8月10日的Poly Network攻击可能是历史上最大的网络安全事件。超过6.1亿美元的加密资产被盗,并在15天内归还。整个区块链行业和所有相关方都与Poly Network一起经历了这一跌宕起伏。目前,涉及的所有资产已全部归还用户,系统功能基本恢复到事件发生前的水平。这一事件终于可以结束了。
在过去的两周里,我们也收到了许多关于这一事件的询问。我们希望从我们的角度,以公开和透明的方式来回顾这一事件,以提醒我们记住这一事件,让更多的人了解整个事件的处理细节。在这次事件中,我们可能做得并不完美,但这可能是一次宝贵的经验。
发生了什么
几个安全组织对事故的具体描述发表了评论:
1慢雾:POLOGAN网络攻击分析与问答
分析与提问;Poly Network被黑客攻击的一个例子
克尔文菲希特对袭击原因的分析
慢雾:聚合网络攻击的一般技术声明
事发当晚也是我们承受最大压力的当晚。我们尽最大努力实现明确目标,有序解决核心问题:锁定资产,减少社区投机,建立沟通渠道。
尝试联系攻击地址;https://ETHerscan.io/tx/0xf6488e1efacd9c280eb91133d04ba357beca8016df8b0b0524b9a2e207b2ad7f , https://twitter.com/PolyNetwork2/status/1425123153009803267
发现漏洞,找到漏洞修复方案,分析资产去向和攻击者行为;https://twitter.com/PolyNetwork2/status/1425130017546149891 , https://twitter.com/SlowMist_ 团队/状态/1425197809058254849
清点受影响资产,联系资产发行人冻结资产,减少不可控损失;https://twitter.com/PolyNetwork2/status/1425073987164381196
通知各交易所注意资金外流意图;
呼吁矿工拦截攻击者试图洗钱的交易;https://twitter.com/PolyNetwork2/status/1425090228830842893
及时向用户、社区和媒体传达进展情况;https://twitter.com/PolyNetwork2/status/1425130017546149891
最后的进展如下:
通过ETH网络建立0x8a地址的加密通信通道;
Tether宣布冻结超过3300万美元的相关资产;https://twitter.com/paoloardoino/status/1425090760609832978
Coin security、okex、火币等将发布公告,关注本次活动的资金流向;https://twitter.com/cz_ binance/status/142509186970957060,https://twitter.com/JayHao8/status/1425094897976193034 , https://twitter.com/DujunX/status/1425100770588954626
联系usdc、BSC、polygon、heco、wbtc、metamask等;
Poly network twitter继续发布活动进度,减少用户恐慌,避免不真实的谣言。https://twitter.com/PolyNetwork2/status/1425309429935710208
去中心化还有很长的路要走
通过与白帽先生的沟通,双方缓和了情绪,建立了基本信任。8月11日,袭击者宣布他们“准备归还资产”。随后,部署了poly network的收集地址,am+UTC poly团队于8月11日8:43:57开始恢复第一批返回的资产。截至8月13日,系统已恢复足够的资产以恢复部分功能。在与White hat先生确认后,该项目已进入恢复和重建阶段。核心目标是促进资产回收和快速系统修复。
与White hat先生确认收集流程;https://ETHerscan.io/tx/0x910b00b2b60b76d7c29a1855f9a1ebf204356eed22498334ddd46e46d96e06c2
承诺用户以收回全部资产为首要目标;https://twitter.com/PolyNetwork2/status/1425785007486820368
修复系统漏洞,确保系统安全;https://github.com/polynetwork/ETH-contracts/pull/12/files
确认系统重启计划,编制路线图;https://medium.com/poly-network/poly-network-roadmap-for-the-next-phase-9f84c03c2e53? source=social.twamp;u分支匹配id=549963884981436182
打开项目方申请资产修复的渠道;https://twitter.com/PolyNetwork2/status/1427233445185409026
与tETHer协商冷冻USDT处理方法;
与社区保持沟通;https://twitter.com/PolyNetwork2/status/1425739339820982275
最后的进展如下:
恢复平衡计分卡和POLOGAN资产;https://twitter.com/PolyNetwork2/status/1425309429935710208nbsp ;
设立共同管理账户;https://ETHerscan.io/tx/0xf391ec8d5935d4ec11efb2c8b99ba3586cb0b0f05c5e0b9c44c74a1c40386bd7
完成系统漏洞修复,发布新的安全方案;https://twitter.com/PolyNetwork2/status/1426819500263890946
