacked-ec2ee1b0c68f事發當晚也是我們承受最大壓力的一晚,我們盡量做到目標明確,有條不紊解決核心問題:鎖定資產,減少社區猜測,建立溝通渠道。l嘗試與攻擊地址取得聯系;https://etherscan.io/tx/0xf6488e1efacd9c280eb91133d04ba357beca8016df8b0b0524b9a2e207b2ad7f,https://twitter.com/PolyNetwork2/status/1425123153009803267l發現漏洞,尋找漏洞修補方案,分析資產去向和攻擊者行為;https://twitter.com/PolyNetwork2/status/1425130017546149891,https://twitter.com/SlowMist_Team/status/1425197809058254849l清點受影響資產,聯系資產發行方凍結資產,減小不可控制的損失;https://twitter.com/PolyNetwork2/status/1425073987164381196l通知各交易所,關注資金出金意圖;l呼吁礦池礦工攔截攻擊者試圖洗錢的交易;https://twitter.com/PolyNetwork2/status/1425090228830842893l向用戶、社區和媒體及時傳達進展;https://twitter.com/PolyNetwork2/status/1425130017546149891最終進展如下:l通過ETH網絡與0x8a地址建立加密溝通渠道;lTether宣布凍結了相關的超3300萬USDT資產;https://twitter.com/paoloardoino/status/1425090760609832978l幣安,Okex,火幣等發布公告,會關注此事件資金流向;https://twitter.com/cz_binance/status/1425091869709570060,https://twitter.com/JayHao8/status/1425094897976193034,https://twitter.com/DujunX/status/1425100770588954626l與USDC,BSC,Polygon,Heco,wBTC,MetaMask等取得聯系;lPolyNetwork推特持續發布事件進展,減少用戶恐慌情緒,避免非屬實的流言。https://twitter.com/PolyNetwork2/status/1425309429935710208去中心化還有很長的路要走
Pudgy Penguins系列玩具在推出24小時后躍居亞馬遜排行榜第一:金色財經報道,P.M.I. Kids World的授權Pudgy Penguins系列玩具在推出24小時后就躍居亞馬遜排行榜第一,Pudgy Penguins于5月18日在Twitter上預告了該玩具系列的推出,在進入亞馬遜市場24小時后,Pudgy Samurai Action Figure已經成為該平臺上的第一大玩具,而Pudgy Penguins Huggable Plush則在競爭激烈的前十名中排名第五,其中還包括Pokémon、Barbie、Disney和Lego。[2023/5/22 15:19:16]
通過與白帽先生的溝通,雙方緩和了情緒,基本信任建立。8月11日,攻擊者宣布「準備歸還資產」。隨后PolyNetwork的收款地址部署完成,8月11日8:43:57AM+UTCPoly團隊開始回收第一批退還資產。截止到8月13日,系統收回足夠的資產以恢復部分功能,在與白帽先生確認后,項目進入了恢復重建階段,核心目標還是兩點:促成資產收回,快速系統修復。l與白帽先生確認收款流程;https://etherscan.io/tx/0x910b00b2b60b76d7c29a1855f9a1ebf204356eed22498334ddd46e46d96e06c2l向用戶承諾將收回全部資產作為首要目標;https://twitter.com/PolyNetwork2/status/1425785007486820368l修復系統漏洞,確保系統的安全性;https://github.com/polynetwork/eth-contracts/pull/12/filesl確認系統重啟計劃和籌備路線圖;https://medium.com/poly-network/poly-network-roadmap-for-the-next-phase-9f84c03c2e53?source=social.tw&_branch_match_id=549963884981436182l開放恢復資產的項目方申請通道;https://twitter.com/PolyNetwork2/status/1427233445185409026l與Tether協商凍結的USDT處理方式;l與社區保持溝通;https://twitter.com/PolyNetwork2/status/1425739339820982275最終進展如下:l回收BSC,Polygon資產;https://twitter.com/PolyNetwork2/status/1425309429935710208l建立共管賬戶;https://etherscan.io/tx/0xf391ec8d5935d4ec11efb2c8b99ba3586cb0b0f05c5e0b9c44c74a1c40386bd7l完成修復系統漏洞并公布新安全方案;https://twitter.com/PolyNetwork2/status/1426819500263890946