區塊鏈:金色觀察｜“迷途知返”的黑客與區塊鏈安全隱憂_POL

截止到8月11日12時59分，Poly Network發生的O3資金池被盜事件，在持續發酵后，似乎有了最終結果。

黑客使用攻擊地址“自己給自己”發送交易，在交易附帶信息里說到“I NEED A SECURED MULTISIG WALLET FROM YOU”

隨后Poly Network回復：“We are preparing a multi-sig address controlled by known Poly addresses”并在50分鐘后回復了以太坊、BSC、Polygon三條鏈的接受地址，分別為：

金色財經挖礦數據播報：ETH今日全網算力下降2.12%:金色財經報道，據蜘蛛礦池數據顯示：

BTC全網算力170.555EH/s，挖礦難度23.14T，目前區塊高度678833，理論收益0.00000580/T/天。

ETH全網算力513.021TH/s，挖礦難度6801.42T，目前區塊高度12222220，理論收益0.00393911/100MH/天。

BSV全網算力0.679EH/s，挖礦難度0.09T，目前區塊高度682500，理論收益0.00132526/T/天。

BCH全網算力1.923EH/s，挖礦難度0.25，目前區塊高度682918，理論收益0.00046802/T/天。[2021/4/12 20:09:36]

ETH: 0x71Fb9dB587F6d47Ac8192Cd76110E05B8fd2142f

金色熱搜榜：ITC居于榜首:根據金色財經排行榜數據顯示，過去24小時內，ITC搜索量高居榜首。具體前五名單如下：ITC、BTM、SNX、OK、MXC。[2021/1/1 16:13:42]

BSC: 0xEEBb0c4a5017bEd8079B88F35528eF2c722b31fc

Polygon: 0xA4b291Ed1220310d3120f515B5B7AccaecD66F17

這場漫長的溝通經歷差不多15小時，第一次嘗試溝通，Poly Network嘗試取得溝通，并留下了溝通郵箱。2小時后，繼續溝通表示，如果歸還資產，會因為這次發現安全漏洞給予安全獎勵。

隨后黑客在攻擊地址表示，可能會建立一個DAO決定地址中資金的流向。

金色熱搜榜：MANA居于榜首:根據金色財經排行榜數據顯示，過去24小時內，MANA搜索量高居榜首。具體前五名單如下：MANA、WAN、BTS、BOX、BHD。[2020/11/25 22:06:27]

Poly Network再次回復，建立DAO也改變不了資金被盜的事實，如果歸還資產，會為黑客提供安全賞金，并且這也會成為歷史上最大金額的“白帽”黑客事件而被銘記。

隨后便是黑客表示自己是傳奇，而將退還資產的關鍵消息的發布。

白帽黑客指正義的黑客，區塊鏈圈很多安全公司的中流砥柱都出自白帽。

也許這次參與的黑客真的如其所說，對錢不感興趣。

在下午5時左右，Poly公布的Polygon地址收到了101萬枚USDC。發稿前，其他地址暫時還沒有將資產轉入。

金色財經獨家分析 SBI全球布局區塊鏈產業:金色財經獨家分析，SBI出資上千萬美元收購臺灣區塊鏈相關企業OwlTing20%股份，日本金融巨頭SBI集團正在區塊鏈領域正在大步向前，旗下子公司區塊鏈相關項目不斷。之前位于俄羅斯的商業銀行SBI Bank LLC是日本金融巨頭SBI集團的子公司，該銀行現已加入位于紐約的銀行業區塊鏈聯盟R3。日本SBI Sumishin網絡銀行稱將會開發概念證明（POC，proog-of-concept），旨在和野村綜合研究所（NRI，Nomura Research Institute）探索區塊鏈銀行的應用。日本投資集團SBI金融科技子公司SBI Cosmoney年初宣布與韓國比特幣交易所Coinplug聯合創辦匯款合資公司。可以看到這家日本財團，用旗下子公司在全球部署區塊鏈項目，涉及到的區塊鏈產業從底層技術到交易所，另外除了和交易所合作外，有報道稱日本的SBI集團將于2018年4月26日，計劃今年夏天推出自己的加密貨幣交易所。可見SBI對于區塊鏈產業的決心，對比國內大型企業同樣在搶占區塊鏈產業的產業鏈上下游，各家大企業都不愿錯失區塊鏈這一“大蛋糕”。[2018/5/10]

但作為區塊鏈從業者、用戶來說，面對攻擊事件，小概率可以得到善終，大概率是會波及項目和用戶資產安全。

金色財經現場報道，Bob：區塊鏈解決了歐洲初創企業融資難的問題:在2018年世界數字資產峰會（WDAS）暨FBG年會上，大會邀請來自歐洲各地的企業項目前來針對區塊鏈在歐洲的現狀進行探討。來自FBG Capital的Bob表示，曾經柏林雖然有著大量的人才，但是初創企業很難在其中做大做強，原因在于柏林的人才雖然多，但是融資卻非常的難，而區塊鏈的出現卻解決了這個問題，通過代幣來進行融資，解決了初創企業在柏林及歐洲所遇到的融資難題。[2018/5/3]

此次安全事件發生后，在事件的評論中，有一條極為反諷的評論“講個笑話，區塊鏈是安全的。”

外行看熱鬧，內行看門道。

區塊鏈的安全是一個相對概念，而不是一個絕對概念。

在巨額收益的引誘、加密貨幣無監管、合約設計不成熟的情況下，加密貨幣網絡中的合約漏洞被當成黑客提款機也就不足為奇了。

傳統金融領域，安全不僅僅在于軟件，更多安全保證在于流程防護。但當全部的流程通過智能合約自動執行的時候，就會出現多個漏洞。

最大的保障變成了代碼正確性和安全案例的設計實踐。

此次Poly的問題就在于黑客可以控制資金池中管理賬戶轉賬的權限，當把轉出地址換成黑客自己的地址后，只要向合約發送虛擬的數據轉出交易，那資金池的資產就會順利被轉出。

這個漏洞主要在于，因為設計了一些合約接受某些數據而執行行為的操作，但可以執行這個動作又有多個因素管理，其中有一個因素漏洞被黑客利用了，劫取了“權限”。

這類事件還要有一個理解框架。

其中分為鏈的安全和合約安全。

一條公鏈，首先要保證鏈的安全，即總帳本的安全、交易打包的安全。然后是合約執行的安全。

軟件的安全依賴開發者代碼的成熟性，正所謂沒有絕對安全的系統，只有良莠不齊的開發者。

鏈的安全是指鏈上的共識算法設計、基礎協議的編寫不能有漏洞，其次是基礎協議執行的合約沒有問題，例如在以太坊上發型代幣，其合約是一個基礎流程，但如果合約漏洞里有明顯的增發漏洞，那極有可能被利用增發代幣。

鏈的安全，主要是共識來保證，比特幣使用中本聰共識，以太坊使用Ethash，波卡使用NPOS。其保證的是總帳本不能篡改。合約安全就只能考究其設計問題和編碼成熟度了。

所以合約設計者和開發者要嚴格設計合約，要檢查合約的設計漏洞，代碼編寫漏洞，設計邏輯，以及在業務場景里可能出現的問題。

在這里，我們還是再次通過合約審計的思路，來為大家提供理解合約安全的思路。

安全審計團隊拿到審計需求后，會先用團隊內部的安全審計工具過一遍，不過工具是一個輔助，然后進行人工審計，這個流程會按照審計列表將常規漏洞點審計一遍。

然后進行業務上的審計，其中包含什么業務場景、業務規模、業務邏輯。然后業務的描述如何，看代碼里是否有和描述功能不一致，是否會被薅羊毛，代幣是否有被鎖，權限設置錯誤問題，是否會增發或無限鑄幣等等。

但這些流程進行完畢后，上文講到，代碼的安全要看代碼編寫成熟度，而不同開發者因為其經驗，對合約的判斷也不同，再加上智能合約的特殊性和DeFi業務邏輯復雜性，代碼審計必須要進行交叉審計，相互審查的。

就像Poly的以太坊合約問題，其在該合約后續的流程上是沒問題的，但在黑客看來，通過合約流程前面的一些數據偽造，就控制了其合約轉出的權限。也是一種迂回擊破的方式了。

或者因為Poly是一個跨鏈系統，出問題的部分可以稱為跨鏈合約交互部分，這也代表著跨鏈案例的實踐，要邏輯更為嚴密。

從智能合約的設計來看，絕大部分DeFi合約出問題都出在資產轉移、價格計算和權限控制上，因此這些方面開發者需要入手向上延展，并找到這條路徑上可能存在的薄弱環節加以防范。

Poly此次是萬幸的，黑客可以歸還資產，盡管目前歸還了一小部分，我們還在等待更多的資產轉賬。筆者從Poly處獲取的消息是，目前合約已經在升級，最優先級的目標是追回用戶資產，其他的細節會后續公布。

從黑客公布的消息看，似乎黑客已經接受了Poly提出的安全賞金，也希望在這場博弈里，雙方可以快速結束相互的拉扯。就像Poly說的，讓這一次安全事件，成為歷史上最大的白帽黑客事件。

Tags：區塊鏈POLYOLYPOL區塊鏈工程專業學什么女生好Polylasticpolygon幣polkawallet錢包創建教程

以太坊交易