DeFi安全事故频发,但6.1亿美元被盗不是终点
9月1日,DeFi项目Cream Finance 发布报告,其官方表示在8月31日中午12点发生的黑客攻击事件中,损失共 4.6 亿枚 AMP 代币和 2804 枚 ETH ,约合 1800万美元。这已经不是Cream Finance第一次出现安全事故了,2021年2月14日,Cream Finance曾因代码漏洞被黑客攻击损失3750万美元资产。
而这还不是近期DeFi领域内的最大安全事件。
8月26日深夜,区块链跨链协议团队Poly Network 正式宣布已经为用户恢复了此前黑客归还的所有资产,总价值为 6.1 亿美元。该消息标志着8月10晚发生的DeFi史上最大金额的攻击事件最终化险为夷,一场巨额资金被盗的悲剧事件在多方努力下以一个体面的方式结尾。
历时16天,白帽黑客、项目方、交易平台、安全团队等等区块链各群体轮番登场,一场神奇的博弈和合作在链上世界通过转账信息一一展开,该事件将注定被写入区块链发展的 历史 中。
8月10日晚间,全球加密货币社区被一则消息震动,随后各方开始了一系列行动。专攻跨链技术的Poly Network宣布主网被黑客攻击,其用户在BSC(币安智能链)、以太坊、Polygon(以太坊侧链)三条区块链上的资产总计被转移6.1亿美金,该金额超越此前DeFi的安全事故,成为迄今金额最大的DeFi安全事件。连圈内知名的DeFi参与者,F2pool创始人毛世行事后都确认个人资金参与其中。
8月11日,界面新闻从Poly运营方获悉,整个团队彻夜未眠,除了最重要的资产被盗,社区内爆发的各类猜想和原因分析让该团队背负巨大压力,加密货币社区中甚至有人质疑Poly作为项目主导方“监守自盗”。
下为整理后的事件始末图。
但DeFi安全事故频发的背后并不是偶然的集中爆发,其背景是一个正在爆发增长的区块链新方向。
如果说2021年是“NFT”大热之年,那么2020年则被区块链世界认为是DeFi爆发的年度,这一年的夏天也被社区称为“DeFi Summer”。
所谓DeFi,全称“Decentralized Finance”,译为去中心化金融,在区块链世界里,它是指通过在区块链上部署有代码组成的智能合约来提供各类金融服务,由于和“传统机构”依靠中心化的机构和人来促成服务不同,DeFi提供的服务从进入到退出全部由代码执行,所以被称为去中心化金融。
如果从广义来说,DeFi的发展可以追溯到数十年之前,比如比特币都算是DeFi的一种。而它所迸发的能量在近几年被认为是区块链的又一大创新,并且有望在某些领域做一次颠覆级的变革。
以目前最大的DeFi项目Uniswap为例,这是一个去中心化交易所,即其流动性并非通过传统金融的撮合交易来实现,而是通过较为复杂的“流动性质押资金池”,简单理解为用户自己注入资金为交易平台提供流动性并得到奖励,同时又可以使用该平台服务来满足自身金融需求,而这一切全部由区块链上的智能合约执行,不由机构或个人来进行执行。
目前,借贷、交易是目前最主流的“DeFi”项目。CoinMarketCap数据显示,头部DeFi项目Uniswap市值已超162亿美元,而其团队规模仅数十人。而相比之下,世界知名的证券交易所纳斯达克的整体市值是331亿美元,但其雇员规模达到五千人。
