黑客在Poly Network狂揽6.1亿美元 在线演绎花式DeFi出金

8 月 10 日,异构跨链协议 Poly Network 遭到进攻,损失到达 6.1 亿美元,包括 2,857 ETH、9,630万 USDC、26,000 WETH、1,000 WBTC、3,340万 USDT、2,590亿 SHIB、14 renBTC、673,000 DAI和 43,000 UNI 转至以太坊,6,600 BNB、8,760万 USDC、26,600 ETH、1,000BTCb、3,210万 BUSD 转至BSC,8,500万 USDC 转至 Polygon。

PeckShield「派盾」第一时间定位并阐明发明,此次进攻源于合约裂痕。

据相识,Poly Network 是由小蚁 Neo、本体 Ontology、Switcheo 基金会配相助为首创成员,漫衍科技作为技能提供方配合提倡的跨链组织。

黑客如何狂揽 6.1 亿美元?

PeckShield「派盾」简述进攻进程:

Poly Network 中有一特权合约 EthCrossChainManager,此合约主要用于触发来自其他链的信息。

在跨链生意业务中,任何人都可挪用 verifyHeaderAndExecuteTx 来执行跨链生意业务,这个函数主要有三个浸染: 一是通过检讨签名来验证区块头是否正确,二是操作默克尔树来验证生意业务是否包括在该区块中,三是挪用函数 _executeCrossChainTx,即方针合约。

此次进攻事件源于 Poly Network 答允挪用方针合约,但在此进程中没有限制用户挪用 EthCrossChainData 合约,该合约可追踪来自其他链上数据的公钥列表,即便在没有偷取公钥的环境下,假如你已经获取了修改公钥列表的权限,那么只需要配置公钥来匹配本身的私钥,根基上就可以流畅无阻了。

由于用户可通过发送跨链请求欺骗 EthCrossChainManager 合约挪用 EthCrossChainData 合约,来蒙混 onlyOwner 的检讨,此时,用户只需要杜撰一个正确的数据就能触发修改公钥的函数。

接下来,进攻者离到手只有一步之遥,Poly Network 的合约答允挪用任意合约,可是,它只挪用与签名哈希对应的合约函数,如上图合约 C 所示。 

黑客在线演绎花式 DeFi 出金

8月10日晚 20:38 PM,Poly Network 官方在推特上发布进攻事件,并暗示,为追回被盗资产,Poly Network 将采纳法令动作,催促黑客尽快还款,但愿相关链上的矿工及各大生意业务所伸手援助,配合阻止黑客地点所提倡的生意业务。

中心化机构、安详机构多方联动,试图阻止黑客洗钱。个中,不变币 USDT 的刊行方 Tether 响应极为快速,直接冻结进攻黑客以太坊地点中 3,300 万 USDT。

固然已有多方努力参加对黑客的围堵,但黑客仍通过各类花式 DeFi 玩法快速混币,从这一点也可以看出,进攻者是个 DeFi 高阶玩家。

据 PeckShield 追踪显示,他先是在以太坊上操作 Curve 添加 9,600万 USDC/673,000 DAI 活动性,又在 BSC 上操作 Curve 分叉项目 Ellipsis Finance 添加 8,700万 USDC/3,200万 BUSD 活动性;很快,进攻者移除在 Curve 的活动性,全部兑换为 DAI,以防被冻。

年度大戏:吃瓜群众频支招 黑客欲还所盗资产

一方面,Poly Network 在努力与黑客喊话,试图挽回所盗资产;另一方面,“看热闹不嫌事大”的吃瓜群众给黑客支起了招:“不要动用你的 USDT,你已经被列入黑名单了。”并收到了黑客奉送的 13.5 ETH(代价 4.3 万美元);眼看着有利可图,吃瓜群众加倍努力为黑客出经营策,更有甚者,留言黑客一些可行的混币法子,试图调换看起来极为可观的回报。

就在各关联方进退无门之时,黑客在区块高度 13001578 和区块高度 13001573 中留言暗示,筹备偿还部门资产。在 Poly Network 提供多签钱包几个小时后,PeckShield 追踪到黑客开始在 Polygon 上偿还部门 USDC,PeckShield 将一连存眷和追踪相关资产流转环境。

据 PeckShield 统计,停止今朝,2021年第三季度产生的跨链桥安详事件,已造成损失合计逾 6.4 亿美元,占总损失 44.5%。

为何跨链桥频遭进攻?

PeckShield 调查发明,跨链协议这个新兴规模,冲破了链与链之间的信息孤岛的壁垒,仍需要担那时间的检验。跟着近期跨链桥的生态愈发多样化、富厚化,在它上面举办的生意业务、资金量大幅增长,譬喻,遭到进攻的 Poly Network,跨链资产转移的局限已经高出 100 亿美元,高出 22 万地点利用该跨链处事,这也就吸引了黑客对付跨链协议的存眷,再加上跨链桥自己是黑客资金出逃的重要环节,因此,也会成为黑客进攻的方针。


免责声明:数字资产交易涉及重大风险,本资料不应作为投资决策依据,亦不应被解释为从事投资交易的建议。请确保充分了解所涉及的风险并谨慎投资。OKEx资讯站仅提供信息参考,不构成任何投资建议,用户一切投资行为与本站无关。