Poly Network发布7月2日安全事件调查报告
Poly Network 是用于实现区块链互操作性和构建Web3.0基础设施的跨链协议。Poly Network 整合了 20 多个区块链,包括 Ethereum、Avalanche、Fantom、OKC、Neo、Ontology、Zilliqa、Elrond等。
2023 年 7 月 2 日,Poly Network 被利用,导致11 个区块链的58 项资产受到影响。昨日,Poly Network发布关于7约2日安全事件的调查报告。
调查报告显示,攻击者在程序编译环境中植入木马病毒,以获取Poly Network 中继链的共识密钥。随后,他们通过将原始链交易转移到攻击者的中继链来执行伪造的跨链交易,操纵目标链上预定解锁的资产数量。然后攻击者将攻击者的中继链交易转移到目标链。目标链合约验证了中继链签名,导致相应修改后的资产金额释放到攻击者的钱包地址。
对于Poly Network的跨链交易,每笔交易都会中继到Poly Network的中继链。一旦交易在Poly Network中继链上完成,它会进一步中继到目标链,并携带中继链标头和Merkle Proof,作为验证的输入以完成跨链交易。
漏洞发生后,对目标链上被利用交易的立即分析显示,提交了可疑的 Poly Relay Chain 区块头,已签名并成功通过了签名验证。通过比较高度和哈希值,很明显该块头与正在运行的 Poly Network Relay Chain 的块头不对应。因此,官方推断出黑客部署的两种潜在的利用路径:
1、黑客获取了Poly Network Relay Chain共识密钥(2f+1)并签署了伪造的区块头。
2、黑客利用保利网络中继链共识节点的安全漏洞,欺骗节点签署伪造的区块头。
本次事件,Poly Network被盗金额达到10.1 M。
去年8月Poly Network也曾发生被盗事件,被盗资金达到611M 美金。据统计,2022年攻击事件的总损失金额达 37 亿美元,其中跨链桥攻击损失占 35%。
免责声明:
本文观点仅代表作者个人观点,不构成本平台的投资建议,本平台不对文章信息准确性、完整性和及时性作出任何保证,亦不对因使用或信赖文章信息引发的任何损失承担责任
美联储刚刚“打破”了以太坊
我们在周期的哪个阶段?
白话区块链早报:美CFTC宣布启动新一轮「加密冲刺计划」
白话区块链早报:高盛表示稳定币市场正迎来新一轮扩张周期,潜在规模或达到数万亿美元级别
白话区块链早报:以太坊今晨创下历史新高,Gas平均值仅0.4 gwei
白话区块链早报:LD Capital创始人表示ETH下个目标将突破1万美元,并在降息周期中跑赢BTC
白话区块链早报:美SEC主席表示只有一小部分加密代币应被视为证券
白话区块链早报:比特币市占率跌破58%,山寨币市值过去一周上涨2.64%
0.00