比特幣價格 比特幣價格
Ctrl+D 比特幣價格
ads

OLY:金色觀察|“迷途知返”的黑客與區塊鏈安全隱憂_POLY

Author:

Time:1900/1/1 0:00:00

截止到8月11日12時59分,PolyNetwork發生的O3資金池被盜事件,在持續發酵后,似乎有了最終結果。

黑客使用攻擊地址“自己給自己”發送交易,在交易附帶信息里說到“INEEDASECUREDMULTISIGWALLETFROMYOU”

隨后PolyNetwork回復:“Wearepreparingamulti-sigaddresscontrolledbyknownPolyaddresses”并在50分鐘后回復了以太坊、BSC、Polygon三條鏈的接受地址,分別為:

ETH:0x71Fb9dB587F6d47Ac8192Cd76110E05B8fd2142f

金色晨訊 | 7月7日隔夜重要動態一覽:21:00-7:00關鍵詞:以太坊、特斯拉、BlockFi

1.以太坊開發者提議在8月4日進行倫敦硬分叉的主網激活;

2.以太坊2.0質押地址余額超過620萬枚;

3.比特幣日交易量跌至2021年低點;

4.阿拉巴馬州議員Barry Moore已買入DOGE、ADA及ETH;

5.德國數字銀行N26正與加密交易所合作開發新交易功能;

6.加密貨幣金融服務公司BlockFi正在推出其比特幣獎勵信用卡;

7.特斯拉在第二季度面臨高達1億美元的比特幣減值損失;

8.杠桿基金持有的CME比特幣期貨凈空頭頭寸降至去年9月以來新低。[2021/7/7 0:32:36]

BSC:0xEEBb0c4a5017bEd8079B88F35528eF2c722b31fc

金色財經榮獲“2021區塊鏈行業卓越貢獻企業”獎項:金色財經現場報道,6月17日,第二屆中國西安區塊鏈產業發展論壇于西安舉辦,會上西安市區塊鏈技術應用協會為金色財經頒發了“2021區塊鏈行業卓越貢獻企業”獎項。[2021/6/17 23:44:35]

Polygon:0xA4b291Ed1220310d3120f515B5B7AccaecD66F17

這場漫長的溝通經歷差不多15小時,第一次嘗試溝通,PolyNetwork嘗試取得溝通,并留下了溝通郵箱。2小時后,繼續溝通表示,如果歸還資產,會因為這次發現安全漏洞給予安全獎勵。

隨后黑客在攻擊地址表示,可能會建立一個DAO決定地址中資金的流向。

PolyNetwork再次回復,建立DAO也改變不了資金被盜的事實,如果歸還資產,會為黑客提供安全賞金,并且這也會成為歷史上最大金額的“白帽”黑客事件而被銘記。

金色午報 | 6月22日午間重要動態一覽:7:00-12:00關鍵詞:數字歐元、IPFS、詹克團、Tether、Compound

1. 意大利銀行業協會有意試行數字歐元。

2. 詹克團擬以40億美元估值收購吳忌寒等人股份。

3. 凌發明:IPFS&Filecoin所承載的是數據 能解決數據存儲的問題。

4. 數據:DeFi代幣總市值突破66億美元,Compound占比超50%。

5. 景德鎮與螞蟻區塊鏈合作推動非遺陶瓷產業上鏈。

6. 摩根溪創始人:建議養老基金投資組合加入1-5%比特幣。

7. Tether對Celsius Network進行1000萬美元股權投資。

8. 分布式暗池主網RenVM交易量突破1000萬美元。[2020/6/22]

