2023年7月1日,一名攻擊者利用Poly Network的漏洞,在多條鏈上增發了價值420億美元的資產。盡管發行的資產數量龐大,但因低流動性和部分項目代幣凍結,攻擊者無法從5個外部賬戶地址獲取超過1000萬美元的資產。
這是今年發生的第一起跨鏈橋攻擊事件,也是針對Poly Network發起的第二次攻擊。去年攻擊事件的總損失金額達37億美元,其中跨鏈橋攻擊損失占35%。雖然本次事件看似是有史以來涉案金額最大的漏洞攻擊事件,但黑客的實際收益要低很多。
2023年7月1日北京時間14:47,一名惡意行為者通過發起數筆跨鏈橋交易,將資產從Poly Network的Lock Proxy合約轉至攻擊者的地址。從賬面上看,攻擊者從10條鏈上獲利超420億美元價值的資產。
支付巨頭Visa加密負責人:自去年1月波場月活用戶量一直高于以太坊、Polygon、Optimism與Arbitrum之和:金色財經報道,據支付巨頭Visa公司加密負責人Cuy Sheffield在社交媒體披露數據顯示,波場在新興市場已得到廣泛采用,此外2022年1月至2023年1月期間,波場月活用戶量一直高于以太坊、Polygon、Optimism與Arbitrum月活用戶量之和。此外,Polygon、Optimism與Arbitrum三個以太坊L2鏈上穩定幣支付的活躍用戶量同比增長超500%,說明當前仍處于穩定幣支付的早期階段。[2023/2/27 12:31:41]
圖片:Poly Network 攻擊者錢包地址。來源:Debank
但其實這個數字具有誤導性。例如,攻擊者在Metis區塊鏈上持有超過340億美元的Poly-pegged BNB和BUSD,但這些代幣因缺乏流動性而無法賣出。后來Metis也在推文中確認,那些新鑄造的BNB和BUSD沒有可用的流動性,因此毫無價值。
去中心化投注協議Azuro v2現已上線Polygon:2月17日消息,去中心化投注協議Azuro v2現已上線Polygon,任何人均可賺取Azuro Score積分,這些積分將在AZUR代幣發布后予以兌換。
此前報道,2022年6月27日,去中心化投注協議Azuro完成400萬美元融資。[2023/2/17 12:13:31]
同樣,大量剩余的代幣也變得一文不值。在聽說了這一事件和攻擊者發行的代幣后,幾個項目均及時采取了刪除流動性的行動,以防止代幣傾銷和價格崩潰。例如,OpenOcean、StackOS、Revomon和NEST都取消了項目的流動性,以防止攻擊者出售。
Revomon推特
Polygon擬將近14億枚無人認領的MATIC代幣分配給團隊、基金會和質押獎勵:8月2日消息,據Polygon官方Telegram頻道公告,稱去年4月21日起解鎖的1386609632枚MATIC因無人認領,Polygon基金會將認領這些代幣。其中6.4億枚MATIC(6.40%)將分配給團隊,認領后將由聯合創始人直接質押;546,609,632枚MATIC(5.46%) 分配將給基金會,團隊將事先向社區更新基金會錢包的動向;2億枚MATIC(2%)將分配給2021年5月至2021年12月期間的質押獎勵。
此前消息,Blockworks研究員Sam發現Polygon代幣歸屬合約于9小時前釋放約14億枚MATIC,占總供應量的14%。Polygon聯創Sandeep表示,近14億枚MATIC移動與質押活動與基金會金庫計劃有關,非合約解鎖。[2022/8/2 2:53:21]
盡管420億美元的數字并不能準確反映這次事件所造成的損失,但CertiK已證實至少有1000萬美元的資產被存放在5個以太坊錢包中。
Equilibrium創始人兼CEO Alex Melikhov :Polkadot將最終提供真正的跨鏈互操作性:金色財經現場報道,在今日金色財經主辦的金色沙龍活動現場,Alex Melikhov發言指出,Polkadot被認為是DApp開發中最有希望的生態系統之一,它將最終提供真正的跨鏈互操作性。 根據波卡官網資料,目前已經超過354個區塊鏈項目加入了波卡生態系統。 但是其中只有27個是DeFi項目。
一方面,這意味著DeFi領域的新項目還有很大的空間。 而且,由于Polkadot是解決在以太坊主導下缺乏互操作性的DeFi生態最大障礙之一的尖端技術。
另一方面,Polkadot生態系統似乎已經非常多元化。 項目涉及眾多領域,包括物聯網,游戲和layer-2解決方案。Polkadot的明顯優勢是其具有開箱即用的分片能力,這也進一步推動了其擴展的巨大潛力。[2021/2/3 18:48:31]
2022年,影響跨鏈橋的安全事件導致了13億美元的經濟損失,而這13億美元僅僅是由五起事件造成的,因此跨鏈橋安全漏洞的破壞力可見一斑。保護跨鏈橋難度較高,再加上它們所具有巨大價值和各種可被利用的攻擊路徑,這些基礎設施往往是惡意行為者的首選目標。跨鏈橋由托管人、發債人、預言機等多種部分組成。由于鎖定在橋上的資金數量龐大,任何錯誤配置、漏洞或惡意利用都可導致重大損失。