l宣布系統重啟路線圖;https://twitter.om/PolyNetwork2/status/1426490057276280832l確認可恢復功能項目清單并支持功能恢復;https://twitter.com/PolyNetwork2/status/1427839007501680640白帽先生自己也在區塊鏈上闡述了自己此次攻擊的原因,過程和給大家的誠懇建議,我們對全文進行了記錄:https://docs.google.com/spreadsheets/d/14hMTpPNylZG6DizU3K-fpDbfYZxenI_KtbHpWkdc7VM/edit#gid=0期間,PolyNetwork團隊也在經歷著前所未有的評議與爭論,我們看到最大的爭議也同樣是白帽先生提出自己最大的顧慮-PolyNetwork的去中心化進程;在此,我們也想為此疑慮做出解釋,事實上項目已經在去中心化的路徑上探索許久,我們相信去中心化永遠是優秀的協議非常重要的一環,如果有興趣,大家可以關注下:https://github.com/polynetwork/Zion,在半年前,我們已經啟動了PolyNetwork的新版本的開發,我們希望未來通過完整的經濟模型和治理機制,來保證整個網絡的去中心化管理。因為跨鏈協議不同于單鏈項目,由于要實現不同特性鏈之間的互操作性,除了實現安全性要比單鏈更加復雜外,如何更有效的治理也是一個重要的部分,實現多元化世界的一致性,需要各個相關方進行更加高效的共識。安全就是一切
全國首個數字人民幣增信基金設立:金色財經報道,全國首個數字人民幣增信基金“廈門自貿區臺資和航運物流中小微企業融資增信基金” 正式設立,該基金操作規程從2023年1月10日起生效,2025年12月31日失效,通過新型政銀擔的合作模式,幫扶企業快速獲得融資。[2023/1/19 11:21:30]
安全一定不是一蹴而就的事,對于網絡安全,此次事件已經凝聚了全行業最直接深刻的體會。https://twitter.com/PolyNetwork2/status/14261973611774935118月15日,在確定并公布恢復計劃后,團隊開始持續推進和落實路線圖中的工作,包括在immunefi的平臺上發布了總額為50萬美金的安全賞金計劃,希望吸引全球安全機構和白帽組織為PolyNetwork的安全助力,當然這只是安全的第一步,系統恢復期內我們也:l邀請白帽先生作為PolyNetwork的首席安全顧問并提供160ETH安全賞金https://twitter.com/PolyNetwork2/status/1427574236483231749l與PeckShield、BlockSecTeam、Beosin(ChengduLianAnTech)等安全機構確認修復和重啟方案1)PeckShield:https://peckshield.medium.com/polynetwork-bug-review-and-patch-analysis-88bde84412972)BlockSecTeam:https://blocksecteam.medium.com/the-informal-security-review-of-the-patch-of-the-poly-network-1a0a532b731e3)Beosin(ChengduLianAnTech):https://beosin.medium.com/boesins-analysis-of-the-fix-code-on-poly-network-smart-contracts-a305639ea626https://medium.com/poly-network/latest-updates-aug-20-a12447c6d899https://medium.com/poly-network/latest-updates-aug-19-ed7ab8e5c2f0https://medium.com/poly-network/latest-updates-aug-17-241398d64a40同時我們也想引用白帽先生闡述的對區塊鏈安全的一些建議,我們覺得在一定程度上是中肯客觀的。https://etherscan.io/tx/0x078063e9574e1937a64b6552919b9fc0035429df1e601d79e200bf211e75f337https://etherscan.io/tx/0x42446ccc66bb48eac7bd905ae7d79708f303849802b280eb4d65770c1bfc0997我們相信協議的安全始終是重要的一環,但是我們也相信在crypto的世界里,代碼之上仍有更廣袤和豐富的存在,或許大家有著不同的價值觀和知識儲備,但是依舊可以公平的參與到這個世界建設和治理里,我們在未來想建立的不僅僅是一個安全的協議,更是一個對所有人公平透明的協議。所有的代幣都還給你了所有的故事都會有一個尾聲,很欣慰,這次的故事是一個HappyEnding。l8月19日,白帽先生歸還了Ethereum上的96,942,063個DAI。l8月22日,除wBTC和ETH資產已盡數歸還。PolyNetwork開始進行穩定幣的資產清點和復原,以協助O3Hub的功能恢復。l8月23日完成了白帽先生返回的96,942,063個DAI與USDC之間的轉換,同時將BSC上的87,557,051個BUSD轉換為USDC(BEP-20)。對于在交易中產生的滑點損耗和手續費,PolyNetwork團隊用自有資金進行補償。