昕搜记者 赵奕 胡金华 上海报道
曾在2021年遭遇6亿美元DeFi史上最大窃盗案后,跨链协议Poly Network再度被黑客“光临”。根据PeckShield监测,Poly Network被黑客在多个链上铸造了共超过420亿美元的加密资产。
事件发生后,Poly Network官方发表声明表示,由于近期遭受攻击,已暂时停止服务,正积极与有关各方接触,并认真评估受影响资产的程度。
加密货币市场不断繁荣的同时,攻击者也变得愈加精明和复杂,导致巨额的损失。慢雾科技发布的《2023上半年区块链安全与反洗钱报告》显示,截至6月30日,2023上半年安全事件共185件,损失高达9.2亿美元。
“整体上看,加密货币现在已经成为一个规模化发展的大市场,因此虚拟资产相关的安全性问题成了一个系统性的工程。”北京计算机学会数字经济专委会秘书长王娟向《华夏时报》记者表示,和原有的网络安全、加密数据安全这些范畴有所不同,虚拟资产的项目安全包含了金融监管的信用风险。无法提取资产,银行会有,加密交易所也会有,这是金融相关行业无法回避的核心问题。
Poly Network再次被盗
记者从Poly Network官方获悉,此次被攻击导致10条区块链上的57种资产受到影响,包括以太坊、Polygon、Avalanche、Fantom、Optimism、Arbitrum、Gonosis、Heco等。Poly Network表示,已经与CEX和执法机构展开沟通,寻求帮助,希望与攻击者合作,归还用户资产,避免潜在的法律后果。同时,为了尽量减少进一步的风险,Poly Network已联系大多数项目团队,敦促其从DEX中撤出流动性,并建议持有受影响资产的用户尽快撤回流动性。
7月3日,据Beosin Alert监测,Poly Network攻击者在以太坊上共换取了5196枚ETH(约合1010万美元)。其他代币(约合2.6亿美元)由于流动性低,攻击者可能无法兑现。
针对本次事件,链上安全机构展开了讨论。DeFi安全专家Arhat表示,Poly Network跨链桥上的智能合约漏洞导致了攻击的发生。“黑客创建了一个包含虚假验证器签名和区块头的恶意参数。这使他们能够绕过对参数的验证,并从Poly Network以太坊池发行数十亿tokens,然后转移到他们的地址。”Arhat如是说。
但安全公司Dedaub则认为,Poly Network被攻击的根本原因不是智能合约上的逻辑错误,而最有可能的是,四分之三的Poly Network管理员的私钥被盗或被滥用。
Dedaub提到,Poly Network花了7个小时才对此次攻击做出反应,同时攻击者在多个链上精心策划了几笔交易来利用这一点。目前为止还没有明确的证据表明私钥被盗,它可能是一个Rug Pull,也可能是在四分之三的管理员上运行的链外软件受到损害。如果Poly Network开发人员确实确认攻击与受损的签名密钥有关,那么这就会让人质疑控制如此多资金的中心化跨链桥的适用性,这次攻击还表明Poly Network团队对底层桥的监控并不完美。
对此,王娟表示,区块链技术原本就是一个凭借用户的数量和分布式的程度来提升安全性的技术。但许多项目方为了尽快聚集资金,项目建设采用非常中心化的技术方案,建设速度快,暗箱操作容易,还有很多项目就是来源于一些开源的、并没有经过这个大规模检验的代码集合。针对数字资产的很多攻击已经是现成的工具,随时可用于盗取数字资产,只等规模起来养肥了羊。
“像rugpull这类风险,它其实是一个纯粹的道德风险,也就是说在一开始的时候,那项目方就是打算卷铺盖走人,把资金池做大了,就一定会离场跑路。”王娟说。
早在2021年8月,Poly Network便曾遭黑客攻击,仅短短34分钟,价值超6.1亿美元(约合人民币40亿元)的虚拟货币被洗劫一空。
彼时区块链安全技术团队分析认为,攻击事件发生的主要原因是合约权限的管理逻辑存在漏洞,恶意用户可以通过精心构造数据异常调用部分函数,即攻击者利用合约中存在的逻辑缺陷,通过该合约调用合约中的相应函数更改用户名为自有地址,然后使用该地址对提取代币的交易进行签名,从而将合约中的大量代币套取出来。
上半年链上安全问题致9亿美元消失
在如今的Web3世界中,黑客和恶意欺诈者仍旧让用户和项目处于极大威胁之中。在已经过去的2022年,有超过37亿美元的价值从Web3.0平台消失,因此链上安全已经成为行业生存的巨大威胁。
在王娟看来,对于一个成熟的加密货币市场来说,随着规模的扩大,加密市场所出现的劣币驱逐良币,给市场本身和行业发展制造了很多豆腐渣工程,而这些风险都是投资者去买单的。未来,用户所需的钱包安全等科技安全知识和项目投资等金融安全知识需要交叉学科提供专业指导。
“我们现在看到的加密货币监管,主要面向消费者保护的层面,首先其实针对信用风险和道德风险,然后才是来源于价格的这种市场性的风险,最后才是系统建设的技术性风险。”王娟说。
在《2023上半年区块链安全与反洗钱报告》中记录的185件安全事件中,DeFi、NFT、跨链桥事件共131起,损失约4.87亿美元;交易平台安全事件7起,损失约5662万美元;公链安全事件10起,损失约67.2万美元;钱包安全事件5起,损失约1.09亿美元。
愈演愈烈的链上安全事件已经引起了各国监管部门的重视。3月15日,欧盟执法合作署表示,德国和美国相关机构已从加密货币混合器ChipMixer没收4400万欧元资金。欧洲刑警组织表示有关当局关闭了该平台的基础设施,没收了四台服务器、7TB数据和1909.4 BTC(约合4770万美元)。4月24日,美国财政部制裁了三名为朝鲜黑客团队Lazarus Group提供支持的朝鲜人。
中国移动通信联合会元宇宙产业委执行主任、香港区块链协会荣誉主席于佳宁向《华夏时报》记者表示,许多安全性问题源自于区块链和加密货币生态系统中的各种参与者,包括交易所、钱包服务提供商、智能合约开发者等,而非区块链技术本身。
“在很多情况下,黑客攻击成功的原因并非是区块链技术的弱点,而是这些参与者的安全漏洞。因此,加密行业的安全性体现在对这些参与者进行持续地安全审计和强化安全防护措施。同时,持续的技术创新和优化对于行业安全发展也是极为必要的。许多新的技术和工具,如零知识证明、多重签名、硬件钱包等,都被引入到加密货币生态系统中,以增强其安全性。”于佳宁说。
责任编辑:徐芸茜 主编:公培佳 |