動態 | Napoleon推出與CME現金結算期貨掛鉤的比特幣基金:法國資產管理公司Napoleon AM推出了一支與芝加哥商業交易所(CME)現金結算的比特幣期貨掛鉤的新基金。招股說明書顯示,“Napoleon比特幣基金”于12月6日開始交易,投資者必須居住在法國,最低買入額為10萬歐元(約合11萬美元),不能跨境交易。?(CoinDesk)[2019/12/11]
Poly Network使用“鎖定”(Lock)和“解鎖”(Unlock)函數在不同網絡之間橋接資產。用戶必須先在源鏈上“鎖定”代幣,然后才能在目標鏈上進行“解鎖”。
以下示例是基于從BSC到ETH的跨鏈轉移。
①攻擊者首先在BSC網絡上調用Lock函數,以發起少量8PAY代幣的跨鏈轉移。
圖片:攻擊者使用少量的8PAY代幣發起跨鏈轉移。來源:Etherscan
在這筆交易中,數據被指定為“0x4a14feea0bdd3d07eb6fe305938878c0cadbfa16904214e0afadad1d93704761c8550f21a53de3468ba599e80300000000000000000000000000”開頭“0x4a”四個字節代表數據長度。
②攻擊者調用了EthCrossChainManager.verifyHeaderAndExecuteTx()函數,觸發了相應的UnlockEvent“解鎖”函數。我們可以從開頭表示數據長度的4個字節看出,當前的交易數據已發生改變。
“0x14feea0bdd3d07eb6fe305938878c0cadbfa16904214e0afadad1d93704761c8550f21a53de3468ba59900e00fc80b54905e35ca0d000000000000000000000000000000000000000000“
在這筆交易中,8pay代幣的數量顯著增加。
③攻擊者按照上述步驟重復了這一過程。其中涉及57種代幣,且分布在11個不同的區塊鏈上。攻擊者從中獲利約420億美元的資產(按賬面價值計算)。
圖片:Poly Network攻擊者在以太坊上解鎖的代幣。來源: Etherscan
在以太坊網絡上,攻擊者成功將一些代幣轉換成了ETH。過程如下:
在攻擊期間,攻擊者還通過一筆交易轉移了1592枚ETH(約305萬美元),并將2240枚ETH分別轉至3個EOA外部賬戶。此外,攻擊者還獲取約301萬枚USDC和265萬枚USDT,分別兌換為1557枚和1371枚ETH。
攻擊者將剩余的部分代幣資產轉移到了新的EOA地址,并向每個地址轉移1枚ETH。(盡管他們目前尚未兌出這些代幣)。由于項目所有者為防止拋售而從代幣中移除流動性,一些代幣變得毫無價值。截至目前,攻擊者似乎只能從該事件中獲得約1000萬美元的資金。
圖片:Poly Network攻擊者將資產和數量為1的ETH轉入新的EOA地址
2022年,Web3.0生態系統經歷了跨鏈橋攻擊的毀滅性影響,Ronin Bridge、Wormhole、Nomad等項目都遭受了安全事件的影響。Poly Network事件的初期檢測結果顯示,這是Web生態系統迄今為止遭遇的最大安全事件,但由于新鑄造代幣缺乏流動性支持,損失在撰寫本文時已被控制在大約1000萬美元。目前尚無關于攻擊者如何利用Poly Network的確切共識。然而初步跡象表明,因鏈上功能運行正常,很可能是私鑰泄露或鏈下漏洞導致。
CertiK中文社區
企業專欄
閱讀更多
金色早8點
Odaily星球日報
金色財經
Block unicorn
DAOrayaki
曼昆區塊鏈法律
本月早些時候,OpenAI首席執行官奧特曼(Sam Altman)在他此次全球行的最后一站澳大利亞出席活動時.
1900/1/1 0:00:00據官方消息,Tether 發行的 USDt 已經成功通過 Kava 在 Cosmos 上推出.
1900/1/1 0:00:00作者:JIANG 摘要 DWeb Camp 有一個獨特的文化口號:JOMO (Joy Of Missing Out,錯失之樂).
1900/1/1 0:00:0001 數藏行業新玩法近期,數字藏品行業出現了一種新的獲客玩法:師父排行榜。具體玩法是數藏平臺為鼓勵拉新,創設了“師徒制”:每個新加入的用戶是“徒弟”,而邀請TA加入的則為“師父”.
1900/1/1 0:00:00比特幣是全球最大和最受歡迎的加密貨幣,但它也有一些局限性。比特幣的基礎層只能處理簡單的交易,而不能支持復雜的智能合約計算,這導致了比特幣生態系統中的創新缺乏和發展僵化.
1900/1/1 0:00:00原文作者:Chain Debrief 原文編譯:火火2022 年下半年,Layer 2 概念完全爆發.
1900/1/1 0:00:00