撰写:JustinBons
Polygon仍然是高度不安全和中心化的。只需要5个人就可以影响超过20亿美元的资金,更糟的是,这5人中有4人是Polygon的创始人。这可能会是最大规模的黑客攻击之一,正等待着发生。
Polygon的管理员密钥是由8个多重签名合约中的5个控制的。创始人控制着前4个,后面的4个由Polygon的各团体持有,这意味着他们缺乏公平性。只要有一个团体与创始人合谋,就可以获得控制权。
控制合约的管理密钥等于拥有改变规则的权力,到那时一切皆有可能。包括清空整个Polygon,目前价值超过20亿美元。
安全团队:Defrost Finance被攻击事件简析:金色财经报道,据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示,Defrost Finance预言机被恶意修改,并且添加了假的抵押token清算当前用户,损失超1300万美元。攻击者通过setOracleAddress函数修改了预言机的地址,随后使用joinAndMint函数铸造了100,000,000个H20代币给0x6f31地址,最后调用liquidate函数通过虚假的价格预言机获取了大量的USDT。后续攻击者通过跨链的方式将被盗资金转移到了以太坊的0x4e22上,目前有490万美元的DAI在0x4e22地址上,有500万美元的DAI在0xfe71地址上,剩余300万美元的ETH被转移到了0x3517地址上。[2022/12/25 22:06:35]
更糟糕的是,就他们的操作安全性和创建多重签名合约的加密仪式而言,Polygon已经完全不透明了。由于透明度对于至少建立对多重签名的信任是至关重要的,这算得上是很糟糕的事了。
Beosin:EthTeamFinance项目遭受到了漏洞攻击事件简析:据Beosin EagleEye 安全预警与监控平台检测显示,ETH链上的EthTeamFinance项目遭受漏洞攻击,攻击合约0xCFF07C4e6aa9E2fEc04DAaF5f41d1b10f3adAdF4通过LockToken合约的migrate函数没有正确验证_id和params的漏洞,将WTH,CAW,USDC,TSUKA代币从V2流动性池非法升级到V3流动性池,并且通过sqrtPriceX96打乱V3流动池的Initialize的价格,从而获取大量refund套利。共计套利了约1300多万美元。[2022/10/27 11:49:12]
在不透明的情况下,是否某些人已经控制了私钥,我们无从得知。
安全团队:Audius项目恶意提案攻击简析,攻击者总共获利约108W美元:7月24日消息,据成都链安“链必应-区块链安全态势感知平台”安全舆情监控数据显示,Audius项目遭受恶意提案攻击。成都链安安全团队简析如下:攻击者先部署恶意合约并在Audius: Community Treasury 合约中调用initialize将自己设置为治理合约的监护地址,随后攻击者调用ProposalSubmitted 提交恶意85号提案并被通过,该提案允许向攻击合约转账1,856w个AudiusToken,随后攻击者将获得的AudiusToken兑换为ETH,总共获利约108W美元,目前获利资金仍然存放于攻击者地址上(0xa0c7BD318D69424603CBf91e9969870F21B8ab4c)。[2022/7/24 2:34:31]
更匪夷所思的是,来自DeFiWatch的ChrisBlec在2020年5月20日正式要求他们披露信息,Polygon团队居然拒绝回应,这种缺乏回应的情况本身就应该被视为一个巨大的危险信号。
Grim Finance 被黑简析:攻击者通过闪电贷借出 WFTM 与 BTC 代币:据慢雾区情报,2021 年 12 月 19 日,Fantom 链上 Grim Finance 项目遭受攻击。慢雾安全团队进行分析后以简讯的形式分享给大家。
1. 攻击者通过闪电贷借出 WFTM 与 BTC 代币,并在 SpiritSwap 中添加流动性获得 SPIRIT-LP 流动性凭证。
2. 随后攻击者通过 Grim Finance 的 GrimBoostVault 合约中的 depositFor 函数进行流动性抵押操作,而 depositFor 允许用户指定转入的 token 并通过 safeTransferFrom 将用户指定的代币转入 GrimBoostVault 中,depositFor 会根据用户转账前后本合约与策略池预期接收代币(预期接收 want 代币,本次攻击中应为 SPIRIT-LP)的差值为用户铸造抵押凭证。
