金色觀察 | Poly Network被盜事件再引DeFi安全之爭 監管或提上日程？_ETH:New XChain Token

8月10日，跨鏈互操作協議Poly Network遭受黑客攻擊。Poly Network發推文稱，經過初步調查，已找到漏洞的原因。黑客利用了合約調用之間的一個漏洞，攻擊不是由傳聞中的單個保管人造成的。同時，Poly Network還發布了至攻擊者的一封信。Poly Network表示，希望建立溝通，并敦促攻擊者歸還被黑資產。此次被黑的金額是Defi歷史上最大的一筆。任何國家的執法部門都會將此視為重大經濟犯罪，攻擊者將受到追捕，再進行任何交易是非常不明智的。被盜資金來自數以萬計的加密社區成員。希望攻擊者與Poly Network團隊交談以制定解決方案。

慢霧團隊回顧攻擊細節指出，主要系因合約漏洞。本次攻擊主要在于 EthCrossChainData 合約的 keeper 可由 EthCrossChainManager 合約進行修改，而 EthCrossChainManager 合約的 verifyHeaderAndExecuteTx 函數又可以通過 _executeCrossChainTx 函數執行用戶傳入的數據。因此攻擊者通過此函數傳入精心構造的數據修改了 EthCrossChainData 合約的 keeper 為攻擊者指定的地址，并非網傳的是由于 keeper 私鑰泄漏導致這一事件的發生。

金色晚報 | 11月5日晚間重要動態一覽:12:00-21:00關鍵詞：ETH2.0存款合約、彭博社報告、Polkadot 、WTO報告

1. 數據：以太坊2.0存款合約地址收到V神質押3200ETH

2. Polkadot v0.8.26已發布 新版本包括日志修復、本機支持等。

3. 彭博社報告：比特幣將迎來一場大規模長期突破。

4. 廣東新基建實施方案：打造人工智能、區塊鏈等新技術基礎設施集群。

5. 波卡隱私項目Phala與Cosmos存儲項目Bluzelle達成合作。

6. WTO報告：區塊鏈貿易創新項目在全球范圍內正日益成熟。

7. 原保監會副主席周延禮：目前區塊鏈等數字技術已深度參與保險業務的全流程。

8. ETH 2.0確認發布時間引發用戶增持ETH 超32枚ETH地址數創新高。

9. 分析：過去7日JumpTrading購買超4.7萬COMP成第八大持有者。[2020/11/5 11:45:15]

隨后慢霧團隊給出細節描述：

金色相對論 | 張涵橋：Filecoin的成功取決于成本與利益:在今日舉行的金色相對論之Filecoin系列特輯終集的直播中，針對“對Filecoin的預期它會是一個什么規模的項目”的問題，標準共識分析師張涵橋表示，Filecoin的成功與否，由于其體制原因，基本上與 IPFS相輔相成。然而一種新的協議的成功與否，或者說是否能達成代替http協議的愿景，更加取決于成本與利益以及一部分的需要。與我個人而言，我看好IPFS的未來，但對于IEEE而言，他們不見得會看好。不得不說，我承認IPFS的優越性， 以及現代互聯網過于集中化，依賴中心網絡或者數據安全等問題。這是個好概念。filecoin在理想狀態下對標在美股上市的Dropbox的話很可能達到十億甚至百億美元級別，但是作為財務投資人，我們要考慮的更多是成本、成本、以及成本。我們愿意為了未來買單，可是究竟要買多長時間，都算在它的估值里了。而現在我們能看到一些規模化的Filecoin礦場出現，之前看到有礦場就有十萬級別的礦機出現，這也是市場對于這個項目的初步認同。除了之前提到的成本的原因，還有存儲設備折價的問題，硬盤存儲發展速度很快，filecoin的運行機制會導致如果FIL的價格維持不住，那么必定會有大批礦工迅速破產，這個速度比比特幣礦機會快很多。所以我對這個項目態度是審慎大于樂觀。[2020/5/21]

1. 本次攻擊的核心在于 EthCrossChainManager 合約的 verifyHeaderAndExecuteTx 函數可以通過 _executeCrossChainTx 函數執行具體的跨鏈交易。

金色晨訊 | USDT聽證會已結束 法官未做出裁決 稱需要更仔細地考慮:1.昨夜比特幣巨鯨轉移BTC價值超過30億美元。

2.USDT聽證會已結束 法官未做出裁決 稱需要更仔細地考慮。

3.Bitfinex：已明確表示不為紐約客戶提供服務。

4.Bitfinex：因為Tether不是證券或商品 所以法院沒有標的物管轄權。

5.斯洛文尼亞將懲罰從事加密貨幣挖礦、交易活動而未納稅的個人。

6.澳大利亞財政部新草案引入1萬澳元現金支付限額 但豁免數字貨幣支付。

7.伊朗政府已批準加密采礦作為一項工業活動。

8.Ripple致國會公開信：數字貨幣有機會補充美元等現有貨幣，而不是取代它們。

9.Tether 市值突破40億美金 主要來自以太坊平臺大規模增發。

10.臺積電獲比特大陸急單 緊急追加7納米產能。[2019/7/30]

2. 由于 EthCrossChainData 合約的 owner 為 EthCrossChainManager 合約，因此 EthCrossChainManager 合約可以通過調用 EthCrossChainData 合約的 putCurEpochConPubKeyBytes 函數修改合約的 keeper。 