https://etherscan.io/tx/0x814e6a21c8eb34b62a05c1d0b14ee932873c62ef3c8575dc49bcf12004714edahttps://medium.com/poly-network/latest-updates-aug-23-7f6cca47b574l8月23日白帽先生公布了多簽錢包的私鑰。https://twitter.com/PolyNetwork2/status/1429738587046563841l8月25日,此次攻擊事件受影響的WBTC和ETH資產全部恢復。https://twitter.com/PolyNetwork2/status/1430485302527741954l同日,Tether將此前凍結的33,431,200USDT資產全數釋放至PolyNetwork接收資產的多簽錢包內。https://twitter.com/Tether_to/status/1430510652582416387l8月26日,PolyNetwork完成USDT資產的復原工作。至此,所有受此次攻擊事件影響的資產恢復完畢。https://medium.com/poly-network/poly-network-asset-recovery-complete-a7ba33c2f2e4
比特幣礦企Iris Energy因涉嫌IPO文件存在誤導性面臨股東集體訴訟:12月12日消息,一名由Robbins LLP代理的比特幣礦企Iris Energy股東發起了對Iris Energy的集體訴訟,起訴書指控Iris Energy違反了《1933年證券法》和《1934年證券法》。Robbins稱,Iris Energy此前的IPO文件存在誤導性,文件中稱其通過設備融資的方式采購比特幣礦機的做法具有可持續性,但事實是其用于抵押借款的礦機本身并沒有辦法產生足夠的現金流來償還貸款,且該批礦機的市場價值已遠低于貸款的本金。此外,Iris Energy此前發布公告稱其正在與債權人討論重組方案,導致股價大幅下跌,較IPO時價格已跌去近90%。(Globenewswire)[2022/12/12 21:39:25]
謝謝大家支持我們
這個故事到了一個尾聲,但是對于我們來說卻是下一個征程的開始,在新的征程開始之前,我們想對所有使用PolyNetwork的項目和用戶,表示誠摯的感謝和深切的歉意。很抱歉由于系統漏洞給所有用戶帶來的困擾。感謝你們對項目的信任,雖然我們有可能會失去了一部分曾經相信我們的人,但我們會用之后的行動重新建立大家對項目的信心。同時,我們也將會用我們的方式去感謝所有使用過,支持過,一起經歷過這次事件的每個人,后續具體的細則我們將在系統完全恢復后在官方渠道公布,請大家保持關注。最后我們想說,項目安全始終是PolyNetwork以及整個行業永恒的主題,希望PolyNetwork事件不僅能幫助我們建設一個更健壯的項目,還能給整個行業帶來足夠深刻和持久的警示。對于我們來說,這段經歷將成為我們永不會忘卻的記憶,它不僅僅代表了一個協議的安全,更有關對信任、權力、欲望、責任、信仰新的理解。
Kyber Network:攻擊者在9月6日前返還資金可獲得15%漏洞賞金,否則將采取下一步行動:金色財經消息,鏈上流動性協議Kyber Network發推稱,這是最后一次對攻擊者的公開聲明,團隊一直在收集所有可以追溯到攻擊者的數據和日志,并正在與合作伙伴、安全專家和執法部門合作,采取下一步行動。攻擊者若在GMT+7時間9月6日17:00(北京時間9月7日17:00)前通過中心化交易所返還資金可獲得15%漏洞賞金。
此前消息,KyberSwap于9月2日程其前端遭到攻擊,兩個地址共損失26.5萬美元,幣安安全團隊于9月3日表示已確定了兩名攻擊KyberSwap的嫌疑人。[2022/9/5 13:09:47]
數據:以太坊網絡當前已銷毀超235萬枚ETH:金色財經報道,據Ultrasound數據顯示,截止目前,以太坊網絡總共銷毀2,354,065.62枚ETH。其中,OpenSea銷毀230,048.15枚ETH,ETHtransfers銷毀219,335.64枚ETH,UniswapV2銷毀219,335.70枚。注:自以太坊倫敦升級引入EIP-1559后,以太坊網絡會根據交易需求和區塊大小動態調整每筆交易的BaseFee,而這部分的費用將直接燃燒銷毀。[2022/5/23 3:34:38]
Tags:POLPOLYWOROLYpolkawallet錢包POLYWHIRLomeganetwork幣價值polygon幣怎么挖礦
本周加密貨幣市場出現了強勁的走勢,ETH回到了2600美元的高點。DeFi代幣的交易價格也更高,基本上回到7月初的水平.
1900/1/1 0:00:00作者|秦曉峰編輯|郝方舟出品|Odaily星球日報 昨天,CryptoPunks又火了。支付巨頭Visa官宣,投資15萬美元購買CryptoPunk7610.
1900/1/1 0:00:00本文來自BlockTempo,作者LeeMichael 8月3日, FTX 交易所 再宣布一合作案.
1900/1/1 0:00:00向大容量、多應用及高速度之路——持續延伸.........自2020年9月上線至今,Serum項目已經吸引了大量關注,并建立了一個熱情洋溢、振奮人心的生態系統.
1900/1/1 0:00:00智能合約給了我們去中心化,無需信任,去信任等眾多特點,但去除人為操作之后,一旦智能合約開了天窗,那么資產有可能被黑客予取予求.
1900/1/1 0:00:00一、POS與DeFi競爭很多人都意識到,PoS和DeFi之間存在一個競爭的關系。PoS代幣可以通過Staking得到一個比較可觀的年化收益,但大家也可以通過各種不同的DeFi協議參與理財,同樣也.
1900/1/1 0:00:00