八月对于黑客来说是一个重要的月份,因为加密货币历史上最大的黑客攻击之一在 Poly Network 上发生了,并产生了奇怪的结果。
针对的网络攻击 保利网络 因一些奇怪的曲折和令人头疼的转折而成为头条新闻。可以想象,掠夺加密货币交易所比抢劫银行更容易。
高风险的加密货币盗窃似乎正在增加。然而,必须指出的是,这些去中心化技术自诞生以来仍在不断发展。与任何系统一样,当发现漏洞时,它们就会被修复。
保利网络传奇
保利网络无疑是本月最大的黑客丑闻。
黑客发现了一个 数字合同中的漏洞。这些是 Poly Network 用于在不同链之间转移加密资产的方法。通过这一点,他们找到了出路。
然后,他们开始在三个区块链上实施大规模的加密货币抢劫。 以太坊 、币安、Polygon Network 均受到打击。他们从去中心化金融中抽走了超过 600 亿美元(DEFI)平台。
更重要的是,攻击者在这次攻击期间一直在公众面前露面。他们甚至甚至 发布问答 声称这次袭击是“为了娱乐设立的区域办事处外,我们在美国也开设了办事处,以便我们为当地客户提供更多的支持。“
然而,他们抢钱的真正动机尚不清楚。这是因为 他们的理由 是相当矛盾且令人困惑的。在问答中,他们声称他们拿走这些代币是“为了保证其安全”。
他们声称,他们拿钱是为了防止 Poly Network 的任何内部人员发现该漏洞。然而,他们没有解决这个问题,而是决定拿走这笔钱。
他们似乎把担心这一漏洞作为自己的责任。然后他们把注意力集中在抢劫上 DEFI 平台试图找到最佳方式在不被注意的情况下洗钱。
然而,攻击者在加密社区的监视下进行了嘈杂的交易。这些都是在公共区块链上观察到的。他们甚至购买了加密朋克 NFT 42,000等,这个数字价值超过180亿美元。
不寻常的黑客举动
奇怪的是,他们最终归还了 550 亿美元的赃款。黑客一度将另一半收入囊中,尽管他试图解释这次入侵是出于善意。
在一个 Twitter线程保利网络表示,“我们呼吁受影响的区块链和加密货币交易所的矿工将来自上述地址的代币列入黑名单……我们将采取法律行动,并敦促黑客归还资产。”
系链,该 stablecoin USDT, 回应 调用将攻击者使用的地址列入黑名单。
就在这种情况发生时,一位名叫 Hanashiro 的加密货币用户发送了一条消息 空白以太坊交易 向攻击者提供建议,帮助黑客应对不断变化的形势,并说:“不要使用您的 USDT 代币,您已被列入黑名单。”
半小时后,入侵者回复 Hanashiro,发送了价值约 13.37 美元的 57,000 ETH 以表谢意。羽城随后将部分资金捐赠给慈善组织。
社区成员支持黑客
这笔付款的消息不胫而走。这引发了以太坊网络上的“淘金热”。
潜在的共犯开始向攻击者使用的帐户发送消息,向他们提供有关如何洗钱的建议,以请求慈善捐款。
保利网络 说 他们将对袭击者采取法律行动,并表示“任何国家的执法部门都会将此视为重大经济犯罪,并将追捕你。”
随着资金未归还导致事态升级,保利网络随后 向入侵者提供 发现漏洞的奖金为 500,000 美元。
黑客拒绝了他们。毕竟,他们持有近 XNUMX 亿美元的被盗资产。
在 Poly Network 敦促黑客归还资金和最终归还资金之间,Poly Network 为入侵者提供了一份新任主管的工作 安保行业 Advisor,也被拒绝了。
“通过与白帽先生的沟通,我们对于事态的发展以及白帽先生的初衷也有了更全面的了解。”保利网在一篇报道中称。 声明,他们用这个绰号来指代入侵者。
追踪黑客行为
然而,这并不是故事的结局。区块链生态系统安全公司慢雾成功解开了黑客的线索。
他们通过使用链上和链下跟踪揭露他们的邮箱、IP 地址和设备指纹来做到这一点。