宣布系统重启路线图;https://twitter.om/PolyNetwork2/status/1426490057276280832
确认可恢复功能项清单,支持功能恢复;https://twitter.com/PolyNetwork2/status/1427839007501680640
White Hat先生还就区块链向您解释了他的理由、过程和真诚的建议。我们记录了全文:
https://docs.google.com/spreadsheets/d/14hMTpPNylZG6DizU3K-fpDbfYZxenI_ KtbHpWkdc7VM/编辑#gid=0
在此期间,Poly Network团队也经历了前所未有的评论和辩论。我们看到,最大的争议也是白帽先生最大的担忧——Poly Network的分权过程;
在这里,我们还想解释一下我们的疑问。事实上,该项目长期以来一直在探索去中心化的道路。我们认为,去中心化始终是一项出色协议的一个非常重要的部分。如果您感兴趣,请注意:https://github.com/polynetwork/Zionnbsp ;, 半年前,我们开始开发新版本的Poly Network。我们希望在未来通过一个完整的经济模式和治理机制确保整个网络的去中心化管理。由于跨链协议不同于单链项目,为了实现具有不同特性的链之间的互操作性,除了实现比单链更复杂的安全性外,如何更有效地管理也是一个重要部分。要实现多元化世界的一致性,需要所有相关方达成更有效的共识。
安全就是一切
安全不能一蹴而就。在网络安全方面,本次活动凝聚了整个行业最直接、最深刻的经验。https://twitter.com/PolyNetwork2/status/1426197361177493511
8月15日,在确定并公布恢复计划后,团队开始持续推动和实施路线图中的工作,包括在immunefi平台上发布总额为50万美元的安全奖励计划,希望能吸引全球安全机构和白帽组织来帮助Poly Network的安全。当然,这只是安全的第一步。在系统恢复期间,我们还:
邀请White hat先生担任Poly Network首席安全顾问,并提供160ETH安全奖励
与peckshield、blocksecteam和beosin(成都联安科技)等安全机构确认维修和重启方案
1) 防护罩:https://peckshield.medium.com/polynetwork-bug-review-and-patch-*ysis-88bde8441297
2) 区块组:https://blocksecteam.medium.com/the-informal-security-review-of-the-patch-of-the-poly-network-1a0a532b731e
3) Beosin(成都联安科技):https://beosin.medium.com/boesins-*ysis-of-the-fix-code-on-poly-network-art-contracts-a305639ea626
同时,我们还想引用White hat先生阐述的一些关于区块链安全的建议,我们认为这些建议在一定程度上是中肯和客观的。
我们相信协议安全性始终是一个重要的部分,但我们也相信在密码世界中,仍然有更广泛和丰富的代码。也许我们有不同的价值观和知识储备,但我们仍然可以公平地参与世界的建设和治理。我们希望在未来建立的不仅仅是一个安全的协议,它也是一个公平和透明的协议。
所有代币都已退还给您
所有的故事都有结局。我很高兴这个故事有个圆满的结局。
8月19日,White Hat先生返回以太坊96942063 Dai。
8月22日,除wbtc和ETH外的所有资产均已归还。Poly Network开始清点并收回稳定币的资产,以协助O3枢纽的功能恢复。
8月23日,White hat先生返回的96942063 Dai与usdc之间的转换完成,BSC上的87557051总线转换为usdc(bep-20)。Poly Network团队将使用自有资金补偿交易中产生的滑动点损失和手续费。
8月23日,White Hat先生宣布了多重签名钱包的私钥。
8月25日,所有受攻击影响的wbtc和ETH资产都得到了恢复。https://twitter.com/PolyNetwork2/status/1430485302527741954
同日,tETHer将之前冻结的33431200美元的所有资产存入Poly Network的多签名钱包。https://twitter.com/Tether_ 致/状态/143051065582416387
8月26日,Poly Network完成了USDT资产的恢复。到目前为止,受此攻击影响的所有资产都已恢复。https://medium.com/poly-network/poly-network-asset-recovery-complete-a7ba33c2f2e4
谢谢大家支持我们
这个故事已经结束,但它是我们下一次旅程的开始。在新的旅程开始之前,我们要向所有使用Poly Network的项目和用户表示诚挚的感谢和深深的歉意。很抱歉,由于系统漏洞给所有用户造成了麻烦。感谢您对该项目的信任。虽然我们可能会失去一些曾经信任我们的人,但我们将利用我们随后的行动重建每个人对项目的信心。同时,我们也将用我们的方式感谢所有一起使用、支持和体验本次活动的人。随后的具体细节将在系统完全恢复后在官方频道公布。请注意。
最后,我们想说的是,项目安全始终是Poly Network和整个行业的永恒主题。我们希望Poly Network事件不仅能帮助我们建立一个更加稳健的项目,也能给整个行业带来足够深刻和持久的警示。对我们来说,这段经历将成为我们永远不会忘记的记忆。它不仅代表了协议的安全性,而且代表了对信任、权力、欲望、责任和信念的新理解。
热门推荐
相关文章
