根据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示,7月2日,Poly Network跨链桥项目疑似遭受私钥泄露或多签服务被攻击。黑客利用伪造的凭证向多条链的跨链桥合约进行取款操作。 攻击细节如下: 1. 攻击地址:0x906639ab20d12a95a8bec294758955870d0bb5cc - 攻击步骤:攻击者调用LockProxy跨链桥合约中的lock函数进行锁定很小的Lever Token。 - 交易链接:https://etherscan.io/tx/0x1b8f8a38895ce8375308c570c7511d16a2ba972577747b0ac7ace5cc59bbb1c4 - toChainid为6指的是BNB chain,可以通过https://explorer.poly.network/查看。 2. 攻击地址:0x906639ab20d12a95a8bec294758955870d0bb5cc - 攻击步骤:切换到BNB链上,分析攻击者调用verifyHeaderAndExecuteTx函数进行取款操作,数量和原先的lock的数量完全对不上。 - 交易链接:https://bscscan.com/tx/0x5c70178e6dc882fba1663400c9566423f8942877a0d42bb5c982c95acc348e31 - 中继链网络查询该笔交易,并未找到该笔交易记录。 3. 现在有理由怀疑是不是私钥泄露或多签服务被攻击,导致攻击者可以利用伪造的凭证取款。 - keeper地址: - 0x4c46e1f946362547546677bfa719598385ce56f2 - 0x51b7529137d34002c4ebd81a2244f0ee7e95b2c0 - 0x3dfccb7b8a6972cde3b695d3c0c032514b0f3825 根据Beosin KYT虚拟资产反洗钱合规和分析平台,黑客从2023年7月1日开始攻击,截至到目前,仅通过DeFi交易所将部分虚拟货币换成ETH,以及将ETH和部分其他虚拟货币转移到其他沉淀地址中,暂未对被盗资金进行销赃处理,但已准备好了交易所需手续费,在确认安全后会立刻对沉淀地址资金进行转移。目前,Beosin安全团队正在和Poly Network官方一起应对本次安全事件,有最新进展将第一时间分享大家。 查看更多 —- 编译者/作者:Beosin 玩币族申明:玩币族作为开放的资讯翻译/分享平台,所提供的所有资讯仅代表作者个人观点,与玩币族平台立场无关,且不构成任何投资理财建议。文章版权归原作者所有。 |
PolyNetwork跨链桥项目遭受攻击攻击细节揭示
2023-07-03 Beosin 来源:区块链网络
LOADING...
相关阅读:
- 前SEC互联网执法主任:加密货币犯罪已发展为犯罪分子的杀手级应用2023-06-26
- V神:深入了解钱包和其他用例的跨L2读取2023-06-23
- 马云的蓝池资本再押注NFT?速览5月获顶级加密VC投资的25个项目2023-06-18
- 学术视角分析与DeFi和Web3钱包相关的风险2023-06-16
- Stacks生态项目盘点:BTCL2是下一代叙事?2023-06-16