比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > Uniswap > Info

金色觀察|“迷途知返”的黑客與區塊鏈安全隱憂_區塊鏈

Author:

Time:1900/1/1 0:00:00

截止到8月11日12時59分,PolyNetwork發生的O3資金池被盜事件,在持續發酵后,似乎有了最終結果。

黑客使用攻擊地址“自己給自己”發送交易,在交易附帶信息里說到“INEEDASECUREDMULTISIGWALLETFROMYOU”

隨后PolyNetwork回復:“Wearepreparingamulti-sigaddresscontrolledbyknownPolyaddresses”并在50分鐘后回復了以太坊、BSC、Polygon三條鏈的接受地址,分別為:

ETH:0x71Fb9dB587F6d47Ac8192Cd76110E05B8fd2142f

金色晚報 | 10月24日晚間重要動態一覽:12:00-21:00關鍵詞:摩根大通、俄羅斯、王永利、周小川

1.摩根大通:通貨膨脹推動了比特幣的價格上漲;

2.俄羅斯加密行業協會抨擊政府在監管部門“無所作為”;

3.北美礦企Hut 8 Mining正在開發第三個加密礦場;

4.數據:ETH活躍地址數達到4個月高點;

5.中國銀行原副行長王永利:數字人民幣將為未來數字經濟發展和資產確權奠定重要基礎;

6.中央企業區塊鏈合作創新平臺:申請區塊鏈核心專利1200多項;

7.周小川:數字貨幣的功能與傳統貨幣的功能是自然有聯系的;

8.“北京法定數字貨幣試驗區”正式揭牌。[2021/10/25 20:53:48]

BSC:0xEEBb0c4a5017bEd8079B88F35528eF2c722b31fc

金色午報 | 3月26日午間重要動態一覽:7:00-12:00關鍵詞:難度調整、互聯網法院、微博、N號房

1. 比特幣網絡難度調整 下調幅度為歷史第二;

2. 北京互聯網法院院長:“天平鏈”證據區塊鏈等為法院系統區塊鏈應用提供先行經驗

3. 部分“微博數據泄露”信息售賣所得ETH匯集流入交易所;

4. Maker基金會:MKR代幣控制權轉移至治理社區的工作已完成

5. BB:區塊鏈可以提高治理效率和相互問責;

6. 比特幣下跌將使礦工尋求金融工具對沖風險,長期來看將促進市場成熟;

7. 韓國已向加密交易所出示搜查令 以調查“N號房”一案;

8. BTC現報6723.45美元,日內漲幅1.59%,加密貨幣當前市值為1859.94億美元。[2020/3/26]

Polygon:0xA4b291Ed1220310d3120f515B5B7AccaecD66F17

分析 | 金色盤面:BTC突破6500美元短線不宜追高:金色盤面綜合分析:截至發稿,BITMEX永續合約的XBT-USD價格再度突破了6500美元,最高值6548.5美元,市場做多熱情高漲,短線維持多頭趨勢不變,但是這里連續拉升,也出現了分時的技術背離壓力,短線建議保持觀望,不宜追高,可等待回落后擇機入場。市場有風險,投資需謹慎。[2018/9/14]

這場漫長的溝通經歷差不多15小時,第一次嘗試溝通,PolyNetwork嘗試取得溝通,并留下了溝通郵箱。2小時后,繼續溝通表示,如果歸還資產,會因為這次發現安全漏洞給予安全獎勵。

隨后黑客在攻擊地址表示,可能會建立一個DAO決定地址中資金的流向。

PolyNetwork再次回復,建立DAO也改變不了資金被盜的事實,如果歸還資產,會為黑客提供安全賞金,并且這也會成為歷史上最大金額的“白帽”黑客事件而被銘記。

分析 | 金色盤面:BTC期貨合約持倉變化:金色盤面綜合分析: 據OKEx數據顯示,目前做多賬戶62%,做空賬戶36%,多頭持倉比例21.48%,空頭持倉比例21.69%,從數據看,目前做多賬戶依然占據優勢,但空頭平均倉位超過多頭,說明市場力量在轉換。截至發稿,季度BTC0928合約價格為7185美元,現貨價格為7188美元,貼水3美元,這是近期貼水最小值,市場做多熱情高漲,但也要做好風控。[2018/9/2]

隨后便是黑客表示自己是傳奇,而將退還資產的關鍵消息的發布。

白帽黑客指正義的黑客,區塊鏈圈很多安全公司的中流砥柱都出自白帽。

也許這次參與的黑客真的如其所說,對錢不感興趣。

在下午5時左右,Poly公布的Polygon地址收到了101萬枚USDC。發稿前,其他地址暫時還沒有將資產轉入。

分析 | 金色盤面:胡潤排行榜創始人聲稱持有以太坊:金色盤面綜合分析:胡潤日前表示,通過對行業維度的分析,顯示區塊鏈行業出現加速跡象,他本人看好該行業前景,同時也持有少量ETH,截止發稿,ETH報收284美元。[2018/8/28]

但作為區塊鏈從業者、用戶來說,面對攻擊事件,小概率可以得到善終,大概率是會波及項目和用戶資產安全。

此次安全事件發生后,在事件的評論中,有一條極為反諷的評論“講個笑話,區塊鏈是安全的。”

