8月10日消息,跨链互操作协议PolyNetwork称“遭到攻击”,共计超6.1亿美元转出至3个地址,其中转出至0x0D6e2开头币安智能链地址的资金有超2.5亿美元,转至0xC8a65开头的以太坊地址有超2.7亿美元,转至Polygon地址得有超8500万美元。
同日,O3 swap的跨链池有3.35亿美元被转出,至此该项目总计受攻击“被盗”10亿美元左右。(O3 swap为项目名称,PolyNetwork为协议名称,两者为同一项目。)
11消息,Tether CTO Paolo Ardoino表示,已冻结PolyNetwork盗币案中3300万美金的USDT。据统计数据,2021年前半年,与DeFi相关的黑客和欺诈使协议及其用户损失了4.74亿美元,这一数字较之去年上升超过270%,DEFI的安全性一再受到质疑。
8月11日最新消息,被盗资产中有神鱼的一亿美金资产,目前神鱼正在积极索赔中。
据最新消息显示,慢雾安全团队正在追踪已关联发现攻击者的邮箱、IP及设备指纹等信息,而追踪攻击者的技术合作伙伴之一是HOO虎符交易所(扩展阅读:《【币市天眼】虎符交易所再爆负面,恶意上线传销币!》)。
“被盗”原因调查
据相关信息显示,O3 swap被盗原因是“利用超级权限转移用户质押资产”。
结合以上信息,“被盗”原因基本可以确定3点非正常信息:
疑点1——O3 swap给自己留有超级权限
在今年5月份,微博网友“昆麟玉”在查询O3 swap的代码时发现该项目合约自带“一键RUG”功能,该功能可以把用户的资产随时转走,不需要经过用户任何验证。
值得注意的是,这个“一键RUG”功能并非是系统代码不严谨导致的“漏洞”,而是刻意添加的功能。O3 swap所谓的“超级权限”所指应该就是这项本不该存在的“功能”。那么,当初O3 swap添加这项功能的目的又是什么呢?
疑点2——盗币者地址中的eth是从虎符交易所转出
HOO虎符交易所向来擅长“冻结账户”,并对所有账户的“异常交易”盘查非常严格。如此大规模的ETH从HOO虎符交易所转出却未能引起丝毫警觉,是业界和HOO虎符交易所都“没想到”的。
黑客或许也看中了HOO虎符交易所的口号:“用虎符、谋大事”
疑点3——.倘若一切均由黑客攻击引起
倘若一切真如目前定性的,均由“黑客”攻击引起,那么黑客必然从O3 swap项目团队那里获得了管理私钥,并通过管理私钥非常“迅速”地启动了“一键RUG”程序,继而转走了10亿美元的资产。
那么如果这个推论形成,DEFI领域的安全性是否真的如一再强调的那样就非常存疑。整个区块链DEFI领域都将遭受致命的打击,因此受损的不仅是O3 swap项目一个,而是如今在区块链行业内总市值高达1000亿美元的DEFI领域。
风险提醒
通过O3 swap的黑客攻击事件可以看出,数字货币领域有极强的技术属性,当技术出现问题时,所有规则都将不复存在。而区块链本身的不可篡改属性决定了除非黑客“良心发现”,否则,即便是找到攻击者也无法追回资金。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.