10 月 611 日,Poly Network 遭受了价值 XNUMX 亿美元的黑客攻击,这是迄今为止最大的加密货币相关黑客攻击。与大多数 DeFi 黑客相比,这种攻击特别有趣,后者通常使用闪电贷和套利的形式来利用 聪明的合同什么是智能合约? 智能合约是计算机专业人士。 更多 以及较小数额的资金。在这种情况下,黑客发现了一个漏洞,可以让他绕过私钥,让智能合约将资金直接发送到他们控制下的钱包。 CipherTrace 已确认,迄今为止几乎所有资金均已返还至 Poly Network。 Poly Network 也确认了其 Twitter 消息的回归。
典型的 DeFi 黑客攻击是针对特定的 DeFi 工具,造成的损失要小得多,而在本例中,攻击针对的是 Poly Network 的基础设施,重点针对 DeFi 平台本身,并针对去中心化交易所 (DEX) 智能合约的控制。结果,主跨链合约完全被黑客控制,黑客可以解锁本应锁定在合约内的代币,将代币发送到他们控制的地址,然后重复跨链攻击。
Poly Network 是如何被黑的
Poly Network 充当跨链互操作性桥梁,以促进两个相对独立的区块链之间的代币转移。 因此,他们主要的 Poly Network 智能合约之一就是桥本身。 为了让链之间的桥梁有效运作(例如,为了让用户能够使用网络跨链转移代币),他们需要保持大量的流动性。 每当用户想要在链之间“架起桥梁”时,Poly Network 都需要在各自的链上有效地燃烧/铸造等效资产。
发出这些跨链代币转移的合约使用“管理员”来验证和执行交易。 一旦守门员在 源链 此 跨链管理器 合同上的 目的地链 将检查 Keeper 签名的有效性并在目标链上执行等效操作以完成“桥接”。
由于智能合约执行交易而不是用户自己,黑客能够利用 跨链管理器 智能合约并将“管理员”交换为他们控制下的恶意管理员。 结果,Poly Network 上的主要跨链合约完全被黑客控制,允许他解锁本应保持在桥接合约内锁定的代币,并将代币移动到他控制的地址。 然后黑客跨链复制了攻击。
谁是 Poly Network 黑客的真正受害者?
由于黑客的行为,被“锁定”在这些合约中的用户资金遭受了真正的损失。 虽然没有采取特定的个人代币,但通过移除协议中锁定的如此大的数量,如果所有用户都希望从合约中提取资金,Poly Network 将不再具有支持大规模外流的流动性。 然而,由于 DeFi 的去中心化性质,缺乏任何 KYC 流程和跨境影响意味着确定真正的受害者是谁以及他们所在的位置几乎是不可能的。
总体而言,这是对设计不佳的智能合约的复杂利用,其“风险”和“行为”会影响 Poly Network 的用户。 真正的受害者不是保利网络本身,而是投资者。 可以说,Poly Network 通过不确保其智能合约的质量与黑客分担责任,从而使投资者面临重大风险。
目前没有迹象表明 Poly Network 代码曾经接受过审计。 搜索协议的 GitHub 休息 未表明已执行或报告任何审计。
保利网络黑客归还一半以上被盗资金
令监控 Poly Network 盗窃的人大吃一惊的是,11 月 XNUMX 日,攻击者开始返还部分被盗资金。 这让互联网上的许多人想知道 - 为什么?
