Poly Network 跨链项目安全事件分析

最新推荐文章于 2025-06-02 14:16:16 发布
最新推荐文章于 2025-06-02 14:16:16 发布
阅读量429 收藏
点赞数
文章标签: 区块链 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SierraW/article/details/119643013
版权
2021年8月10日,Poly Network遭遇攻击,损失约6亿美金。攻击者利用EthCrossChainManager合约的verifyHeaderAndExecuteTx函数漏洞,修改Keeper,添加自身为验证者,盗取合约代币。黑客通过构造交易,变更keeper并验证通过,导致资产损失。项目方已暂停交易并呼吁冻结黑客地址,黑客开始退还被盗资产。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一.背景
2021 年 8 月 10 日晚,有消息称 Poly Network 跨链项目被攻击导致约 6 亿美金的损失,知道创宇区块链安全实验室 对该事件展开分析。
在这里插入图片描述

二.攻击地址及交易
事件一共使三条链:ETH、BSC、Polygon 上的资产收到了损失,由于攻击过程类似,这里挑选 BSC 链的攻击作为分析样本。

被攻击合约:

EthCrossChainManager:https://bscscan.com/address/0x7cea671dabfba880af6723bddd6b9f4caa15c87b
EthCrossChainData:https://bscscan.com/address/0x11e2a718d46ebe97645b87f2363afe1bf28c2672

攻击交易:

https://bscscan.com/tx/0x3eba3f1fb50c4cbe76e7cc4dcc14ac7544762a0e785cf22034f175f67c8d3be9(改变 EthCrossChainData 的 Keeper )

https://bscscan.com/tx/0x534966864bda354628d4f1c66db45cbefcdda7433e9576e7664fea01bb05be9a (盗取合约下代币)

三.漏洞原因
漏洞原因其实出在 EthCrossChainManager 合约的verifyHeaderAndExecuteTx 函数可以在其他链构造交易修改 BS

