从POLY NETWORK被攻击事件看区块链安全隐忧

释放双眼,带上耳机,听听看~!

截至8月11日12时59分,Poly Network O3资金池被盗事件经过持续发酵后有了最终结果。

黑客使用攻击地址“自己给自己”发送交易,在交易附带信息里说到“I NEED A SECURED MULTISIG WALLET FROM YOU”

金色观察|“迷途知返”的黑客与区块链安全隐忧

然后poly network回复:“We are preparing a multi-sig address controlled by known Poly addresses”,并在50分钟后分别回复以太坊、BSC和Polygon的接收地址:

ETH:0x71Fb9dB587F6d47Ac8192Cd76110E05B8fd2142f

BSC:0xEEBb0c4a5017bEd8079B88F35528eF2c722b31fc

POLOGAN:0xA4b291Ed1220310d3120f515B5B7AccaecD66F17

这种长时间的交流经历持续了大约15个小时。我第一次尝试沟通时,Poly Network试图获得沟通,并留下了一封沟通电子邮件。两小时后,他们继续沟通,如果资产被归还,会因为这次发现安全漏洞给予安全奖励。

然后黑客在攻击地址中说,他可能会建立一个Dao来确定地址中的资金的流向。

Poly Network再次回复道,Dao的成立无法改变资金被盗的事实。如果这些资产被归还,将为黑客提供安全奖励,这也将成为历史上最大的“白帽”黑客事件。

随后,黑客称自己是传奇人物,并将归还资产。

白帽黑客指正义的黑客,区块链圈很多安全公司的中流砥柱都出自白帽。

也许这次涉及的黑客们真的不像他们说的那样对钱感兴趣。

下午5点左右,Poly Network公布的POLOGAN地址收到101万美元。在发布之前,资产暂时没有转移到其他地址。

然而,作为区块链从业者和用户,面对攻击时,很小的概率会导致好的结果,这可能会影响项目和用户资产的安全。

安全事件发生后,在对事件的评论中,有一条极具讽刺意味的评论“讲个笑话,区块链是安全的。”

外行看热闹,内行看门道。

区块链的安全性是一个相对的概念,而不是一个绝对的概念。

在暴利、不受监管的加密货币和不成熟的合同设计的诱惑下,加密货币网络中的合同漏洞被视为黑客的ATM不足为奇。

在传统的金融领域,安全不仅在于软件,还在于过程保护。但是,当通过智能合约自动执行所有流程时,将出现多个漏洞。

最大的保证是代码正确性和安全案例的设计实践。

保利这一次的问题是,黑客可以控制资金池中管理账户转账的权限。当转出地址更改为黑客自己的地址时,只要将虚拟数据转出交易发送到合同,资金池的资产就会顺利转出。

此漏洞主要存在于以下事实中:某些合约旨在接受特定数据并执行操作,但有多因素管理可以执行此操作。单因素漏洞被黑客利用并被剥夺“权限”。

还应为此类活动建立一个理解框架。

它分为链安全和契约安全。

公链必须首先保证链的安全性,即总账簿的安全性和交易包装的安全性。其次是合同执行的安全性。

软件的安全性取决于开发人员代码的成熟度。俗话说,没有绝对安全的系统,只有素质参差不齐的开发人员。

链安全意味着在一致性算法设计和在链上编写基本协议方面不应有漏洞。第二,根据基本协议执行的合同不应存在任何问题。例如,以太坊上的发代币合同是一个基本流程,但如果合同漏洞中存在明显的额外发行漏洞,则很可能被用于发行额外代币。

供应链的安全主要由协商一致来保证。比特币使用中本共识,以太坊使用ETHash,波卡使用NPO。它的保证是总账簿不能被篡改。契约安全性只能关注其设计问题和编码成熟度。

因此,合同设计人员和开发人员应严格设计合同,并检查设计漏洞、编码漏洞、设计逻辑以及业务场景中可能出现的问题。

在这里,我们仍然向您提供通过合同审计的理念来理解合同安全性的理念。

安全审计团队在收到审计要求后,将首先在团队内部使用安全审计工具,但该工具是辅助工具,然后进行手动审计。此过程将根据审计列表对常规漏洞点进行审计。

然后进行业务审计,包括什么业务场景、业务规模和业务逻辑。那么,如何描述业务取决于代码是否与描述功能不一致,是否会被收集,令牌是否被锁定,权限设置是否错误,是否会发行额外或无限的硬币等。

然而,如上所述,在完成这些过程之后,代码的安全性取决于代码的成熟度,不同的开发人员由于惊奇而对合同做出不同的判断。此外,由于智能合约的特殊性和DeFi业务逻辑的复杂性,代码审计必须进行交叉审计和相互审查。

就像Poly Network的以太坊合同一样,在合同的后续流程中没有问题,但在黑客看来,通过合同流程前的一些数据伪造,他们控制了自己的合同转出权限。这也是一种迂回的突破方式。

或者因为Poly Network是一个跨链系统,所以问题部分可以称为跨链合同交互部分,这也代表了跨链案例的实践,应该更符合逻辑。

从智能合约设计的角度来看,DeFi合约的大部分问题都是由资产转移、价格计算和权限控制引起的。因此,开发者在这些方面需要开始向上延伸,并在这条道路上寻找可能的薄弱环节加以防范。

Poly Network这次很幸运。黑客可以归还资产。虽然一小部分已经归还,但我们仍在等待更多的资产转移。作者从Poly Network获得的消息是,合同已升级。最高优先级的目标是恢复用户资产,其他细节将在稍后公布。

金色观察|“迷途知返”的黑客与区块链安全隐忧

根据黑客发布的消息,黑客们似乎已经接受了保利提出的安全奖励,希望在这场游戏中,双方能尽快结束拉锯战。正如Poly Network所说,让这起安全事件成为历史上最大的白帽黑客事件。

给TA买糖
共{{data.count}}人
人已赞赏
头条资讯

观察|看看持有比特币的37家上市公司都赚钱了吗

2021-8-13 10:14:21

头条资讯

五分钟认识Coinbase Pro上线的Iotx、ORN、Quick、Tribe和Ust的基本信息

2021-8-13 10:32:38

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索