在黑客为了混淆他们的踪迹所做的所有交换中,黑客似乎曾经重复使用一个钱包,该钱包之前已经与一些著名的交易所进行过交易,这些交易所可以识别“了解你的客户”(KYC)信息他。
鉴于资金的返还,有人声称黑客可能是白帽子。 但是,如果白帽子一直打算退还资金,那么他们极不可能采取相同的步骤来试图混淆资金轨迹。
在撰写此博客时,CipherTrace 已确认几乎所有资金都已归还到 Poly Network,他们专门为黑客开发了用于归还资金的地址。 这些地址是:
- 0x71Fb9dB587F6d47Ac8192Cd76110E05B8fd2142f
- 0xEEBb0c4a5017bEd8079B88F35528eF2c722b31fc
- 0xA4b291Ed1220310d3120f515B5B7AccaecD66F17
10 月 XNUMX 日(黑客攻击日)冻结资金
USDT 冻结
11月XNUMX日返还资金
保利合约:85 万美元 USDC
BSC 合约:256.2 亿美元的 3 个主要代币(主要是 BTCB、Binance 挂钩 ETH、BUSD)和 2.637 万美元的 BNB
以太坊合约:3.4 万美元的 SHIB、renBTC 和 Fei
12月XNUMX日返还资金
以太坊合约:96.42万美元DAI
如此大规模的 DeFi 黑客攻击的影响
立法者将加快 DeFi 法规的实施,尤其是随着 DeFi 黑客的数量呈螺旋式上升,这一最新的 Poly Network 黑客就是一个缩影。 最终,监管机构可能会根据 FATF 的建议将去中心化交易所 (DEX) 归类为虚拟资产服务提供商 (VASP)。 FinCEN 可能会将 DEX 归类为货币服务业务 (MSB),这意味着将需要 DEX 和其他 DeFi 应用程序来履行反洗钱 (AML) 和 KYC 义务。 我还希望 CFTC 监管 DeFi 社区,而 SEC 监管 DeFi 证券法规。
另外智能合约的质量标准会越来越严格,审计标准也会出现。 此外,DeFi“保险市场”将不断发展和成熟,可以充分评估并在正确的 DeFi 技术风险下。
DeFi 黑客今年的收入接近 2 亿美元——下一步是什么?
这种黑客行为体现了智能合约安全和审计标准对确保质量和减少代码漏洞的重要性。
根据我们最新的 加密货币犯罪和反洗钱报告到 2021 月底,犯罪分子在 361 年净赚的 DeFi 黑客交易量达到 994 亿美元。 今天,这个数字几乎翻了三倍,因为 DeFi 黑客现在已达到 90 亿美元,占 2021 年所有黑客数量的 1.1%,略高于 XNUMX 亿美元。
随着 DeFi 黑客和欺诈继续按季度呈指数级增长,如果这种趋势继续下去,DeFi 犯罪的未来似乎很严峻。 如果 DeFi 犯罪继续变得更加复杂,正如 Poly Network 黑客所预知的那样,智能合约可能会越来越多地成为更大规模攻击的目标。
附录
11 月 XNUMX 日,黑客举行了“链上”问答。 可以通过解码他的一些交易的输入数据来查看以下内容。
问答,第一部分:
问:为什么要黑客?
答:为了好玩🙂
问:为什么选择保利网络?
A: 跨链黑客攻击很热门
问:为什么要转让代币?
答:为了保证安全。
当发现错误时,我有一种复杂的感觉。 问问自己,如果你面对如此多的财富,该怎么办。 礼貌地询问项目团队,以便他们解决问题? 任何人都可能成为 XNUMX 亿的叛徒! 我不能相信任何人! 我能想出的唯一解决方案是将它保存在_受信任的_帐户中,同时保持我自己_匿名_和_安全_。
现在每个人都闻到了阴谋的味道。 内幕? 不是我,但谁知道? 我有责任在任何内部人员隐藏和利用它之前揭露漏洞!
问:为什么如此复杂?
答:POLY 网络是一个不错的系统。 这是黑客可以享受的最具挑战性的攻击之一。 我必须快速击败任何内部人员或黑客,我把它作为奖励挑战🙂
问:你暴露了吗?
答:不。 绝不。 我明白即使我不作恶也有暴露自己的风险。 所以我使用了临时电子邮件、IP 或 _SO CALLED_ 指纹,这是无法追踪的。 我宁愿呆在黑暗中拯救世界。
https://etherscan.io/tx/0x1fb7d1054df46c9734be76ccc14fa871b6729e33b98f9a3429670d27ec692bc0
问答,第二部分:
问:30 小时前到底发生了什么?
答:长话短说。
信不信由你,我是_被迫_玩这个游戏的。
Poly 网络是一个复杂的系统,我没有设法建立一个本地测试环境。 我一开始没能制作出 POC。 然而,就在我要放弃之前,AHA 时刻到来了。 在调试了一整夜之后,我为本体网络制作了一个_SINGLE_消息。
我计划发起一个很酷的闪电战来接管四个网络:ETH、BSC、POLYGON 和 HECO。 然而,HECO 网络出错了! 中继器的行为与其他人不同,管理员只是直接中继了我的漏洞,并且密钥已更新为一些错误的参数。 它破坏了我的计划。
我应该在那一刻停下来,但我决定让节目继续! 如果他们在没有任何通知的情况下秘密修补漏洞怎么办?
