黑客嘗試將盜取的部分穩定幣存入Curve和Ellipsis進行清洗;項目方正與黑客溝通協商,希望黑客歸還被盜資產。
原文標題:《一文讀懂PolyNetwork6億盜幣案DeFi歷史金額最大全程復盤早有預兆》吳說作者:ColinWu、平兄本期編輯:ColinWu
起始
PolyNetwork自稱是全球領先的「輕量級」異構鏈跨鏈互操作協議,其獨特設計的異構鏈以及跨鏈橋技術將通過在源鏈部署智能合約控制跨鏈,從協議層一舉打通各個異構鏈之間甚至各個主流公鏈之間的通信和交易。2020年8月主網上線。PolyNetwork是由Neo、Ontology、Switcheo基金會共同作為創始成員,分布科技作為技術提供方共同發起的跨鏈組織。
慢霧安全團隊梳理發現,黑客初始的資金來源是門羅幣(XMR),然后在交易所里換成了BNB/ETH/MATIC等幣種并分別提幣到3個地址,不久后在3條鏈上發動攻擊。結合資金流向及多項指紋信息可以發現,這很可能是一次蓄謀已久的、有組織有準備的攻擊行為。
韓國區塊鏈視頻游戲開發商Wemade推出USDC錨定穩定幣“WEMIX”和DeFi服務“WEMIX.Fi”:金色財經報道,韓國區塊鏈視頻游戲開發商 Wemade 宣布推出USDC錨定穩定幣“WEMIX”,旨在用于該公司不斷發展的 NFT 和 DeFi 區塊鏈生態系統。據悉,穩定幣WEMIX 目前已發行 1100 萬枚,完全由 Circle 的美元 穩定幣 USDC 錨定和支持,使其價值維持在 1 美元。此外,Wemade 還激活了 DIOS 協議,該協議將用于發行和銷毀 WEMIX,以保持該穩定幣與 USDC 的 1:1 比例。除了穩定幣,Wemade 還推出了 DeFi 服務“WEMIX.Fi”,允許用戶存儲、交換和質押 Wemade 的加密貨幣。(forkast)[2022/10/24 16:37:01]
攻擊啟動
1、8月10日晚上8點38分,跨鏈互操作協議PolyNetwork稱遭到攻擊,共計超6.1億美元轉出至3個地址。其中,轉出至0x0D6e2開頭幣安智能鏈地址的資金有超2.5億美元,轉至0xC8a65開頭的以太坊地址有超2.7億美元,轉至Polygon地址的有超8500萬美元。
數據:當前DeFi協議總鎖倉量為2107.8億美元:2月10日消息,據Defi Llama數據顯示,目前DeFi協議總鎖倉量2107.8億美元,24小時增加0.60%。鎖倉資產排名前五分別為Curve(198.8億美元)、MakerDAO(180.2億美元)、AAVE(138.8億美元)、Convex Finance(138億美元)、WBTC(115.1億美元)。[2022/2/10 9:42:43]
其中:
BSC資產:6613枚BNB、87,603,671枚USDC、26,629枚ETH、1,023枚BTCB、32,107,854枚BUSD
Polygon資產:85,089,719枚USDC
以太坊資產:96,389,444枚USDC、1,032枚WBTC、673,227枚DAI、43,023枚UNI、14枚renBTC、33,431,197枚USDT、26,109枚WETH、616,082枚FEI
聚幣Jubi DeFi新金融板塊AUCT一鍵挖礦新增支持SHIB、AUCT幣種:據官方消息,聚幣Jubi DeFi新金融板塊AUCT一鍵挖礦新增支持SHIB&AUCT幣種,用戶使用JT 、HT、 ETH 、USDT、DOGE、SHIB、AUCT即可單幣種無損挖礦AUCT,平臺將承擔由于交易及鏈上磨損帶來的費用。同期,聚幣Jubi舉辦“幸運大轉盤”活動,每日交易指定“犬”系幣種滿足抽獎條件即可贏取獎券。
AUCTPOOL是一個去中心化的NFT拍賣平臺,可將任何一件拍品轉化為NFT進行點對點拍賣;并為各種類型的拍賣活動建立可執行特定規則的拍品池(Lot Pool),幫助廣大用戶在專業、安全、可信的保障下參與競拍活動,使NFT資產拍賣成為每個人都可以參與的財富增值活動。[2021/5/11 21:48:45]
