8月10日,跨链协议PolyNetwork确认被盗,使用该协议的O3Swap损失惨重,在以太坊、币安智能链、Polygon三条网络上的资产几乎被洗劫一空。据浏览器显示,在34分钟内,黑客带走了3.02亿枚USDT、5.5万枚ETH、2000枚比特币等等若干类资产,总价值6.1亿美金。要知道,2020年全年DeFi攻击事件共发生60余起,损失总和约为2.5亿美金,PolyNetwork一场攻击就超过了2020年整年2倍有余。这个量级的被盗规模,位列DeFi历史之首。攻击过程
首先,黑客通过攻击PolyNetwork以太坊跨链管理员合约。随后,PolyNetwork以太坊资产代理合约(合约地址:0x250e76987d838a75310c34bf422ea9f1AC4Cc906)开始陆续向黑客地址转账。根据律动BlockBeats统计,在差不多半小时的时间里,PolyNetwork以太坊资产代理合约一共向黑客地址发起了9笔转账,累计价值约2.6亿美元。黑客在34分钟里,从ETH、BSC、Polygon中带走了价值6.1亿美元代币。
Art Blocks引入BytecodeStorage V1,以增强链上存储能力:5月15日消息,生成NFT艺术平台Art Blocks发推称,在现有SSTORE 2基础上引入BytecodeStorage V1以增强平台的链上存储能力,同时与以太坊核心路线图、以及后续即将推出的以太坊对象格式(EOF)规范保持一致,新模型将支持把读取和写入分离到不同的数据库中。
随着EOF路线图的完善,团队将把其纳入post-EOF BytecodeStorage V2计划中,以缓解DApp处理过渡到不支持EOF合约、直接对传统合约进行EXTCODECOPY的过程中。此外,团队还决定增加对使用BytecodeStorage V0实现编写的合约以及使用SSTORE2编写的合约的向后兼容读取的支持。在post-EOF中,与BytecodeStorage V1共享阅读器的交互需要通过CALL而非基于读取传统合约的DELEGATECALL。[2023/5/15 15:02:53]
阿莱恩斯西部银行涨53% PacWest Bancorp触发熔断:金色财经报道,阿莱恩斯西部银行涨53%,触发停牌。PacWest Bancorp触发熔断,涨幅64.31%。[2023/3/14 13:03:52]
黑客的真人秀6亿美金的损失让策划这起历史罕见攻击事件的黑客成为了绝对焦点,而黑客也似乎很享受成为焦点的感觉,三条网络留下痕迹的三个攻击地址,成了他与全世界的直播频道。因为6.1亿美金的金额实在太引人注目,事发后各大平台和中心化资产方积极响应,试图阻止黑客利用平台特性将赃款转移。为此,在链上转账留言里,黑客向全世界询问如何使用以太坊上的匿名转账平台Tornado.cash进行混币。试想能够在34分钟盗走6亿美金的黑客,会连混币如何使用都不知道么?匿名转账这类知识黑客必定烂熟于心,慢雾在分析攻击时就说过黑客的初始资金来自匿名鼻祖门罗币。显然,黑客是在演戏,狂妄的黑客在利用这个频道营销自己。
Coinbase将于3月4日暂时下线,届时将无法交易和转账:金色财经报道,Coinbase发布公告称,由于系统将进行升级,将于太平洋时间3月4日上午9点暂时下线,届时所有交易和转账都将无法进行。[2023/2/4 11:46:34]
慢雾:Rubic协议错将USDC添至Router白名单,导致已授权合约用户USDC遭窃取:12月25日消息,据慢雾安全团队情报,Rubic跨链聚合器项目遭到攻击,导致用户账户中的USDC被窃取。慢雾安全团队分享如下:1. Rubic是一个DEX跨链聚合器,用户可以通过RubicProxy合约中的routerCallNative函数进行Native Token兑换。在进行兑换前,会先检查用户传入的所需调用的目标 Router是否在协议的白名单中。
2. 经过白名单检查后才会对用户传入的目标Router进行调用,调用数据也由用户外部传入。
3. 不幸的是USDC也被添加到Rubic协议的Router白名单中,因此任意用户都可以通过RubicProxy合约任意调用USDC。
4. 恶意用户利用此问题通过routerCallNative函数调用USDC合约将已授权给RubicProxy合约的用户的USDC通过transferFrom接口转移至恶意用户账户中。
此次攻击的根本原因在于Rubic协议错误的将USDC添加进Router白名单中,导致已授权给RubicProxy合约的用户的USDC被窃取。[2022/12/26 22:07:00]
随后的两条转账留言说明了一切,黑客用挑衅的语气,先表示「自己没有全部带走协议里的资产已经是手下留情」,随后又要「发起一个DAO组织去决定这些资产的去向」。
黑客并不是唱独角戏,无数看客在转账记录中留言,希望黑客能分一点赃款。其实每次黑客攻击后,暴露的地址都会有类似信息,但毕竟这是6亿美金的历史级别攻击,无数无眠的受害者与冷淡的看客,这也是另一片「黑暗森林」。我们能看到的是那些在O3Swap中资产损失的投资者,但是,对于一场数亿美金级别的攻击,行业里所有人都是被害者,这场攻击让那些有准备在DeFi市场里试水的机构望而却步,让那些专业的SmartMoney不敢轻易尝试。这场攻击打击的是O3Swap投资者的信心,同时也是传统投资者对DeFi的信心。这不仅是DeFi历史上量级最大的攻击,也许也是DeFi行业的转折。这场攻击还没有划上句号,律动会及时追踪关于这场攻击的任何消息,曾经也有2500万美金的DeFi被盗案件以黑客归还全部资产而告终,我们希望O3Swap的6亿美金,也能早日回到投资者手中。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。