在慢雾合作伙伴Hoo Tiger Symbol的技术帮助以及多家参与交易所的帮助下,慢雾安全团队能够确定攻击者最初的加密货币来源是Monero (XMR)。
然后他们将资金转移到交易所的 BNB、ETH 和 MATIC。随后,他们将资金提取到多个地址,然后对三个交易所发起了黑客攻击。
区块链上的一系列活动使得追踪它们变得更加容易。然而,他们得出的结论是,该攻击者在执行黑客攻击之前进行了彻底的研究、计划和组织。
更多的黑客攻击,不同的受害者
这个传奇中展开的下一个事件来自位于剑桥的人工智能实验室 Fetch.ai,该实验室 要求 6 月 XNUMX 日黑客入侵币安的加密货币账户后,币安致力于识别和追踪黑客的动向。
网络限制了攻击者的帐户。从而阻止他们提取资产。据报道,攻击者在一小时内将这些资金出售给第三方。
Fetch.ai 要求币安冻结入侵者在交易所的账户。使问题进一步复杂化的是,最高法院批准了这些请求,以便该事件能够通过法律渠道得到充分调查和解决。
有报道称,币安将遵守法院命令。然而,除非他们提供证据证明他们是这件事的受害者,否则他们将无法寻求恢复令。
“我们需要消除加密资产是匿名的神话。现实情况是,只要有正确的规则和应用程序,它们就可以被跟踪、追踪和恢复。”代表 Fetch.ai 的 Rahman Ravelli 合伙人 Syedur Rahman 说道。
币安已经 在火下 由于世界各地的金融机构一直在审查该交易所。英国和其他几个国家已经对使用该交易所发出了警告。与此同时,其他人也完全实施了禁令。
日本液体加密货币被泄露
保利网络并不是97月份唯一的安全事件。液体加密货币。威胁行为者还攻击了位于东京的日本加密货币交易所。他们筹集了 XNUMX 万美元的加密货币,包括 BTC、ETH、TRX 和XRP。黑客的目标是热钱包。
Liquid Crypto 的回应是 说 它暂时将所有资产离线转移到冷钱包中。此外,他们还暂停了所有交易服务。
该交易所报告称,他们“目前正在追踪资产的流动情况,并与其他交易所合作冻结和追回资金。”
根据博客文章,该公司 解释 黑客的目标是多方计算 电子钱包把钱转出 (MPC)。 MPC 用于存储和管理新加坡子公司 QUOINE PTE 的加密货币。然而,Liquid Crypto 并未发表声明解释入侵者如何闯入。
“我们目前正在调查并将定期提供最新情况。在此期间,存款和取款将暂停。”该交易所在一份声明中表示。 鸣叫.
此外,Liquid Crypto 推文还显示了黑客用来窃取被盗资产的加密货币地址。
错误赏金可以提供解决方案 黑客攻击
Poly Network 在最近的一篇博客文章中表示,将启动一项价值 500,000 万美元的漏洞赏金计划。这将欢迎研究人员和黑客发现并报告其软件中的任何漏洞。
根据错误赏金 清单 on 免疫,最高赏金金额为 100,000 美元。凭借与网络安全领域积极参与者合作的有吸引力的激励措施,这可以被视为额外的资产保护层。
在寻找可利用漏洞的竞赛中,让不良行为者落后无疑是解决问题的关键。谁先找到他们是另一回事。
错误赏金计划是一项众包计划。它对发现并报告软件漏洞的个人进行补偿,这些漏洞可以通过代码审核和渗透测试来执行。
这使得网络安全行业的公司和成员能够在威胁行为者发现解决方案用于自身优势之前找到解决方案。
免责声明
我们网站上包含的所有信息都是真诚发布的,仅供一般参考。 读者对我们网站上的信息采取的任何措施均完全自担风险。
来源:https://beincrypto.com/bug-bounties-a-possible-solution-to-cryptocurrency-exchange-hacks/