• 注册
    • 查看作者
    • 20210811-立陶宛-poly newtork这个,xbx的处理方法不同

      立陶宛

      那谁:井大,立陶宛这么嚣张,有什么办法收拾一下吗

      井底望天:断交啊

      等俄罗斯收拾呗

      poly newtork被黑这个,xbx的处理方法不同

      井底望天:我们的设计和poly的区别就是,这个超级权限账户,在生产环境里,我们是计划赋予一个链上多签的管理合约的。这个管理合约平时没什么用,但在紧急情况下,多人approve之后,会临时赋予一个账号超级权限,然后这个账号执行所有的rescue操作。

      紧急状态完成后,管理合约会吊销这个账户的rescue权限。也就是说,日常状态下,系统里是没有超级权限账户的。

      现在看,这次的攻击,原理比较简单,就是跨链的锁仓合约,有一个超级管理账号,可以解锁用户的锁仓资金。我觉得这个设计的初衷是在系统出问题的时候,救回锁住的资金。我们的合约也有这个设计。

      然后这个账号,昨天把用户的资金都从锁仓合约转移到了黑客的地址上。现在不确定的,是这个账户是被黑掉的,还是监守自盗。

      poly newtork被黑这个,xbx的处理方法不同

      kevintan:@井底望天 资金池管理和安全性,对defi项目太重要了,xbx也要小心,即使多签,如果私钥泄露了,也是不安全。所以xbx的安全一定要做好,能多签的一定要多签才行

      井底望天:@kevintan 嗯,如果所有多签的私钥都泄漏了,那也奇怪了

      井底望天:@kevintan poly这个,不是私钥泄漏

      井底望天:1. 据说多签居然只有一个keeper

      20210811-立陶宛-poly newtork这个,xbx的处理方法不同

      井底望天:2. 通过hash碰撞,一个public call居然可以触动一个private/internal call,把keeper给替换掉了

      20210811-立陶宛-poly newtork这个,xbx的处理方法不同

      20210811-立陶宛-poly newtork这个,xbx的处理方法不同

    • 2
    • 0
    • 0
    • 276
    • 青青井迷

      请登录之后再进行评论

      登录
    • 做任务
    • 实时动态
    • 偏好设置
    • 单栏布局 侧栏位置: