此次被盗后,找到了当事人进行了资金追回,目前资金追回进度如何?
如果资产没有被追回,那这笔损失会由谁进行买单?
嘉宾您好!我想请您用通俗易懂的给我们讲解为什么会被盗。另外我想问的是我们怎么能确定我们的钱包是安全的,可以增加一键取消授权的明显功能吗?因为我们每次使用后当时不解除授权,后面都要查询才知道自己授权了哪些
保护项目的私钥安全,可否参照curve那样操作?
从这个事件得出,项目上线必须审计,但是审计了都有可能出问题,是否为到区块链保险项目打开了契机,如果一些大资金项目上线,为了减小风险,购买保险或许是个不错的选择,这是我个人的一些看法,不知道区块链保险是否可行,希望团队给一些意见
根据黑客的自问自答,他说要同时发起四条链的攻击,为什么在火币链会失败?是否说明在安全性能上火车链更安全?
另外就是对于审计公司的权威性,像这种专业的安全问题,普通用户是完全无法识别的,是否有项目方给钱,审计就过的嫌疑?
您好,越复杂的代码逻辑是不是出现漏洞的可能性要较高了,这种类型的攻击是否能通过多轮的代码审计杜绝呢?
盗币前:
政府:你们需要监管
defi:我们是去中心的
盗币后:
we need help…
一直说代码即法律,这下好了,人家有后门,可以直接把币全转走
首先,感谢imtoken组织地这次互动活动。我有以下几个问题想分别问一下几位嘉宾:
1,慢雾科技,您好,我想问一下你们能否用通俗一点,不太技术性的话术给大家科普一下你们一般是从哪些方面去审核项目的安全性的?
2,everFinance的Sandy您好,我之前没用过你们的产品,刚才搜索了一下,但是还是一知半解,网上介绍也比较笼统,您能否用简单一点的语言介绍一下everFinance和everPay具体有哪些功能,对于我们普通用户有什么用?
3,imtoken的Brain您好,我是imtoken的老用户了,imtoken一直比较重视用户安全,在业内口碑也非常好,但是一直以来就有很多山寨甚至针对imtoken的假冒APP和网站来骗取用户的资产,比如之前的CX项目plustoken在名字上就有意模仿imtoken,再比如最近非小号等一些币圈媒体网站上投放假imtoken广告误导用户下载假imtoken等,请问imtoken用没用一些更好的应对措施来避免用户被这些假APP骗取资产,谢谢。
请问一下,黑客使用的技术对其他项目是否也有相同作用
作为普通的用户根本就不能区分项目在代码层面的靠谱程度,能做的就是看看有没有审计报告这些。发生这种事情之后,如果黑客不归还,那买单的还不是只有普通的用户。还有想吐槽一下 USDT ,从他的身上真的可以看出区块链是一个靠共识的,大家都相信他和美元是一对一挂扣的。之前国外就有人研究他虚假增发。
这次怎么大的金额是发生在跨链的项目中,是不是现有的很多跨链的技术还不成熟,或者还是其他的区块链项目都会有怎么大的风险。
想问问,这种被盗的事情发生之后,我们能通过什么手段让项目方和用户的损失降到最低。还是得找到那个盗币的人吗?
这次事件到底是项目方自留后门还是黑客真的找到了漏洞我们普通用户是不清楚的 如果黑客最后不归还资金是不是由用户来买单呢?像这种类似的别的跨链桥是不是也有着不为人知的巨大漏洞呢?
大家好呀,欢迎大家来参加我们的活动。通过前面的帖子大家对我们的嘉宾应该有了一定的了解。最近黑客攻击跨链互操作协议 Poly Network ,6.1 亿美元被盗走,成为区块链行业的一大事件。我们很高兴邀请到三位嘉宾来和我们聊一聊。本次活动我们分为两个环节。
- 在前 30 分钟,我会给嘉宾提问,请三位嘉宾回答一下。
- 之后是嘉宾自主回答用户问题的时间。
1赞
首先请三位嘉宾能用简单易懂的语言给大家介绍一下事件的经过吗?
hello, 大家好,我是 everFinance 的 后端开发 Sandy.
我从 SlowMist 公布的事件分析了解到,Hacker 利用 keeper(多签者) 的签名校验漏洞构造了一笔看似是普通的跨链交易,但其中夹杂了额外的 calldata 数据用于修改 poly network 中的 keeper 公钥。交易执行之后 ploy network 上的 keeper 公钥都替换成 harker 自己的公钥了,此时相当于接管了系统。
1赞
Hi,大家好,这里是慢雾科技。
在8月10日Poly Network攻击事件发生第一时间,慢雾安全团队保持高度关注,一直在分析攻击过程、追踪资金流向、统计被盗损失,在imTokenFans社区我们也第一时间发布了帖子。此次事件的主要时间线为:
8月10日20点38分,Poly Network 称遭到攻击,共计超 6.1 亿美元转出至 3 个地址。
8月10日21点44分,Tether 冻结攻击 Poly Network 的黑客地址 3300 万 USDT。
8月10日21点56分,Ethereum上的黑客地址在 Curve 上添加了超 9706 万美元(包括 67 万枚 DAI 和 9638 万枚 USDC)的流动性。
8月10日22点03分,BSC上的黑客地址将近 1.2 亿美元(包括约 3210 万枚 BUSD 和约 8760 万枚 USDC)的流动性添加到 Curve 分叉项目 Ellipsis Finance 中。
8月10日22点27分,Ethereum上的黑客地址撤销流动性将 9638 万枚 USDC 和 67 万枚 DAI 换成 9694 万枚 DAI。
8月10日23点00分,慢雾安全团队发布了关于攻击者信息、资金分析等的快讯。
8月11日05点25分,慢雾安全团队发布了本次攻击事件的简析。
8月11日 16点43分,黑客在重重压力下,开始归还资产。
8月11日21点10分,经过内外部详细的技术分析和验证后,慢雾安全团队发布此次攻击事件的技术细节及疑难问答。
3赞
专业 
问题主因是 relayer 缺少对交易的语义校验,导致包含修改管理员签名的恶意交易被打包到polychain上,虽然Poly设置的管理员有多个,但是被攻击者控制改为攻击者签名。从而窃取到链上所有资产。
2赞
好的,感谢大家的分析。
我们可以看到这次是发生在的一个跨链的项目,现在有许多链的生态都非常的繁荣,用户对于跨链的需求也越来越旺盛,对于跨链我们可以聊聊从项目方的角度是如何把关这方面的风险,审计机构会注重关注那些关于安全的点以及如何从钱包的方面控制风险?