外行看熱鬧,內行看門道。

區塊鏈的安全是一個相對概念,而不是一個絕對概念。

在巨額收益的引誘、加密貨幣無監管、合約設計不成熟的情況下,加密貨幣網絡中的合約漏洞被當成黑客提款機也就不足為奇了。

傳統金融領域,安全不僅僅在于軟件,更多安全保證在于流程防護。但當全部的流程通過智能合約自動執行的時候,就會出現多個漏洞。

最大的保障變成了代碼正確性和安全案例的設計實踐。

此次Poly的問題就在于黑客可以控制資金池中管理賬戶轉賬的權限,當把轉出地址換成黑客自己的地址后,只要向合約發送虛擬的數據轉出交易,那資金池的資產就會順利被轉出。

這個漏洞主要在于,因為設計了一些合約接受某些數據而執行行為的操作,但可以執行這個動作又有多個因素管理,其中有一個因素漏洞被黑客利用了,劫取了“權限”。

這類事件還要有一個理解框架。

其中分為鏈的安全和合約安全。

一條公鏈,首先要保證鏈的安全,即總帳本的安全、交易打包的安全。然后是合約執行的安全。

軟件的安全依賴開發者代碼的成熟性,正所謂沒有絕對安全的系統,只有良莠不齊的開發者。

鏈的安全是指鏈上的共識算法設計、基礎協議的編寫不能有漏洞,其次是基礎協議執行的合約沒有問題,例如在以太坊上發型代幣,其合約是一個基礎流程,但如果合約漏洞里有明顯的增發漏洞,那極有可能被利用增發代幣。

鏈的安全,主要是共識來保證,比特幣使用中本聰共識,以太坊使用Ethash,波卡使用NPOS。其保證的是總帳本不能篡改。合約安全就只能考究其設計問題和編碼成熟度了。

所以合約設計者和開發者要嚴格設計合約,要檢查合約的設計漏洞,代碼編寫漏洞,設計邏輯,以及在業務場景里可能出現的問題。

在這里,我們還是再次通過合約審計的思路,來為大家提供理解合約安全的思路。

安全審計團隊拿到審計需求后,會先用團隊內部的安全審計工具過一遍,不過工具是一個輔助,然后進行人工審計,這個流程會按照審計列表將常規漏洞點審計一遍。

然后進行業務上的審計,其中包含什么業務場景、業務規模、業務邏輯。然后業務的描述如何,看代碼里是否有和描述功能不一致,是否會被薅羊毛,代幣是否有被鎖,權限設置錯誤問題,是否會增發或無限鑄幣等等。

但這些流程進行完畢后,上文講到,代碼的安全要看代碼編寫成熟度,而不同開發者因為其驚艷,對合約的判斷也不同,再加上智能合約的特殊性和DeFi業務邏輯復雜性,代碼審計必須要進行交叉審計,相互審查的。

就像Poly的以太坊合約問題,其在該合約后續的流程上是沒問題的,但在黑客看來,通過合約流程前面的一些數據偽造,就控制了其合約轉出的權限。也是一種迂回擊破的方式了。

或者因為Poly是一個跨鏈系統,出問題的部分可以稱為跨鏈合約交互部分,這也代表著跨鏈案例的實踐,要邏輯更為嚴密。

從智能合約的設計來看,絕大部分DeFi合約出問題都出在資產轉移、價格計算和權限控制上,因此這些方面開發者需要入手向上延展,并找到這條路徑上可能存在的薄弱環節加以防范。

Poly此次是萬幸的,黑客可以歸還資產,盡管目前歸還了一小部分,我們還在等待更多的資產轉賬。筆者從Poly處獲取的消息是,目前合約已經在升級,最優先級的目標是追回用戶資產,其他的細節會后續公布。

從黑客公布的消息看,似乎黑客已經接受了Poly提出的安全賞金,也希望在這場博弈里,雙方可以快速結束相互的拉扯。就像Poly說的,讓這一次安全事件,成為歷史上最大的白帽黑客事件。

Tags:POLOLYPOLY區塊鏈POLPPOLYBUNNY價格POLYWHIRL區塊鏈dapp開發一個多少錢

Uniswap
我用3000元 買了2只“JPG”的貓......_ETH

你買過JGP圖片嗎?幾萬美金一張那種。今年6月10日,在蘇富比舉行的NFT藝術品展覽及在線拍賣活動中,CryptoPunk#7523以1175.4萬美元成交.

1900/1/1 0:00:00
元宇宙將如何重新定義我們的生活方式?_元宇宙

您現在購買的虛擬土地是否可以在未來貨幣化?去年,TravisScott從EpicGame的Fornite平臺上的虛擬音樂會上賺了超過2000萬美元.

1900/1/1 0:00:00
中證報:保持流動性合理充裕 對虛擬貨幣炒作保持高壓_比特幣交易

央行日前召開2021年下半年工作會議,明確下半年工作將主要圍繞八大任務展開,其中貨幣政策、綠色金融、虛擬貨幣、數字人民幣等內容被重點提及.

1900/1/1 0:00:00
以太坊持續銷毀提高后市預期_BTC

以太坊倫敦升級過后,EIP-1559開始奏效。該提案設立了「基礎費用+小費」的費用模式,每筆交易用戶需要支付固定基礎費,如需加快交易確認可向礦工支付小費,小費歸礦工所有,基礎費將全部銷毀.

1900/1/1 0:00:00
福布斯解讀區塊鏈技術在中小企業中的4種常見用例_福布斯

前言 在與一位來自休斯頓的先生的zoom會議上,我說“我很感興趣。”期待著他的后續講解。Cornelius緊張地環顧四周,然后繼續說,好像有人在監視我們.

1900/1/1 0:00:00
買不了整個NFT 那就真的沒辦法了嗎?_ULT

頂級的NFT可能花費數萬甚至數百萬美元。大多數散戶投資者都無法接觸到它們,不同的團隊正在通過將NFT分割來解決這個問題.

1900/1/1 0:00:00
ads