隨后便是黑客表示自己是傳奇,而將退還資產的關鍵消息的發布。

金色相對論 | 張涵橋:Filecoin的成功取決于成本與利益:在今日舉行的金色相對論之Filecoin系列特輯終集的直播中,針對“對Filecoin的預期它會是一個什么規模的項目”的問題,標準共識分析師張涵橋表示,Filecoin的成功與否,由于其體制原因,基本上與 IPFS相輔相成。然而一種新的協議的成功與否,或者說是否能達成代替http協議的愿景,更加取決于成本與利益以及一部分的需要。與我個人而言,我看好IPFS的未來,但對于IEEE而言,他們不見得會看好。不得不說,我承認IPFS的優越性, 以及現代互聯網過于集中化,依賴中心網絡或者數據安全等問題。這是個好概念。filecoin在理想狀態下對標在美股上市的Dropbox的話很可能達到十億甚至百億美元級別,但是作為財務投資人,我們要考慮的更多是成本、成本、以及成本。我們愿意為了未來買單,可是究竟要買多長時間,都算在它的估值里了。而現在我們能看到一些規模化的Filecoin礦場出現,之前看到有礦場就有十萬級別的礦機出現,這也是市場對于這個項目的初步認同。除了之前提到的成本的原因,還有存儲設備折價的問題,硬盤存儲發展速度很快,filecoin的運行機制會導致如果FIL的價格維持不住,那么必定會有大批礦工迅速破產,這個速度比比特幣礦機會快很多。所以我對這個項目態度是審慎大于樂觀。[2020/5/21]

白帽黑客指正義的黑客,區塊鏈圈很多安全公司的中流砥柱都出自白帽。

分析 | 金色盤面:BTC/USD 5分鐘突破上軌:金色盤面綜合分析:BTC/USD 5分鐘突破上軌,短線出現超買,追高有一定風險,應該逢低介入。[2018/8/16]

也許這次參與的黑客真的如其所說,對錢不感興趣。

在下午5時左右,Poly公布的Polygon地址收到了101萬枚USDC。發稿前,其他地址暫時還沒有將資產轉入。

但作為區塊鏈從業者、用戶來說,面對攻擊事件,小概率可以得到善終,大概率是會波及項目和用戶資產安全。

此次安全事件發生后,在事件的評論中,有一條極為反諷的評論“講個笑話,區塊鏈是安全的。”

外行看熱鬧,內行看門道。

區塊鏈的安全是一個相對概念,而不是一個絕對概念。

在巨額收益的引誘、加密貨幣無監管、合約設計不成熟的情況下,加密貨幣網絡中的合約漏洞被當成黑客提款機也就不足為奇了。

傳統金融領域,安全不僅僅在于軟件,更多安全保證在于流程防護。但當全部的流程通過智能合約自動執行的時候,就會出現多個漏洞。

最大的保障變成了代碼正確性和安全案例的設計實踐。

此次Poly的問題就在于黑客可以控制資金池中管理賬戶轉賬的權限,當把轉出地址換成黑客自己的地址后,只要向合約發送虛擬的數據轉出交易,那資金池的資產就會順利被轉出。

這個漏洞主要在于,因為設計了一些合約接受某些數據而執行行為的操作,但可以執行這個動作又有多個因素管理,其中有一個因素漏洞被黑客利用了,劫取了“權限”。

這類事件還要有一個理解框架。

其中分為鏈的安全和合約安全。

一條公鏈,首先要保證鏈的安全,即總帳本的安全、交易打包的安全。然后是合約執行的安全。

軟件的安全依賴開發者代碼的成熟性,正所謂沒有絕對安全的系統,只有良莠不齊的開發者。

鏈的安全是指鏈上的共識算法設計、基礎協議的編寫不能有漏洞,其次是基礎協議執行的合約沒有問題,例如在以太坊上發型代幣,其合約是一個基礎流程,但如果合約漏洞里有明顯的增發漏洞,那極有可能被利用增發代幣。

鏈的安全,主要是共識來保證,比特幣使用中本聰共識,以太坊使用Ethash,波卡使用NPOS。其保證的是總帳本不能篡改。合約安全就只能考究其設計問題和編碼成熟度了。

所以合約設計者和開發者要嚴格設計合約,要檢查合約的設計漏洞,代碼編寫漏洞,設計邏輯,以及在業務場景里可能出現的問題。

在這里,我們還是再次通過合約審計的思路,來為大家提供理解合約安全的思路。

安全審計團隊拿到審計需求后,會先用團隊內部的安全審計工具過一遍,不過工具是一個輔助,然后進行人工審計,這個流程會按照審計列表將常規漏洞點審計一遍。

然后進行業務上的審計,其中包含什么業務場景、業務規模、業務邏輯。然后業務的描述如何,看代碼里是否有和描述功能不一致,是否會被薅羊毛,代幣是否有被鎖,權限設置錯誤問題,是否會增發或無限鑄幣等等。