2、9點44分,Tether首席技術官PaoloArdoino發推稱,Tether已經凍結攻擊PolyNetwork的黑客地址3300萬USDT。
當前DeFi協議鎖定資產總價值超80億美元:金色財經報道,據DeBank數據顯示,當前以太坊DeFi協議鎖定資產總價值為80.3億美元,鎖定資產排名前五的分別為:Maker以14億美元排在首位、Aave鎖定資產總價值13億美元、Curve鎖定資產總價值12億美元、Synthetix鎖定資產總價值8.035億美元、yearn鎖定資產總價值為7.99億美元。注:總鎖倉量(TVL)是衡量一個DeFi項目使用規模時最重要的指標,通過計算所有鎖定在該項目智能合約中的ETH及各類ERC-20代幣的總價值(美元)之和而得到。[2020/8/24]
外界不解的是,幣安與Circle沒有凍結BUSD與USDC,這也直接導致后續1.2億美金的穩定幣被轉出。CZ回應沒有人能控制BSC,Circle對此沒有回應。
幣安CEO趙長鵬表示,我們都知道的PolyNetwork盜幣案今天發生。雖然沒有人控制BSC,但我們正在與所有安全合作伙伴進行協調,以主動提供幫助。無法給出任何,但我們將盡我們所能。
本體與Waves合作開發跨鏈DeFi解決方案:據官方消息,本體(Ontology)與Waves達成合作,雙方將共同開發跨鏈集成。本體將作為Waves預言機網絡Gravity的目標鏈之一,支持跨鏈DeFi解決方案和DApp來構建下一代Web 3.0應用程序。[2020/8/12]
3、9點56分,涉事以太坊地址開頭0xC8a65開始嘗試將資金存入Curve.fi洗錢,開始的幾筆交易嘗試由于USDT被凍結導致交易失敗,隨后便只存入DAI和USDC,共存入近一億的穩定幣。
4、10點03分,涉事幣安智能鏈地址開頭0x0d6e2又將近1.2億美元的穩定幣轉入Curve分叉項目EllipsisFinance。
5、10點27分,涉事以太坊地址開頭0xC8a65將此前存入穩定幣獲得的3CrvLP份額再次兌換為約96,942,061枚DAI。
雙方溝通
11日凌晨,PolyNetwork發出對黑客的信,表示我們希望與你建立聯系,并希望你歸還被盜的資產。你盜取的金額在DeFi歷史上是最大的一次,任何國家的法律都會把它視為一次重要的經濟犯罪,你會遭到追捕。再進行任何的交易對你來說是不明智的。你盜取的資金是成千上萬社區成員的財產。你應該與我們對話尋求一個解決方案。
隨后黑客回應:如果我轉移了剩余的幣,那將是十億美金級別,我難道不是拯救了這個項目?我對金錢不太感興趣,現在考慮歸還一些Token,或者將它們留在此處;如果我制作一個新的代幣并讓DAO決定代幣的去向會怎樣。
截止到8月11日上午9點40分,仍沒有最新的進展。
原因
安全公司BlockSec發布了最新的分析報告,針對PolyNetwork被攻擊事件,BlockSec安全團隊初步分析認為,導致攻擊發生的原因可能為用于跨鏈簽名的私鑰被泄漏或者簽名程序有邏輯漏洞導致簽署出攻擊交易。BlockSec認為,攻擊者可能擁有對消息進行簽名的合法密鑰,這表明簽名密鑰可能已泄露,或者PolyNetwork的簽名過程中存在一個bug,被濫用于對精心制作的消息進行簽名。慢霧安全團隊分析稱是由于跨鏈合約keeper被修改為黑客制定地址,從而使黑客可以隨意構造交易從合約中取出任意數量的資金。
其他
O3作為鎖倉量最大的跨鏈協議之一,早先就已經發生多起有組織的攻擊事件,但似乎沒有引起PolyNetwork與O3的警惕。O3與PolyNetwork都屬于NEO生態,也屬于中文地區最大的加密公鏈之一,近年來往DeFi領域發力。
7月14日巴比特文章指出,在此之前,跨鏈攻擊事件寥寥無幾。但在短短半個月內,已出現5起安全事件,損失超過1700萬美元。跨鏈攻擊明顯增多,這是否意味著黑客正在瞄準跨鏈協議生態?