然而,我不想引起加密世界的_真实_恐慌。 所以我选择忽略垃圾币,所以人们不必担心它们会归零。 我拿了重要的代币(SHIB 除外)并且没有出售任何代币。
问:那为什么要出售/交换马厩?
答:POLY 团队最初的回应让我很生气。
在我有机会回复之前,他们敦促其他人责备和憎恨我! 我当然知道有假的 DEFI 硬币,但我没有当真,因为我没有洗钱的计划。
与此同时,存入马厩可以赚取一些利息来支付潜在成本,以便我有更多时间与保利团队进行谈判。
https://etherscan.io/tx/0xd4ee4807c07702a3202f45666983855d7fa22eb1c230e4c1e840fc9389e54729
问答,第三部分:
问:为什么要小费 13.37?
A:我感受到了以太坊社区的温暖。
我正忙于调查 HECO 的问题并调试我的脚本。 我认为这是网络问题,为什么我不能存款(我在一个复杂的代理后面)。 所以我和那家伙分享了我的善意。
问:为什么要问 TORNADO 和 DAO?
答:目睹了如此多的黑客攻击,我知道将资金投入 TORNADO 是一个明智但绝望的决定。 这违背了我的初衷。 在遇到这么多乞丐后,成为众包黑客只是我的一个坏笑话🙂
问:为什么要回来?
A:这一直是计划! 我_不是_对金钱很感兴趣!我知道人们受到攻击时会很痛苦,但他们不应该从这些黑客中学到一些东西吗? 我在午夜之前宣布了回归决定,所以相信我的人应该好好休息😉
问:为什么返回慢?
A:我确实需要时间与POLY 团队交谈。 抱歉,这是我知道的唯一一种在隐藏自己的身份的同时证明我的尊严的方法。 我需要休息一下。
问:保利球队?
A:我已经开始和他们简短地交谈了,日志在以太坊上。 我可能会也可能不会发布它们。 他们遭受的痛苦是暂时的,但令人难忘。
我想为他们提供有关如何保护他们网络安全的提示,以便他们在未来有资格管理 XNUMX 亿项目。 Poly 网络是一个设计良好的系统,它将处理更多资产。 他们在推特上有很多新粉丝,对吗?
https://etherscan.io/tx/0xe954bed9abc08c20b8e4241c5a9e69ed212759152dd588bb976b47eca353a5bc
从 Poly Network Hack 获取的价值
链条类型 | 发送哈希 | 财富 | 量 | $值 |
平衡计分卡 | 0x534966864bda354628d4f1c66db45cbefcdda7433e9576e7664fea01bb05be9a | BNB | 6,613.44 | $2,460,861.21 |
平衡计分卡 | 0xd59223a8cd2406cfd0563b16e06482b9a3efecfd896d590a3dba1042697de11a | USDC | 87,603,373.77 | $87,624,502.53 |
平衡计分卡 | 0x4e57f59395aca4847c4d001db4a980b92aab7676bc0e2d57ee39e83502527d6c | ETH | 26,629.16 | $85,896,083.66 |
平衡计分卡 | 0x50105b6d07b4d738cd11b4b8ae16943bed09c7ce724dc8b171c74155dd496c25 | BTCB | 1,023.88 | $47,427,704.52 |
平衡计分卡 | 0xd65025a2dd953f529815bd3c669ada635c6001b3cc50e042f9477c7db077b4c9 | BUSD | 32,107,854.11 | $32,124,918.14 |
平衡计分卡 | 0xea37b320843f75a8a849fdf13cd357cb64761a848d48a516c3cac5bbd6caaad5 | USDC | 298.9405633 | $299.04 |
ETH | 0xad7a2c70c958fcd3effbf374d0acf3774a9257577625ae4c838e24b0de17602a | ETH | 2,857.49 | $8,977,279.13 |
ETH | 0x5a8b2152ec7d5538030b53347ac82e263c58fe7455695543055a2356f3ad4998 | USDC | 96,389,444.23 | $96,430,660.58 |
ETH | 0x3f55ff1fa4eb3437afe42f4fea57903e8e663bc3b17cb982f1c8d4c8f03a2083 | 工务局技术通告 | 1,032.12 | 46,971,609.47 |
ETH | 0xa7c56561bbe9fbd48e2e26306e5bb10d24786504833103d3f023751bbcc8a3d9 | 戴 | 673,227.94 | $673.628.12 |
