OLY:金色觀察｜“迷途知返”的黑客與區塊鏈安全隱憂_POLY

截止到8月11日12時59分，PolyNetwork發生的O3資金池被盜事件，在持續發酵后，似乎有了最終結果。

黑客使用攻擊地址“自己給自己”發送交易，在交易附帶信息里說到“INEEDASECUREDMULTISIGWALLETFROMYOU”

隨后PolyNetwork回復：“Wearepreparingamulti-sigaddresscontrolledbyknownPolyaddresses”并在50分鐘后回復了以太坊、BSC、Polygon三條鏈的接受地址，分別為：

ETH:0x71Fb9dB587F6d47Ac8192Cd76110E05B8fd2142f

金色晨訊 | 7月7日隔夜重要動態一覽:21:00-7:00關鍵詞：以太坊、特斯拉、BlockFi

1.以太坊開發者提議在8月4日進行倫敦硬分叉的主網激活；

2.以太坊2.0質押地址余額超過620萬枚；

3.比特幣日交易量跌至2021年低點；

4.阿拉巴馬州議員Barry Moore已買入DOGE、ADA及ETH；

5.德國數字銀行N26正與加密交易所合作開發新交易功能；

6.加密貨幣金融服務公司BlockFi正在推出其比特幣獎勵信用卡；

7.特斯拉在第二季度面臨高達1億美元的比特幣減值損失；

8.杠桿基金持有的CME比特幣期貨凈空頭頭寸降至去年9月以來新低。[2021/7/7 0:32:36]

BSC:0xEEBb0c4a5017bEd8079B88F35528eF2c722b31fc

金色財經榮獲“2021區塊鏈行業卓越貢獻企業”獎項:金色財經現場報道，6月17日，第二屆中國西安區塊鏈產業發展論壇于西安舉辦，會上西安市區塊鏈技術應用協會為金色財經頒發了“2021區塊鏈行業卓越貢獻企業”獎項。[2021/6/17 23:44:35]

Polygon:0xA4b291Ed1220310d3120f515B5B7AccaecD66F17

這場漫長的溝通經歷差不多15小時，第一次嘗試溝通，PolyNetwork嘗試取得溝通，并留下了溝通郵箱。2小時后，繼續溝通表示，如果歸還資產，會因為這次發現安全漏洞給予安全獎勵。

隨后黑客在攻擊地址表示，可能會建立一個DAO決定地址中資金的流向。

PolyNetwork再次回復，建立DAO也改變不了資金被盜的事實，如果歸還資產，會為黑客提供安全賞金，并且這也會成為歷史上最大金額的“白帽”黑客事件而被銘記。

金色午報 | 6月22日午間重要動態一覽:7:00-12:00關鍵詞：數字歐元、IPFS、詹克團、Tether、Compound

1. 意大利銀行業協會有意試行數字歐元。

2. 詹克團擬以40億美元估值收購吳忌寒等人股份。

3. 凌發明：IPFS&Filecoin所承載的是數據 能解決數據存儲的問題。

4. 數據：DeFi代幣總市值突破66億美元，Compound占比超50%。

5. 景德鎮與螞蟻區塊鏈合作推動非遺陶瓷產業上鏈。

6. 摩根溪創始人：建議養老基金投資組合加入1-5％比特幣。

7. Tether對Celsius Network進行1000萬美元股權投資。

8. 分布式暗池主網RenVM交易量突破1000萬美元。[2020/6/22]

隨后便是黑客表示自己是傳奇，而將退還資產的關鍵消息的發布。

金色相對論 | 張涵橋：Filecoin的成功取決于成本與利益:在今日舉行的金色相對論之Filecoin系列特輯終集的直播中，針對“對Filecoin的預期它會是一個什么規模的項目”的問題，標準共識分析師張涵橋表示，Filecoin的成功與否，由于其體制原因，基本上與 IPFS相輔相成。然而一種新的協議的成功與否，或者說是否能達成代替http協議的愿景，更加取決于成本與利益以及一部分的需要。與我個人而言，我看好IPFS的未來，但對于IEEE而言，他們不見得會看好。不得不說，我承認IPFS的優越性， 以及現代互聯網過于集中化，依賴中心網絡或者數據安全等問題。這是個好概念。filecoin在理想狀態下對標在美股上市的Dropbox的話很可能達到十億甚至百億美元級別，但是作為財務投資人，我們要考慮的更多是成本、成本、以及成本。我們愿意為了未來買單，可是究竟要買多長時間，都算在它的估值里了。而現在我們能看到一些規模化的Filecoin礦場出現，之前看到有礦場就有十萬級別的礦機出現，這也是市場對于這個項目的初步認同。除了之前提到的成本的原因，還有存儲設備折價的問題，硬盤存儲發展速度很快，filecoin的運行機制會導致如果FIL的價格維持不住，那么必定會有大批礦工迅速破產，這個速度比比特幣礦機會快很多。所以我對這個項目態度是審慎大于樂觀。[2020/5/21]