而此次6.1亿事件的主角Poly Network则是另一种DeFi项目,由于DeFi项目往往涉及到不同资产的转换,所以有一种协议主攻资产跨链。简单来说是将两条链的币相互发给对方。区块链中涉及的跨链技术有很多,有双向锚定(two-way-peg),哈希时间锁,原子交换,资产质押转移,网关,联邦签名等等,非常复杂。而Poly这种则是使用合约跨链,即一条链上的智能合约,能够读取另外一条链上的特定信息,来执行合约代码,并给出确定性的结果,这也属于DeFi的一种类型。
Poly Network就是一个异构链跨链互操作协议,它能够实现从协议层一举打通各个异构链之间甚至各个主流公链之间的通信和交易。比如比特币、以太坊、BSC等主流公链。
所以DeFi被视为是对传统金融的再创新,通过智能合约衍生出了各类新生态,在这个世界,“代码即法律”成为越来越多人的共识。
截止8月30日,DeBank数据显示,目前Defi总锁仓量已达到1122.3亿美元,净锁仓量为829.8亿美元,而2021年初,该数字仅为170亿美元。仅半年过去,DeFi市值增长近十倍。
但随着DeFi爆发式增长的同时,各类安全事故频发,公开数据显示,近两个月,DeFi 领域发生了 19 起安全事故,跨链协议占 6 起,涉及了 Poly Network、Anyswap、ChainSwap 等协议。
F2pool创始人毛世行近日公开表示,“本次黑客盗币事件其实是对 DeFi 行业的反思,由于涉案金额巨大,我们事后也在思考在 DeFi 领域的投资方式,特别是挖矿,投入的是本金,面临是的不确定的安全风险。”
Parity亚洲负责人贾瑶琪对界面新闻表示,因为DeFi协议本身是跟金融直接打交道的,关乎用户的资金,所以DeFi协议的设计和实现需要从一开始就将安全考虑进去,而且无论多严谨都不为过。任何DeFi协议最好通过至少两家安全审计公司进行审计,从而减少安全风险。不引入非必要的管理员身份,同时限制协议部署者和管理员的权限,防止因为单个账户泄露而导致整个协议的全部资金陷入安全隐患。
而在本次事件中,发挥了重要作用的安全审计公司慢雾 科技 创始人余弦曾则发文表示:“这已经是慢雾第N次动用洪荒之力,这也让很多朋友知道慢雾有能力做到这个。但不好意思,这种能力太过消耗,成本也非常高,也有运气成分。”余弦对于DeFi的安全曾表示:“DeFi安全不仅仅是指智能合约安全,还包括区块链基础安全、前端安全、通信安全、新增功能安全、人性安全、金融安全、合规安全。 ‘代码即法律’是一句不切实际且不负责任的话。”
甚至Poly 事件中的黑客也撰写了长长的反思文:“安全是一项艰巨的工作,无论是在现实世界还是加密世界。在大多数情况下,我们的安全专家只会在事件发生后作为体检医师被传唤。我们所做的只是撰写验尸报告,有时会追踪坏人。这在加密世界几乎是一样的,除了有些项目不是很急于拿回钱,因为这不是他们的钱,他们只会告诉真正的受害者‘对不起,我们尝试过,但从来没有保证’。”
毫无疑问,DeFi 在过去一段时间里,在区块链领域已经充分证明自己的价值。并且有了重要的底层基础设施例如算法稳定币、底层借贷、丰富的衍生品,但其面临的资金安全,用户拥堵的性能瓶颈,监管对其合规化的担忧,都将是未来需要解决的问题。
昨日网络全部瘫痪了?这是怎么回事?