ETH | 0xc917838cc3d1edd871c1800363b4e4a8eaf8da2018e417210407cc53f94cd44e | UNI | 43,023.75 | $1,242,040.44 |
ETH | 0xe05dcda4f1b779989b0aa2bd3fa262d4e6e13343831cb337c2c5beb2266138f5 | 柴田 | 259,737,345,149.52 | $1,974,082.34 |
ETH | 0xb12681d9e91e69b94960611b227c90af25e5352881907f1deee609b8d5e94d7d | 人比特币 | 14.47265047 | $659,141.75 |
ETH | 0x06aca16c483c3e61d5cdf39dc34815c29d6672a77313ec36bf66040c256a7db3 | USDT | 33,431,197.73 | $33,391,733.96 |
ETH | 0xc797aa9d4714e00164fcac4975d8f0a231dae6280458d78382bd2ec46ece08e7 | Weth | 26,109.06 | $82,052,128.62 |
ETH | 0xd8c1f7424593ddba11a0e072b61082bf3d931583cb75f7843fc2a8685d20033a | FEI | 616,082.59 | $616,082.59 |
保利 | 0x1d260d040f67eb2f3e474418bf85cc50b70101ca2473109fa1bf1e54525a3e01 | USDC | 85,089,610.91 | $85,061,020.80 |
保利 | 0xfbe66beaadf82cc51a8739f387415da1f638d0654a28a1532c6333feb2857790 | USDC | 108.694578 | $108.66 |
Poly 网络黑客地址
Poly Network 公开确定了据称由攻击者控制的三个地址:
- 0xC8a65Fadf0e0dDAf421F28FEAb69Bf6E2E589963 (ETH)
- 0x0D6e286A7cfD25E0c01fEe9756765D8033B32C71 (BSC)
- 0x5dc3603C9D42Ff184153a8a9094a73d461663214 (POLYGON)
来源:https://ciphertrace.com/poly-network-suffers-largest-crypto-hack-ever-recorded/
- &
- 11
- 账号管理
- 所有类型
- 据称
- 允许
- AML反洗钱课程
- 公布
- 反洗钱
- 应用领域
- 套利
- 财富
- 办公室文员:
- 审计
- 八月
- 亿
- binance
- 博客
- 桥
- 问题
- 建立
- BUSD
- 企业
- 原因
- 美国商品期货交易委员会
- CipherTrace
- 索赔
- 码
- 硬币
- 地区
- 社体的一部分
- 阴谋
- 继续
- 合同
- 合同的
- 犯罪
- 犯罪
- 罪犯
- 跨界
- 加密
- DAO
- data
- 天
- 分散
- DEFI
- 地塞米松
- DID
- 邮箱地址
- 环境
- ETH
- 复仇
- 换货
- 出埃及记
- 利用
- 面对
- 假
- 执法网
- 指纹
- 固定
- Flash
- 申请
- 骗局
- 开玩笑
- 资金
- 未来
- 游戏
- GitHub上
- 非常好
- 增长
- 破解
- 黑客
- 黑客
- 黑客
- 黑客
- 创新中心
- How To
- HTTPS
- 身分
- 信息
- 基础设施
- 内幕
- 兴趣
- 网络
- 互操作性
- 投资者
- IP
- 问题
- IT
- 保持
- 键
- 键
- KYC
- 大
- 最新
- 发射
- 学习用品
- 流动性
- 贷款
- 本地
- 长
- 主要
- 多数
- 制作
- 百万
- 杂
- 钱
- 监控
- 移动
- 网络
- 工业网络
- 网络
- 通知
- 本体论
- 秩序
- 其他名称
- 恐慌
- 打补丁
- 员工
- 规划行程
- 平台
- 的PoC
- 私立
- 私钥
- 专业版
- 项目
- 代理
- 发布
- Q&A
- 质量
- 减少
- 法规
- 稳压器
- REST的
- 回报
- 风险
- 安全
- 保存
- 鳞片
- 证券交易委员会
- 证券
- 保安
- 出售
- 感
- 共用的,
- 分享
- 迹象
- 智能
- 聪明的合同
- 智能合同
- So
- 标准
- 开始
- 留
- 被盗
- SUPPORT
- 惊
- 系统
- 说
- 文案
- 临时
- 测试
- 盗窃
- 次
- 秘诀
- 象征
- 令牌
- 交易
- 信任
- 用户
- 蒸气
- 在线会议
- 虚拟资产服务提供商
- 体积
- 漏洞
- 漏洞
- 钱包
- 钱包
- WHO
- 中
- 世界
- 零