生活常识DeFi年度大戏：黑客在 Poly N

pantuomenn · 发表于 2021-11-22 22:33:39

马上注册玉林红豆网会员，结交更多好友，享用更多功能，让你轻松玩转社区。

您需要登录才可以下载或查看，没有帐号？立即注册

x

8 月 10 日，异构跨链协议 P N 遭到攻击，损失达到 61 亿美元，包含 2,857 ETH、9,60万 USDC、26,000 WETH、1,000 WBTC、,40万 USDT、2,590亿 SHIB、14 BTC、67,000 DAI和 4,000 UNI 转至以太坊，6,600 BNB、8,760万 USDC、26,600 ETH、1,000BTC、,210万 BUSD 转至BSC，8,500万 USDC 转至 P。除了这几个方面，[url=http:///www.okexg.com]okex交易所[/url]在其他方面的表现也是比较良好，倍受大家的关注和研究。[align=center]

登录/注册后可看大图

[/align]

PS「派盾」第一时间定位并分析发现，此次攻击源于合约漏洞。

据了解，P N 是由小蚁 N、本体 O、S 基金会共同作为创始成员，分布科技作为技术提供方共同发起的跨链组织。

黑客如何狂揽 61 亿美元PS「派盾」简述攻击过程：

P N 中有一特权合约 ECCM，此合约主要用于触发来自其他链的信息。

在跨链交易中，任何人都可调用 HAET 来执行跨链交易，这个函数主要有个作用: 一是通过检验签来验证区块头是否正确，二是利用默克尔树来验证交易是否包含在该区块中，是调用函数 _CCT，即目标合约。

此次攻击事件源于 P N 允许调用目标合约，但在此过程中没有限制用户调用 ECCD 合约，该合约可追踪来自其他链上数据的公钥列表，即便在没有盗取公钥的情况下，如果你已经获取了修改公钥列表的权限，那么只需要设置公钥来匹配自己的私钥，基本上就可以畅通阻了。

由于用户可通过发送跨链请求欺 ECCM 合约调用 ECCD 合约，来蒙混 O 的检验，此时，用户只需要杜撰一个正确的数据就能触发修改公钥的函数。

接下来，攻击者离得手只有一步之遥，P N 的合约允许调用任意合约，但是，它只调用与签哈希对应的合约函数，如上图合约 C 所示。?

黑客在线演绎花式DF出金8月10日晚 20:8 PM，P N 官方在推特上公布攻击事件，并表示，为追回被盗资产，P N 将采取法律行动，敦促黑客尽还款，希望相关链上的矿工及各大交易所伸手援助，共同阻止黑客地址所发起的交易。

中心化机构、安全机构多方联动，试图阻止黑客洗钱。其中，稳定币 USDT 的发行方 T 响应极为速，直接冻结攻击黑客以太坊地址中 ,00 万 USDT。

虽然已有多方积极参与对黑客的围堵，但黑客仍通过各种花式 DF 玩法速混币，从这一点也可以看出，攻击者是个 DF 高阶玩家。

据 PS 追踪显示，他先是在以太坊上利用 C 添加 9,600万 USDC67,000 DAI 流动性，又在 BSC 上利用 C 分叉项目 E F 添加 8,700万 USDC,200万 BUSD 流动性；很，攻击者移除在 C 的流动性，全部兑换为 DAI，以防被冻。

年度大戏：吃瓜群众频支招黑客欲还所盗资产一方面，P N 在积极与黑客喊话，试图挽回所盗资产；另一方面，“看热闹不嫌事大”的吃瓜群众给黑客支起了招：“不要动用你的 USDT，你已经被列入黑单了。”并收到了黑客馈赠的 15 ETH（价值 4 万美元）；眼看着有利可图，吃瓜群众越发积极为黑客出谋划策，更有甚者，留言黑客一些可行的混币措施，试图换取看起来极为可观的回报。

就在各关联方进退门之时，黑客在区块高度 1001578 和区块高度 100157 中留言表示，准备归还部分资产。在 P N 提供多签钱包几个小时后，PS 追踪到黑客开始在 P 上归还部分 USDC，PS 将持续关注和追踪相关资产流转情况。

据 PS 统计，截至目前，2021年第季度发生的跨链桥安全事件，已造成损失合计逾 64 亿美元，占总损失 445%。

为何跨链桥频遭攻击

PS 观察发现，跨链协议这个新兴领域，打破了链与链之间的信息孤岛的壁垒，仍需要经受时间的考验。随着近期跨链桥的生态愈发多样化、丰富化，在它上面进行的交易、资金量大幅增长，例如，遭到攻击的 P N，跨链资产转移的规模已经超过 100 亿美元，超过 22 万地址使用该跨链服务，这也就吸引了黑客对于跨链协议的关注，再加上跨链桥本身是黑客资金出逃的重要环节，因此，也会成为黑客攻击的目标。

PS 建议设计一定的风控熔断机制，引入第方安全的威胁感知情报和数据态势情报服务，在 DF 安全事件发生时，能够做到第一时间响应安全风险，及时排查封堵安全攻击，避免造成更多的损失；并且应联动行业各方力量，搭建一套完善的资产追踪机制，时监控相关虚拟货币的流转情况；还要提升运维安全的重视度。

本文链接：866719 转载请注明文章出处