NULS失竊 硬分叉“作廢”駭客贓款

買賣虛擬貨幣

文|JX kin

編輯|文刀

NULS遭遇攻擊,12月20日,團隊賬戶裡200萬枚NULS幣被駭客轉走。

3天后的凌晨,NULS社羣釋出公告稱,22日下午18時發現了漏洞,團隊連夜升級主網,採取硬分叉的方式應對。在此之前,失竊的200萬NULS中,有54萬已流向市場,這些資產價值近90萬元。

技術應對的同時,團隊緊急聯絡各個交易所關閉了NULS的充提。排查漏洞後,專案聯合創始人冉小波披露原因時稱,駭客透過特殊手段讓節點打包了這筆交易,並繞開了其他節點的驗證,以此方式轉走了資產。

23日凌晨,NULS釋出新版程式,在區塊高度為878000處為主網進行了硬分叉。如此一來,駭客手裡的幣將不再受新主網的認可,無法交易,相當於“作廢”。

“已經修復了相關漏洞。”冉小波說,團隊也不打算再找回這批資產,為了不留後患,硬分叉後,“未進入交易市場的這145萬多的幣將永久鎖定,直接銷燬。”

200萬NULS被盜54萬流入市場

12月20日是個週五,NULS的聯合創始人冉小波還在出差。埋伏在暗處的駭客行動了,划走了NULS團隊賬戶的200萬個幣。之後的兩天,正好趕上週末,財務管理人員也沒有注意到什麼異常,直到22日晚上。

“我們在22號的NULS社羣理事會討論的時候,發現了網路中有一筆異常交易。”當時是下午6點左右,這距離團隊賬戶裡的幣被盜已經過去了一天,冉小波說,成員們趕緊組織追蹤、排查,“時間晚了一點點,導致一部分進入到交易市場中,無法再進行追溯。”

後來發出的公告顯示,流向市場的被盜NULS為54.83萬個左右。按照當日NULS價格計算,這批幣價值90多萬元。

2個小時內,團隊找出了問題,也追蹤定位到被盜資產轉移的所有地址。在這期間,他們緊急聯絡了上線NULS的各個交易所,通知對方關閉充值和提現,以防被盜的幣進一步流向市場。

接下來是如何應對駭客手裡剩下那145多萬個NULS帶來的風險問題。“團隊與理事會內部進行討論,確定了硬升級的方案。”之後的5個小時內,技術團隊的核心成員完成了編碼和測試,釋出了NULS系統的新版本,“所有的程式完成是在北京時間23日凌晨3點。”

1小時後,NULS官方社羣公佈了被盜事件和硬分叉的處理方案,提示各個節點升級系統。硬分叉後,被盜走的NULS幣意味將不受新鏈認可,無法交易,直接“作廢”。

23日凌晨,NULS中文社羣微博釋出訊息稱團隊賬戶被攻擊

在區塊鏈業內,NULS是2017年10月啟動的老牌公鏈專案,使用者可以開發和使用NULS網路的智慧合約,實現跨鏈互操作和即時鏈構建等功能。

OKEx行情顯示,12月20日,NULS24小時漲幅為3.2%,最高為1.82元;失竊發生後的21日,NUSL由漲轉跌,下跌了4.8%,最低報價為1.64元;23日凌晨,NULS價格未發生明顯震盪,24小時下跌1.2%;截至晚上10點,暫報1.66元。

按照這一價格,此次駭客攻擊讓NULS團隊遭受332萬元的損失。所幸,這次攻擊未造成其他使用者賬戶受損。

駭客繞過節點驗證“偷錢”

駭客事件發生後,昨日,區塊鏈安全團隊慢霧科技在披露原因時稱,NULS遭駭客攻擊因該網路的交易簽名驗證演算法存在漏洞,駭客利用精心構造的交易,繞過了簽名驗證。

“這個漏洞和簽名演算法有一點關係,但不是演算法的問題。”冉小波告訴蜂巢財經,這筆交易在程式中沒有透過驗證,駭客透過特殊的手段,讓節點打包了這筆交易,但繞開了其他節點驗證,以此將團隊賬戶裡的幣轉走。

他分析,發起攻擊者可能是熟悉Nuls底層的人,“但無法確定具體是誰。”有外界聲音認為,此舉系“內鬼作為”。對此,冉小波強調,NULS程式碼全開源,且有非常多的社羣開發者,“不能認為是‘內鬼’攻擊,因為區塊鏈地址是匿名的,這種猜測毫無根據。”。

NULS完成了硬分叉後的系統更新,OKEx等交易平臺目前仍處於暫停NULS充提的狀態。

12月22日,OKEx釋出公告暫停NULS代幣充提

目前,NULS團隊表示,修復系統後,技術人員展開了全方位的多重審查,“確保未來不再出現同樣的問題。”

在區塊鏈行業裡,從業者與駭客的攻守戰已經成為一種常態。無論是保管使用者資產的交易所,還是構建區塊鏈網路的技術團隊,稍有不慎,就會給駭客可乘之機。

著名的“Mt.Gox交易所被盜事件”中,80多萬枚比特幣丟失致使這家交易所破產,遭遇損失的使用者至今還在就賠償問題和平臺打官司;“The DAO”事件則讓知名區塊鏈專案以太坊損失了5000萬美元。

此次針對NULS的駭客攻擊再次給區塊鏈專案方敲響了警鐘。慢霧科技相關人員提示,對於專案方來說,如果對自己的底層程式碼沒足夠的自信,建議聯絡第三方安全公司對程式碼進行審計;專案方也可以用“漏洞賞金”的方式主動發起懸賞,鼓勵使用者和開發者提交漏洞以供應對。

處理完駭客攻擊的NULS即將回到正軌。冉小波透露,NULS目前已經開源倉庫33個,基礎模組7個,應用模組也超過了10個。此外,NULS在跨鏈方面已經實現與ChainBox區塊鏈之間的無縫互動,“未來的幾個月內,NULS即將打通幾個主流資產的跨鏈互動。”

冉小波和團隊都決定,不再找回這些失竊的資產,未免後患,硬分叉升級後,剩下的未流入市場的145萬多個NULS將以永久鎖定的方式直接銷燬,“這也是我們對每一行程式碼都必須認真審視的一個警戒。”

免責聲明:

  1. 本文版權歸原作者所有,僅代表作者本人觀點,不代表鏈報觀點或立場。
  2. 如發現文章、圖片等侵權行爲,侵權責任將由作者本人承擔。
  3. 鏈報僅提供相關項目信息,不構成任何投資建議

推荐阅读

;