简单来说
- 超过 600 亿美元的数字资产从 PolyNetwork 被盗。
- 安全专家仍在试图拼凑出到底发生了什么。
在首次报道后的 600 个多小时内,有关从 PolyNetwork 窃取 XNUMX 亿美元数字资产的漏洞的详细信息却慢慢浮出水面。在缺乏全面审计的情况下,网络安全组织对跨链兼容网络背后的程序员说了一句常见的话:这是你的责任。
与攻击相关的资金已被追踪到三个不同的地址——每个地址都在 以太坊 , 币安智能链及 Polygon.
对于这些不当资金流入的一系列事件,安全专家有不同的看法,有些人甚至指责他们的同事误导公众。
根据中国安全审计机构 BlockSec 的初步分析(并警告称尚未核实),盗窃事件可能是由于“用于签署跨链消息的私钥泄露”或“ PolyNetwork 签名过程中的一个错误已被滥用来签署精心设计的消息。”
其他研究人员还暗示,不良的安全措施可能导致 PolyNetwork 团队用于授权交易的私钥被盗。
以太坊开发者兼安全研究员 Mudit Gupta 写 PolyNetwork 使用多重签名钱包进行交易。在其配置中,四个人可以访问用于签署交易的密钥,并且三个人必须签名:“攻击者掌握了至少 3 个守护者,然后使用他们将守护者更改为单个守护者。”实际上,黑客将他们拒之门外。 (Gupta 最初认为 Poly 使用了 1/1 多重签名。)
区块链安全团队 SlowMist 表示,事实并非如此。相反,它表示,攻击者利用智能合约功能中的缺陷来更改其保管人,将资金流重新路由到攻击者自己的地址。 “这起事件的发生并不是因为保管人私钥泄露” 报道.
PolyNetwork 转发了该博文,而 Gupta 强烈反对慢雾,暗示要么是严重无能,要么是腐败。
无论攻击者是否获得了私钥或利用了薄弱的智能合约,做这些事情的一种方法就是掌控。但这是内部工作吗?毕竟,根据区块链分析公司 CipherTrace 的说法,所谓的“地毯拉动”(一种退出骗局)是 最流行的加密货币欺诈形式 去年。
现在说还为时过早。慢雾表示,“已通过链上、链下追踪掌握了攻击者的邮箱、IP、设备指纹,正在追踪与保利网络攻击者相关的可能身份线索”。但调查尚未得出保利高管确凿证据。 (或者,如果有的话,慢雾还没有透露。)
与此同时,尚不清楚攻击者是否能够使用这些资金。 PolyNetwork 还要求“受影响的区块链和加密货币交易所的矿工将攻击者地址中的代币列入黑名单”。作为回应,Tether 表示冻结了与此次攻击相关的 33 万美元 USDT,而币安、OKEx 和火币的高管则承诺帮助限制损失。
然而,黑客已经采取了 发出嘲讽 来自以太坊区块链,通过将消息附加到块中。 “如果我制作一个新的代币并让 DAO 决定代币的去向,会怎样?”他们在一篇文章中写道 的话.
也许吧,但也许其他人应该为此编写智能合约。