原因追查
服务器受大量“肉鸡”攻击
针对网络大瘫痪事件,昨天下午,工信部通信保障局召集国家计算机应急处理协调中心、电信研究院、中国电信集团、暴风影音公司等召开了紧急会议。据称,经查明,事故原因是DNS域名解析故障,“DNSPod”的服务器受到大量来历不明的“肉鸡”(受别人控制的远程电脑)的攻击,导致其网络瘫痪。
据了解,“DNSPod”是目前国内最大的DNS域名解析提供商之一,而其服务对象中就有播放平台服务商暴风影音。暴风公司在昨天给出的说明中描述,前天晚间,由于大量的暴风影音用户打开暴风影音的网页或者使用其提供的在线视频服务,这些用户提交的访问申请无法找到正确的服务器,大量积累的访问申请导致各地电信网络负担成倍增加,网络出现堵塞,从而引起了前晚的故障。据了解,暴风影音每天的访问量有1500万~1800万左右。
在昨天的紧急磋商会议中,工信部、中国电信和暴风公司达成共识,将进一步加强网络安全工作,进一步弥补DNS服务上的薄弱环节。同时,暴风公司也承诺将会在用户量持续上升的过程中加大对网络安全的投入,比如备份DNS服务器等,避免问题再次出现。
各方声音
暴风影音:公司无过错 不承担赔偿
针对多地网站访问故障系暴风影音所致一事,暴风影音CEO冯鑫昨日下午表示,此事和暴风影音无关。而幕后的域名服务商DNSPod则发出通告,表示歉意。
暴风影音昨日发表的声明称,已经查明,事故原因是DNS域名解析故障,网络故障造成多家网站受到影响,暴风也是受害者之一。因为用户量巨大,产生的流量给互联网造成了一定的负担,因而此次事件受到较大关注。
暴风影音CEO冯鑫表示,将会备份域名服务器,避免出现类似问题。在软件的互联网机制上增加安全考虑的调整,暴风的技术人员将加班加点,在三天内完成这个工作。
冯鑫同时表示,以后会吸取教训,多备份服务器,让攻击者不敢轻易发动攻击。对于此次网络瘫痪造成的损失,冯鑫表示暴风无过错,不会承担赔偿责任。
昨天,DNSPod向公众致歉,并表示将采取两项措施提高稳定性:重新部署多台DNS服务器;大规模封杀包括私服发布站、私服等有争议、易引来攻击的域名。
DNS域名解析是网络用户访问互联网时服务商所进行的必要工作,普通用户在访问互联网时一般都是输入网站的域名,但在后台技术上则需要翻译成数字化的服务器地址,经过这个过程,用户才能看到想要访问的网站。
澳电信公司遭黑客攻击,近1000万用户信息或被泄露,是何人所为?
不清楚是谁所为,事情还在调查中。
澳洲电信公司遭黑客攻击,近1,000万用户的信息被泄露,但不知道是何人所为,因为这家电信公司遭到黑客攻击以后,没有受到任何的赎金要求,而警方和当地政府正在调查之中,还没有发现有效的线索,不知道是哪里的黑客对这个电信公司发起的攻击,更不知道这些黑客攻击电信公司的目的。
受到攻击的澳洲电信公司在境内有着众多的客户,他在所有的电信行业中考取第2位,根据相关负责人介绍,这次黑客攻击有1,000万的电信用户受到了影响,他们的敏感信息可能已经泄露。被黑客访问的相关数据,包括了这些客户的姓名,生日以及电话号码,还有部分身份证件号码,但相应的密码和银行卡的信息没有受到攻击也没有泄露。
这个电信公司至今不清楚黑客攻击自己公司的目的根本没有受到任何赎金和要求,虽然警方和当地政府已经介入调查,但也没有锁定犯罪组织,更不知道是哪国黑客发起的攻击。在这次黑客攻击发生以后,当地的消费者委员会已经发出了警告受到影响的客户可能面临身份被盗用的风险,一定要提高警惕,保护好自己的个人信息。
这个电信公司的客户应该把自己的银行和金融账户进行加密处理,而且要留意自己账户的异常变化,发现异常情况时要及时报警,接到陌生电话的时候,更要保持警惕,避免自己上当受骗,防止自己的财产和人身体安全受到威胁。而这个电信公司也应该做好防范,提高防火墙的等级,防止黑客再次侵入,避免客户信息无故泄露,防止产生无法预测的后果。
贝克汉姆为何好好踢球踢的就画风变了成为了时尚达人?