TheBlock研究分析師IgorIgamberdiev曾表示,「DeFi協議之間的互操作性變得越來越復雜,因此開辟了新的攻擊媒介,并且將來會變得更加頻繁。」此外,攻擊者成功得手后也會通過跨鏈橋將資產快速轉移,再結合混幣服務將資產洗白。
10日晚間謠傳甚廣的官方私留超級控制權導致監守自盜,可能性并不大。NEO集團實力極為雄厚,并無需要進行如此操作;而如果是內鬼或合作伙伴操作,又會過于容易暴露。
公開資料顯示,PolyNetwork的審計由NCCGroup完成,以太坊智能合約審計由Certik完成。
行業人士指出,目前美國金融監管層對DeFi非常關注,中國相關部門也開始予以關注。日前美國SEC指控了首起DeFi案件。此次歷史金融最大的DeFi盜幣案如果無法善終,一方面可能影響行業對DeFi的信心,另一面可能誘發全球監管對DeFi的打壓。
免責聲明:作為區塊鏈信息平臺,本站所發布文章僅代表作者個人觀點,與鏈聞ChainNews立場無關。文章內的信息、意見等均僅供參考,并非作為或被視為實際投資建議。
以太坊
以太坊
開放的分布式區塊鏈應用平臺,通過其專屬加密貨幣Ether以太幣提供去中心化的虛擬機,處理點對點合約。允許任何人建立和使用通過區塊鏈技術運行的去中心化應用,沒有任何欺詐、審查、第三方監管。以太坊的概念首次在2013至2014年由維塔利克·布特林VitalikButerin受比特幣啟發后提出,旨在共同構建一個更全球化、更自由、更可靠的互聯網。以太坊EthereumETHERC20ERC-20ERC20ERC721ERC-721以太坊2.0以太坊2.0查看更多Curve
巴比特訊,8月12日23:40,隨著以太坊上一筆28953枚ETH被打入PolyNetwork設置的以太坊多簽收款地址,此前被盜的6.1億美元已全部歸還(5.8億美金已全部歸還.
1900/1/1 0:00:00尊敬的ZT用戶: ZT創新板即將上線RAI,并開啟RAI/USDT交易對。具體上線時間如下:交易:2021年8月12日17:00?; RAI 項目簡介:Reflexer平臺幫助用戶用自己的加密抵.
1900/1/1 0:00:00七夕要浪漫更要安全,安銀金融,八年安心!七夕甜蜜送好禮,首借用戶享免息!活動時間:2021.8.13~8.19活動一.七夕甜蜜好禮,首借用戶享免息!活動期間,首次參與AEX借貸寶的用戶.
1900/1/1 0:00:00Gate.ioNFTB空投福利活動已圓滿結束,根據活動規則,我們已為符合規則的用戶發放了活動獎勵。用戶可進入“錢包—賬單明細”查詢獎勵發放情況。活動詳情及規則請點擊查看.
1900/1/1 0:00:00Gate.io將于2021年8月12日17:00——8月19日17:00開啟FAN凈買入賽,200個獲獎席位,總獎池18,500美金,最高單人獎勵600美元.
1900/1/1 0:00:00今年5月份以來,AxieInfinity將GameFi引入游戲中,以引導邊玩邊賺的游戲模式,讓GameFi板塊形成特立行情,被更多用戶關注.
1900/1/1 0:00:00