北京时间8月十日晚上10点,加密货币的跨链收费协议poly network遭到黑客攻击。
其资金池遭到洗劫,高达6.1亿USD的加密货币失窃。这个数字创造了数字货币历史上最大的失窃金额。
poly network遭到攻击后,很多加密范围的安全公司调查了黑客借助漏洞窃取资金的状况。
8月11日上午,慢雾安全小组剖析指出:
被借助的漏洞是“以太币rosschaindata”合约的保管人(身份验证节点)可以被“以太币rosschainmanager”合约修改。
同时,“以太币crosschainmanager”合同的“verify HeaderAndexecuteX”功能可以是“execute crosschaintx”功能,它实行用户传入的数据。
因此,黑客通过此函数传入精心架构的数据,并将“以太币crosschaindata”合同的保管人修改为黑客指定的地址。
通常来讲,黑客攻击的办法是在公链a上发起跨链买卖。其内容是在公链B上调用跨链合同中更新保管员的功能,并用黑客学会的地址替换保管员。
因为不相同种类的跨链买卖的验证是容易见到的,原始保管人没审查买卖的具体内容,因此黑客的买卖由多个保管人确认并同步到B公链。
B public chain的跨链合约加盟实行请求。实行后,验证跨链买卖的保管人将更新到黑客学会的地址。
随后,拥有keeper的黑客可以自由控制跨链合同资金池中的资产。
北京时间8月11日凌晨,poly network开发团队在Twitter上确认了此次攻击,并公布了黑客的钱包地址。
随后,开发者呼吁有关公链和集中交易平台的矿工提供援助,冻结黑客窃取的资产,并表示将采取法律行动敦促黑客偿还。
图:poly network开发团队声明和公开信
在听到poly network开发团队的声音后,很多团队都拓展了有关工作。
一方面,KOL和社区团队借助其公众影响力在社交平台上公开叫嚷、谴责和说服黑客。
其次,很多安全公司开始跟踪黑客的离线信息。比如,slow fog安全团队通过在线和离线跟踪协会发现了黑客的电子邮件、IP和设施指纹。
除此之外,一家稳定币发行公司t以太币er宣布冻结了被黑客窃取的3300万USD。
最后,在各种力量的重压下,黑客放弃了对失窃资产的控制,并渐渐将其归还给poly network开发团队。
依据poly network开发团队在twitter上发布的信息,截至8月19日,黑客已经返还了价值约4.27亿USD的加密货币。
图:Poly Network开发团队通知
通过poly network的例子,大家可以看到,当DeFi项目发生风险时,社区和开发团队的积极性和实力非常重要。
在确认资金失窃后,开发团队借助社交平台立即发布有关信息,社区还动员力量呼吁矿工、交易平台和t以太币er采取行动。
同时,安全公司也在积极探寻黑客的线索,并与他们进行谈判。
最后,在现实社会中没真的用法律武器的状况下,黑客赞同归还失窃资产,并以加密世界的方法成功解决了危机。
这一事件对道也有着深远的意义。
Dao的英文全名为去中心化自治组织,即去中心化自治组织。
凭着此次poly network的经验,Dao将在将来的DeFi项目中发挥更要紧有哪些用途。在项目的平时运作中,Dao可以决定是不是同意新的提案,从而影响项目的进步轨迹。
面对危机,Dao代表了大部分持有人的利益,并积极与外面交流,以维持整个项目的稳定进步。