金色財經現場報道 萬向區塊鏈副總經理陶曲明：95%的區塊鏈場景并不成立:金色財經現場報道，在2018區塊鏈技術及應用峰會上，萬向區塊鏈股份公司副總經理陶曲明表示，區塊鏈上一個大泡沫的時間是在 2013 年，現在每隔 2/3 天就會有一場區塊鏈的峰會，對于峰會的觀點，到底誰對誰錯？很多人的心態是 FOMO（ 焦慮 ）的，萬一上不了車？上了車的就在想是否該跳下車？區塊鏈技術和應用會在火熱和絕望中急速前行。除了外部的技術需求外，很多時候我們自身也需要迭代；他還表示，對于目前的區塊鏈落地項目，可能95%的區塊鏈場景并不成立。[2018/3/30]

3. 其中 EthCrossChainManager 合約的 verifyHeaderAndExecuteTx 函數是可以通過內部調用 _executeCrossChainTx 函數執行用戶指定的跨鏈交易，所以攻擊者只需要通過 verifyHeaderAndExecuteTx 函數傳入精心構造的數據來使 _executeCrossChainTx 函數執行調用 EthCrossChainData 合約的 putCurEpochConPubKeyBytes 函數以改變 keeper 角色為攻擊者指定的地址。  

金色財經訊:10月17日至19日，國際電信聯盟標準化部門分布式賬本焦點組第一次會議在瑞士日內瓦召開。騰訊公司Fit部門和博晨兩家中國公司在會上介紹了區塊鏈在中國的落地應用案例。華為、中興、太一云等國內公司也派出專家參加了會議。[2017/10/26]

4. 替換完成 keeper 角色地址后，攻擊者即可隨意構造交易從合約中取出任意數量的資金了。

值得注意的是，本次此次被黑的金額是DeFi歷史上最大的一筆，共計超 6.1 億美元轉出至 3 個地址。受此影響 O3 Swap 跨鏈池大額資產被轉出。目前，安全團隊梳理發現，黑客初始的資金來源是門羅幣(XMR)，然后在交易所里換成了 BNB/ETH/MATIC 等幣種并分別提幣到 3 個地址，不久后在 3 條鏈上發動攻擊。 結合資金流向及多項指紋信息可以發現，這很可能是一次蓄謀已久的、有組織有準備的攻擊行為。 

事件發生后，Tether 已凍結 Poly Network 攻擊者地址上的 3300 萬 USDT。截止發稿，攻擊者也回應，如果我轉移了剩余的幣，那將是十億美金級別的攻擊。我剛剛是拯救了這個項目嗎？我對金錢不太感興趣，現在考慮歸還一些代幣，或者將它們留在此處。隨后該攻擊者還稱，如果我制作一個新的代幣并讓DAO決定代幣的去向會怎樣？

隨著事件的發酵，8月11日，攻擊Poly Network的黑客在區塊高度 13001631 轉賬中又表示，已決定歸還資產，不再創建 DAO 組織。同時，在描述中，黑客自稱為傳奇。

盡管黑客已決定歸還資產，但有關DeFi安全的討論還在繼續。事實上，隨著DeFi的爆發式發展，相關安全事件頻發，跨鏈攻擊也不在少數。此前，Rari Capital就在跨鏈攻擊事件中損失1500萬美元。有分析聲音就此指出，DeFi協議之間的互操作性變得越來越復雜，相關的攻擊媒介也在增多，預計相關攻擊也會增加。

Roxe支付網絡技術VP Jesse對此指出，DeFi本來就是個黑暗森林，很多別有用心的人一直都在暗中虎視眈眈，甚至有些漏洞發現后，攻擊者只是在等更合適的機會，并不一定會急于出手，就像病的潛伏期一樣，在等更大的利益機會，未知的漏洞一定還有很多，只是還未爆發而已。

有市場聲音擔心，DeFi安全如果始終無法妥善處理，可能會打擊行業的信心。當然，另一方面可能會加快全球對行業監管。Roxe支付網絡技術VP Jesse表示，從長期看，監管是必須的，隨著區塊鏈行業的不斷成熟，各國也一定會加強監管，這也是行業成熟的標記。無監管的混亂除早期帶來的所謂自由的快感，隨后一定會被少量的各類地下組織利用，從而損害大眾的利益。雖然有時候我們不喜歡政府的監管，但這種監管帶來的正面意義要遠比負面意義大。

在此背景下，作為普通投資者，應該如何保護好自己的財產？

Roxe支付網絡技術VP Jesse指出，區塊鏈一個很大的問題就是親民性不足，未接觸過的人很難理解，從而讓區塊鏈變成一個小眾游戲。安全性上看似自己掌握自己的資產，但它卻要求每個用戶自己必須成為安全專家，隨時面對來自暗處的黑客攻擊。問題是，大眾并沒有足夠的能力去甄別和自我保護，很多時候只能依賴安全公司的審計，但這也不是100%安全的。相對傳統行業，DeFi還很年輕，很多東西還不完善，無法像政府背書的銀行一樣提供良好的安全保障。DeFi最大的優勢是去信任，但這份信任是基于代碼的，而代碼的安全大眾又無法有效甄別，而黑客攻擊來源于知識的巨大不對等性，這也造成的DeFi的安全不是一個是或否的簡單問題。對于DeFi投資者，目前只能保護好自己的私鑰，不泄露，防止丟失。另外，盡可能的識別好的項目、識別經審計的合約。

比特派也在相關微博中建議，參與DeFi要用多地址，不同DeFi、不同資產用不同地址區分開來，這樣即使某個DeFi項目有危險，也不會影響到你的其他資產。同時也要定期檢查錢包地址的授權，不頻繁操作的項目要及時收回授權。

Tags：ETH區塊鏈SSCHAIETHV區塊鏈工程專業張雪峰FRZSSCOIN幣New XChain Token

歐易交易所