3. 但由于 depositFor 函数并未检查用户指定转入的 token 的合法性,攻击者在调用 depositFor 函数时传入了由攻击者恶意创建的代币合约地址。当 GrimBoostVault 通过 safeTransferFrom 函数调用恶意合约的 transferFrom 函数时,恶意合约再次重入调用了 depositFor 函数。攻击者进行了多次重入并在最后一次转入真正的 SPIRIT-LP 流动性凭证进行抵押,此操作确保了在重入前后 GrimBoostVault 预期接收代币的差值存在。随后 depositFor 函数根据此差值计算并为攻击者铸造对应的抵押凭证。
4. 由于攻击者对 GrimBoostVault 合约重入了多次,因此 GrimBoostVault 合约为攻击者铸造了远多于预期的抵押凭证。攻击者使用此凭证在 GrimBoostVault 合约中取出了远多于之前抵押的 SPIRIT-LP 流动性凭证。随后攻击者使用此 SPIRIT-LP 流动性凭证移除流动性获得 WFTM 与 BTC 代币并归还闪电贷完成获利。
此次攻击是由于 GrimBoostVault 合约的 depositFor 函数未对用户传入的 token 的合法性进行检查且无防重入锁,导致恶意用户可以传入恶意代币地址对 depositFor 进行重入获得远多于预期的抵押凭证。慢雾安全团队建议:对于用户传入的参数应检查其是否符合预期,对于函数中的外部调用应控制好外部调用带来的重入攻击等风险。[2021/12/19 7:49:04]
ChrisBlec直到今天仍在继续反对这种缺乏透明度的行为。2021年5月15日,Polygon确实发布了一份“透明度报告”。然而,这份报告其实只是对现状的一种辩护,该报告未涵盖运营安全的任何方面,或者是创建管理员密钥时的加密行为,只是进一步证明使用这种多重签名的合理性。
换句话说,这是对我和ChrisBlec的批评的一个完全不充分的回应。2022年1月19日,Polygon发布了他们的"治理状况:去中心化"。
我知道这种做法在整个加密货币生态系统中已经非常普遍了。但我只想说Polygon,因为它们是存在此问题的最大加密货币之一。
Polygon有机会成为该领域的领导者,因为行业规范必须改变。Polygon可以并且应该在那个方向上带头。我知道,在早期阶段,多重签名是最佳的选择,但是20亿美元的TVL意味着Polygon已经过了早期阶段。
在缺乏安全性的情况下,还拥有如此多的钱,聪明人一看就知道这是一场亟待发生的灾难。
这与创始人的素质无关,与我的其他一些批评不同,我确实尊重Polygon的创始人,我确实相信他们是好人,但这会使得这件事变得更加困难。
创始人们对自己有信心。引用MihailoBjelic的话:"摆脱局对Polygon来说不算什么问题。”我知道,这是他的真心话,因为他可以相信自己,但其他人不可能知道他心里在想什么。我们不要单纯的相信,人们需要核实。
Polygon责怪ChrisBlec没有提供替代方案,这不公平。虽然我将为Polygon提供一个明确的替代方案,这样就没有借口了。
首先,Polygon必须在Matic代币持有人的基础上去中心化自己的治理权。目前,Polygon的治理仍然过于中心化,遵循具有少量验证者的DPoS模型。幸运的是,Polygon的“治理状态”已经奠定了解决这个问题的基础。一旦Polygon实现了它的去中心化治理模式:
创始人将不得不把智能合约管理密钥的权力交给Matic代币持有者,有效地将控制权移交给“PolygonDAO”。不过,这需要迁移到新的Polygon智能合约上,是一件非常困难且成本高昂的一件事情。
但这就是我们为一开始就没有做对事情而付出的代价,这是我们为去中心化和随之而来的安全所付出的代价,这就是加密货币的意义所在,假装安全和去中心化对这个领域来说是不够的。
为了使这一批评更具有建设性,我认为ZEC就可以作为一个广泛的例子,或者像REP、UNI和AAVE那样烧掉管理员密钥。DAO应该控制管理员密钥,这样可以更安全地完成多重签名的操作。
这是一条清晰的救赎之路,Polygon完全有机会以身作则,基础已经打好,Polygon可以迈出下一步行动,拥抱更加去中心化的未来。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。