最低0.47元/天 解锁文章
2018年熊市了解价值项目Polymath (POLY),威图 WeTube Network
lixiaolaipingshu的博客
10-30 834
Polymath (POLY) Polymath,一个促进区块链证券代币初次发行和二次交易的系统。Polymath 使用基于区块链的系统来协调和激励参与者在区块链上合作和推出金融产品。通过创建一个自定义的需求嵌入到令牌本身的标准令牌协议中,让这些令牌只能在经过验证的参与者之间购买和交易。所以 Polymath 可以使数万亿美元的证券可以迁移到区块链上。 Polymath, 意为博学者,Polyma...
Web3前沿技术的智能合约安全审计
AI天才研究院
05-08 1037
随着Web3技术的快速发展,智能合约作为区块链应用的核心组件,其安全性问题日益突出。本文旨在系统性地介绍智能合约安全审计的技术体系,帮助开发者理解智能合约安全风险,掌握安全审计的方法论和工具。智能合约安全的基本概念常见漏洞类型及其原理安全审计的技术方法实际审计案例分析安全审计工具和资源首先介绍基本概念和背景然后分析常见漏洞和安全风险接着详细讲解安全审计技术提供实际案例和代码示例最后讨论工具资源和未来趋势智能合约:运行在区块链上的自执行程序,代码即法律安全审计。
Poly Network 流程
m0_53689197的博客
01-14 576
Poly Network流程
Poly Network以太坊智能合约介绍 (eth-contracts)
m0_53689197的博客
01-18 651
Poly Network以太坊智能合约介绍(eth-contracts)
Poly Network事件分析
m0_53689197的博客
01-14 335
Poly Network事件分析
年度最大DeFi黑客事件!Poly Network 被盗6亿事件全解析
区块链大本营
08-11 4045
来源 | 成都安责编 | Carol8月10日晚,协议Poly Network 遭受攻击,Ethereum、BinanceChain、Polygon3条上近6亿美元资金被盗。黑客是...
安全事件总结分析
m0_53689197的博客
01-15 1272
桥事件总结分析
凡是过去,皆为序章--2021年区块链安全事件年度总结
SierraW的博客
01-05 7203
请跟随我们的视角,一起回顾2021区块链安全生态以及各月份的典型安全事件
桥漏洞总结
chinadefi的博客
04-21 1021
桥漏洞总结 随着区块链项目的增长,对多项目的需求正在变多,桥业务也相应的在增加。哪里有生意,哪里就会有安全问题。桥在为用户提供便利的同时,也为黑客提供了便利,Poly Network攻击后,桥的安全问题也随之出现。 什么是桥? 区块链桥,也称为桥,其连接两个区块链,允许用户从一个向另一个发送加密货币。 桥通过两个独立平台之间的代币转账、智能合约和数据交换等其他反馈和指令,实现了资金的操作。 一种常见的桥的操作如下: 用户将资产A发送到原上的一个存储地址
太火”竟然是加密货币Defi史上最大盗窃案的根本原因
leader2013的博客
08-14 497
这个可以记录在加密史上的盗窃案是酱样发生的:: 2021年8月10日晚上异构互操作协议Poly Network遭受到黑客攻击Poly Network在BSC(约合253,322,578.31美元)、Polygon(约合85,089,738.65美元)以及Ethereum(约合274649783.74美元)三条公上丢失了包括BNB、ETH、BUSD、USDC、USDT在内的10几个币种,被盗总额约为613,062,099.96美元。 也就是大约6.1亿美金总额度,这起超过6.13亿美元的盗币案成为D
长安合约操作 调用合约命令解析
这里面的代码全是错的
05-29 1036
方法,保存文件信息(文件名、哈希、时间戳),并同步等待执行结果。该方法是合约开发者预先定义的,功能可能是将文件信息存储到上。命令执行成功后,会返回交易回执(包含交易哈希、区块高度等)。会等待交易上并返回结果,适合需要即时确认的场景。若 JSON 格式错误(如缺少引号),会直接报错。若参数名或类型与合约不匹配,合约执行时会失败。中配置的身份发起交易(需有合约写权限)。)必须与合约代码中的输入参数一致。,则异步调用(仅返回交易 ID)。中的身份有权限调用该合约方法。,可通过交易哈希后续查询状态。
政策与数字双赋能驱动:ERP助力外贸企业高质量发展路径解析
Tech有话说
05-29 667
例如,某国家级专精特新“小巨人”企业在获得政策性贷款后,自主研发的工业机器人核心部件良品率提升了40%,成功跻身德国工业4.0供应体系,显著提升了企业在国际市场的竞争力。以中山某五金科技企业为例,借助相关产品,在疫情期间获得14笔线上融资,保障了对核心企业的稳定供货,其出口产品成功打入东南亚、拉美市场。某服装出口企业通过数字化改造,实现小单快反,库存周转率提升3倍,成功转型快时尚品牌。当客户提出定制化需求时,企业快速调取历史偏好,48小时内出具方案,最终赢得300万美元订单,客户留存率提升至78%。
从公开到私密:重新思考 Web3 的数据安全
Sui_Network的博客
05-30 1104
Seal与Walrus共同构建了去中心化存储的安全解决方案,解决Web3中数据加密与访问控制的痛点。Seal提供可编程、可验证的加密机制,支持基于身份的加密、上策略定义及密钥恢复,确保数据隐私与灵活访问。Walrus作为下一代存储层,兼具结构化、快速检索和可验证性。两者结合可应用于代币门控内容、AI数据集、DAO提案等场景,无需依赖中心化托管,实现真正的去中心化数据安全。开发者现已可集成Seal SDK与Walrus,推动Web3向加密可控的未来迈进。
一、虚拟货币概述
2401_84359179的博客
05-30 701
1. 定义- 虚拟货币是一种基于网络技术、加密技术和共识机制的数字货币,它不依赖传统金融机构发行,而是通过计算机算法生成,例如比特币、以太坊等。2. 特点- 去中心化:没有一个单一的机构或个人控制整个虚拟货币系统,所有的交易记录和规则都存储在分布式网络中,由众多节点共同维护和验证,这样避免了传统金融体系中因中心化机构出现问题而导致的系统性风险,如银行危机等。- 不可篡改性:虚拟货币的交易记录通过加密技术进行保护,并且一旦记录在区块链上就很难被修改。
鸿蒙OS&基于UniApp的区块链钱包开发实践:打造支持鸿蒙生态的Web3应用#三方框架 #Uniapp
小淼淼的博客
06-01 753
技术选型优先考虑生态完整性重视安全性能力关注社区活跃度开发流程采用敏捷开发重视代码审查实施自动化测试运维支持建立监控体系完善日志系统制定应急预案通过这个项目的实践,我们不仅实现了一个功能完整的区块链钱包,更积累了宝贵的平台开发经验。特别是在鸿蒙系统适配方面的探索,为后续项目打下了坚实的基础。希望本文的分享能为大家在类似项目开发中提供有价值的参考。
(19)java在区块链中的应用
真实的菜的博客
05-30 1087
Java在区块链智能合约领域虽然执行效率不及Solidity,但凭借其成熟的生态、强大的企业级支持和卓越的开发效率,正在成为企业级区块链应用的首选技术。选择Java还是Solidity,关键在于项目需求、团队背景和应用场景的综合考量。
如何区分虚拟货币诈骗与经营失败?
最新发布
gpsjls的博客
06-02 150
越来越多的投资者在血本无归后疾呼“被骗”,而项目方则辩称是“市场风险”。对投资者而言,记住天下没有免费的午餐,任何脱离实体经济的投机行为,终将付出代价;对监管而言,虚拟货币的法律框架亟需完善,从事后追责转向事前预防,才能遏制投资风险。他们虚构项目背景,如GBC平台谎称总部在英国、伪造技术团队、编造政府背书,甚至利用区块链、元宇宙等概念包装空气项目,目的只有一个:骗取资金。虚拟货币的兴衰史,本质是资本与人性博弈的缩影。当区块链技术被滥用为诈骗工具时,我们看到的不仅是法律的漏洞,更是对人性贪婪的拷问。
主流Markdown编辑器的综合评测与推荐
源滚滚编程
05-29 535
没有“最好用”的单一答案,工具选择应匹配工作流需求。建议每季度评估一次工具生态,利用开源社区快速迭代的优势,动态优化生产力工具
短视频平台差异视角下开源AI智能名片动2+1模式S2B2C商城小程序的适配性研究——以抖音与快手为例
专注MarTech应用研究与实施方案
06-02 454
摘要:本文对比分析抖音与快手两大短视频平台的差异化特征,发现抖音适合品牌化运营(中心化流量、优质内容导向),快手更契合私域流量裂变(去中心化、下沉市场)。研究提出开源AI智能名片动2+1模式与S2B2C商城小程序的创新组合方案,通过精准用户画像、社交裂变机制和供应整合,有效提升平台商业转化效率。案例分析显示,该模式在快手生态中实现客单价提升30%、订单量显著增长,为短视频商业创新提供实践路径。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值