贝克汉姆参与了“邮件门”——黑客窃取并暴露了他超过1800万封邮件。然后,他辛辛苦苦地为完美的人类设计工作了20多年,人设崩塌。邮件发出之前,贝克汉姆的形象是这样的:足球中最帅的球员和足球中最帅的球员。他十几岁时在曼联成名,两次获得世界足球先生奖。在2010年获得了英国广播公司终身成就奖。
在这位明星的光环下,他还拥有精湛的技术,耐力跑完整个体育场,保持了几年的竞技状态,还有最漂亮的圆月弯刀!从一名足球明星到一名时尚绅士,在他身为时尚教练的妻子维多利亚的帮助下,他成功地从一名足球明星转变为一名时尚绅士。体育场外,贝克汉姆专注于发展自己的时尚和娱乐事业:他为本田设计内衣,为阿玛尼代言,并出现在时尚杂志的封面上。
2012年,贝克汉姆以4834万美元的收入成为美国境外体育界的“金之王”,总净值超过3.1亿美元。他是世界各地的发言人。2013年退休后,贝克汉姆的商业价值不但没有下降,反而增加了。在福布斯对退役运动员的排名中,他每年排名第二(约旦排名第一),年收入在6000万到7000万美元之间,现在价值43亿元。
除了事业上的成功,贝克汉姆作为慈善爱好者的公众形象已经深深扎根于人们的心中。自2005年以来,他一直是联合国儿童农业基金会的亲善大使。人们经常看到他致力于各种慈善事业,并以自己的影响力从事各种慈善活动...他还建立了贝克第七基金,最令人羡慕的是他完美的家庭,有着很高的审美价值,这是几个人外出时媒体关注的焦点。
历史上最著名的几次黑客事件
1999年,梅利莎病毒使世界上300多家公司的电脑系统崩溃,该病毒造成的损失接近4亿美金,它是首个具有全球破坏力的病毒,该病毒的编写者戴维·史密斯在编写此病毒时仅30岁1983年,凯文·米特尼克因被发现使用一台大学里的电脑擅自进入今日互联网的前身ARPA网,并通过该网进入了美国五角大楼的电脑,而被判在加州的青年管教所管教6个月。1988年,凯文·米特尼克被执法当局逮捕,原因是:DEC指控他从公司网络上盗取了价值100万美元的软件,并造成了400万美元损失。1995年,来自俄罗斯的黑客“弗拉季米尔·列宁”在互联网上上演了精彩的偷天换日,他是历史上第一个通过入侵银行电脑系统来获利的黑客,1995年,他侵入美国花旗银行并盗走一千万元,之后,他把账户里的钱转移至美国、芬兰、荷兰、德国、爱尔兰等地。1999年,梅利莎病毒使世界上300多家公司的电脑系统崩溃,该病毒造成的损失接近4亿美金,它是首个具有全球破坏力的病毒,该病毒的编写者戴维·史密斯在编写此病毒时仅30岁。戴维·史密斯被判处5年徒刑。2000年,年仅15岁,绰号黑手党男孩的黑客在2000年2月6日到2月14日情人节期间成功侵入包括雅虎、eBay和Amazon在内的大型网站服务器,他成功阻止服务器向用户提供服务,他于当年被捕。2001年,中美撞机事件发生后,中美黑客之间发生的网络大战愈演愈烈。自4月4日以来,美国黑客组织PoizonBox不断袭击中国网站。对此,我国的网络安全人员积极防备美方黑客的攻击。中国一些黑客组织则在“五一”期间打响了“黑客反击战”。2002年,英国著名黑客加里·麦金农伦被指控侵入美国军方90多个电脑系统,造成约140万美元损失,美方称此案为史上“最大规模入侵军方网络事件”。2009年英法院裁定准许美方引渡麦金农。2007年,俄罗斯黑客成功劫持Windows Update下载服务器。2008年,一个全球性的黑客组织,利用ATM 欺诈程序在一夜之间从世界49个城市的银行中盗走了900万美元。最关键的是,目前FBI 还没破案,甚至据说连一个嫌疑人还没找到。2009年,7月7日,韩国总统府、国会、国情院和国防部等国家机关,以及金融界、媒体和防火墙企业网站遭到黑客的攻击。9日韩国国家情报院和国民银行网站无法被访问。韩国国会、国防部、外交通商部等机构的网站一度无法打开。这是韩国遭遇的有史以来最强的一次黑客攻击。
富士康遭黑客勒索比特币1804枚,为什么黑客不要现金要比特币?