但這些流程進行完畢后,上文講到,代碼的安全要看代碼編寫成熟度,而不同開發者因為其驚艷,對合約的判斷也不同,再加上智能合約的特殊性和DeFi業務邏輯復雜性,代碼審計必須要進行交叉審計,相互審查的。

就像Poly的以太坊合約問題,其在該合約后續的流程上是沒問題的,但在黑客看來,通過合約流程前面的一些數據偽造,就控制了其合約轉出的權限。也是一種迂回擊破的方式了。

或者因為Poly是一個跨鏈系統,出問題的部分可以稱為跨鏈合約交互部分,這也代表著跨鏈案例的實踐,要邏輯更為嚴密。

從智能合約的設計來看,絕大部分DeFi合約出問題都出在資產轉移、價格計算和權限控制上,因此這些方面開發者需要入手向上延展,并找到這條路徑上可能存在的薄弱環節加以防范。

Poly此次是萬幸的,黑客可以歸還資產,盡管目前歸還了一小部分,我們還在等待更多的資產轉賬。筆者從Poly處獲取的消息是,目前合約已經在升級,最優先級的目標是追回用戶資產,其他的細節會后續公布。

從黑客公布的消息看,似乎黑客已經接受了Poly提出的安全賞金,也希望在這場博弈里,雙方可以快速結束相互的拉扯。就像Poly說的,讓這一次安全事件,成為歷史上最大的白帽黑客事件。

Tags:OLYPOLYPOLFILPolymath Networkpolygon幣最新消息Polylastic紅杉資本退出fil幣

比特幣交易
加密貨幣:金色早報 | 美IRS在本財年查封12億美元的加密貨幣_狗狗幣今日最新價格比特幣

頭條 ▌美IRS在本財年查封12億美元的加密貨幣美國國稅局網絡犯罪主管賈羅德·庫普曼表示:“在2019財年,我們截獲了價值約70萬美元的加密貨幣,2020年財年,這一數字達到1.37億美元.

1900/1/1 0:00:00
NFT:晚間必讀5篇 | NFT市場火熱 多家企業試水NFT數字商品_Aryacoin

1.5.6萬臺礦機陷入“羅生門”:億邦國際實名舉報華鐵應急8月8日,美股上市公司億邦國際(EBON.US)在杭州舉行新聞發布會.

1900/1/1 0:00:00
區塊鏈:海南省推動區塊鏈財政電子票據管理工作_人工智能

隨著經濟社會的發展,商事主體激增,活動頻繁,發票需求量增長,尤其線上電商經濟快速崛起、線下非現金支付基本全覆蓋的情況下,傳統發票服務體系面臨嚴峻考驗。于消費者而言,紙質發票索票難、保管難.

1900/1/1 0:00:00
加密貨幣:金色前哨 | 梅西接受巴黎圣日爾曼粉絲代幣PSG作為部分薪酬_區塊鏈技術通俗講解無中介

據巴黎圣日爾曼俱樂部官方信息,足球明星利昂內爾·梅西在轉會到法國巴黎圣日爾曼俱樂部后的財務方案將包括以加密貨幣粉絲代幣PSG支付.

1900/1/1 0:00:00
比特幣:金色前哨 | 比特幣突破4萬美元 區塊鏈概念股走強_杭州女子花300萬買比特幣暴漲

8月6日數據顯示,比特幣突破4萬美元關口。隨著以太坊主網完成倫敦升級,ETH價格出現顯著上漲,突破2700美元。與此同時,區塊鏈多個概念板塊也呈現上漲趨勢.

1900/1/1 0:00:00
區塊鏈:金色觀察 | 民生銀行區塊鏈產品有什么?_比特幣

2021年8月3日,民生銀行信息科技部相關負責人對外表示,目前,民生銀行已打造了“區塊鏈開放服務平臺”“區塊鏈貿易金融平臺”“區塊鏈電子存證服務平臺”三大平臺.

1900/1/1 0:00:00
ads