白帽黑客指正義的黑客，區塊鏈圈很多安全公司的中流砥柱都出自白帽。

分析 | 金色盤面：BTC/USD 5分鐘突破上軌:金色盤面綜合分析：BTC/USD 5分鐘突破上軌，短線出現超買，追高有一定風險，應該逢低介入。[2018/8/16]

也許這次參與的黑客真的如其所說，對錢不感興趣。

在下午5時左右，Poly公布的Polygon地址收到了101萬枚USDC。發稿前，其他地址暫時還沒有將資產轉入。

但作為區塊鏈從業者、用戶來說，面對攻擊事件，小概率可以得到善終，大概率是會波及項目和用戶資產安全。

此次安全事件發生后，在事件的評論中，有一條極為反諷的評論“講個笑話，區塊鏈是安全的。”

外行看熱鬧，內行看門道。

區塊鏈的安全是一個相對概念，而不是一個絕對概念。

在巨額收益的引誘、加密貨幣無監管、合約設計不成熟的情況下，加密貨幣網絡中的合約漏洞被當成黑客提款機也就不足為奇了。

傳統金融領域，安全不僅僅在于軟件，更多安全保證在于流程防護。但當全部的流程通過智能合約自動執行的時候，就會出現多個漏洞。

最大的保障變成了代碼正確性和安全案例的設計實踐。

此次Poly的問題就在于黑客可以控制資金池中管理賬戶轉賬的權限，當把轉出地址換成黑客自己的地址后，只要向合約發送虛擬的數據轉出交易，那資金池的資產就會順利被轉出。

這個漏洞主要在于，因為設計了一些合約接受某些數據而執行行為的操作，但可以執行這個動作又有多個因素管理，其中有一個因素漏洞被黑客利用了，劫取了“權限”。

這類事件還要有一個理解框架。

其中分為鏈的安全和合約安全。

一條公鏈，首先要保證鏈的安全，即總帳本的安全、交易打包的安全。然后是合約執行的安全。

軟件的安全依賴開發者代碼的成熟性，正所謂沒有絕對安全的系統，只有良莠不齊的開發者。

鏈的安全是指鏈上的共識算法設計、基礎協議的編寫不能有漏洞，其次是基礎協議執行的合約沒有問題，例如在以太坊上發型代幣，其合約是一個基礎流程，但如果合約漏洞里有明顯的增發漏洞，那極有可能被利用增發代幣。

鏈的安全，主要是共識來保證，比特幣使用中本聰共識，以太坊使用Ethash，波卡使用NPOS。其保證的是總帳本不能篡改。合約安全就只能考究其設計問題和編碼成熟度了。

所以合約設計者和開發者要嚴格設計合約，要檢查合約的設計漏洞，代碼編寫漏洞，設計邏輯，以及在業務場景里可能出現的問題。

在這里，我們還是再次通過合約審計的思路，來為大家提供理解合約安全的思路。

安全審計團隊拿到審計需求后，會先用團隊內部的安全審計工具過一遍，不過工具是一個輔助，然后進行人工審計，這個流程會按照審計列表將常規漏洞點審計一遍。

然后進行業務上的審計，其中包含什么業務場景、業務規模、業務邏輯。然后業務的描述如何，看代碼里是否有和描述功能不一致，是否會被薅羊毛，代幣是否有被鎖，權限設置錯誤問題，是否會增發或無限鑄幣等等。

但這些流程進行完畢后，上文講到，代碼的安全要看代碼編寫成熟度，而不同開發者因為其驚艷，對合約的判斷也不同，再加上智能合約的特殊性和DeFi業務邏輯復雜性，代碼審計必須要進行交叉審計，相互審查的。

就像Poly的以太坊合約問題，其在該合約后續的流程上是沒問題的，但在黑客看來，通過合約流程前面的一些數據偽造，就控制了其合約轉出的權限。也是一種迂回擊破的方式了。

或者因為Poly是一個跨鏈系統，出問題的部分可以稱為跨鏈合約交互部分，這也代表著跨鏈案例的實踐，要邏輯更為嚴密。

從智能合約的設計來看，絕大部分DeFi合約出問題都出在資產轉移、價格計算和權限控制上，因此這些方面開發者需要入手向上延展，并找到這條路徑上可能存在的薄弱環節加以防范。

Poly此次是萬幸的，黑客可以歸還資產，盡管目前歸還了一小部分，我們還在等待更多的資產轉賬。筆者從Poly處獲取的消息是，目前合約已經在升級，最優先級的目標是追回用戶資產，其他的細節會后續公布。

從黑客公布的消息看，似乎黑客已經接受了Poly提出的安全賞金，也希望在這場博弈里，雙方可以快速結束相互的拉扯。就像Poly說的，讓這一次安全事件，成為歷史上最大的白帽黑客事件。

Tags：OLYPOLYPOLFILPolymath Networkpolygon幣最新消息Polylastic紅杉資本退出fil幣

比特幣交易