因为比特币相对于现金来说,更容易洗白,不会有人知道谁花了这些钱,如果要的是现金或者是银行转账,那警方可以直接冻结账户,查到开户人,等于说这场交易白干了。
01、 富士康被勒索1800余枚比特币。
说起来富士康我们就能想到苹果,作为苹果全球最大的代工厂,其实力也是不容小觑的,但是就是这样一个公司,最近被黑客被入侵并且造勒索1804枚比特币,现在一枚比特币价格大概是在17000左右,1800枚折合下来就是3060万美金,你没看错,这是美金,最后富士康肯定也不会愿意掏这么多钱的,所以富士康也是紧急更新系统,最大程度地降低自己的损失。
02、 为什么黑客要比特币,不要其他货币?
为什么黑客会要比特币而不是黄金、美金或者其他货币呢?主要有两个原因,第一个原因就是现在比特币是很值钱的,一枚比特币17000美金的价格,比起黄金也是不遑多让的,而且这一下子就是勒索1800余枚,算下来也是一笔不小的费用了,第二个原因就是勒索比特币不会容易被查到,这毕竟是一种虚拟货币,官方就算想查也查不了太仔细,但如果用美金或者黄金了,那想一下能不被查出来吗?你银行账户不取钱吗?你黄金不去折现吗?这都会让黑客的行踪被掌握,不安全。
03、当黑客拿到比特币后怎么折现?
比特别折现还是很简单的,因为它是属于虚拟货币的一种,所以他们完全可以在网络上用比特币来进行消费,买各种各样的东西,甚至可以直接去买黄金,没人能查出来,相比直接要黄金要安全许多。
总结:
现在科学技术发展的是越来越快了,很多公司的机密文件也开始黑客盯上当作了交易的筹码,我们对其是完全没有办法的,只能是寄希望于公司的网络系统足够强大,可以挡住黑客的袭击,保护自己的信息安全。
统金融的撮合交易来实现,而是通过较为复杂的“流动性质押资金池”,简单理解为用户自己注入资金为交易平台提供流动性并得到奖励,同时又可以使用该平台服务来满足自身金融需求,而这一切全
场,保持了几年的竞技状态,还有最漂亮的圆月弯刀!从一名足球明星到一名时尚绅士,在他身为时尚教练的妻子维多利亚的帮助下,他成功地从一名足球明星转变为一名时尚绅士。体育场外,贝克汉姆专注于发展自己的时尚和娱乐事业:他为
的一次黑客攻击。富士康遭黑客勒索比特币1804枚,为什么黑客不要现金要比特币?因为比特币相对于现金来说,更容易洗白,不会有人知道谁花了这些钱,如果要的是现金或者是银行转
无论是在现实世界还是加密世界。在大多数情况下,我们的安全专家只会在事件发生后作为体检医师被传唤。我们所做的只是撰写验尸报告,有时会追踪坏人。这在加密世界几乎是一样的,除了有些项目不是很急于拿回钱,因为这不是他们的钱,他们只会告诉真正的受害
户不取钱吗?你黄金不去折现吗?这都会让黑客的行踪被掌握,不安全。03、当黑客拿到比特币后怎么折现?比特别折现还是很简单的,因为它是属于虚拟货币的一种,所以他们完全可以在网络上用比特币来进行消费,买各种各样的东西,甚至可以直接去买黄金,没人能查出来,相比直接要黄金要安全许多。总结:现在科学技术发展的