文|JX kin
編輯|文刀
NULS遭遇攻擊,12月20日,團隊帳戶里200萬枚NULS幣被黑客轉走。
3天後的凌晨,NULS社區發布公告稱,22日下午18時發現了漏洞,團隊連夜升級主網,採取硬分叉的方式應對。在此之前,失竊的200萬NULS中,有54萬已流向市場,這些資產價值近90萬元。
技術應對的同時,團隊緊急聯繫各個交易所關閉了NULS的充提。排查漏洞後,項目聯合創始人冉小波披露原因時稱,黑客通過特殊手段讓節點打包了這筆交易,並繞開了其他節點的驗證,以此方式轉走了資產。
23日凌晨,NULS發布新版程序,在區塊高度為878000處為主網進行了硬分叉。如此一來,黑客手裡的幣將不再受新主網的認可,無法交易,相當於「作廢」。
「已經修復了相關漏洞。」冉小波說,團隊也不打算再找回這批資產,為了不留後患,硬分叉後,「未進入交易市場的這145萬多的幣將永久鎖定,直接銷毀。」
200萬NULS被盜 54萬流入市場
12月20日是個周五,NULS的聯合創始人冉小波還在出差。埋伏在暗處的黑客行動了,划走了NULS團隊帳戶的200萬個幣。之後的兩天,正好趕上周末,財務管理人員也沒有注意到什麼異常,直到22日晚上。
「我們在22號的NULS社區理事會討論的時候,發現了網絡中有一筆異常交易。」當時是下午6點左右,這距離團隊帳戶里的幣被盜已經過去了一天,冉小波說,成員們趕緊組織追蹤、排查,「時間晚了一點點,導致一部分進入到交易市場中,無法再進行追溯。」
後來發出的公告顯示,流向市場的被盜NULS為54.83萬個左右。按照當日NULS價格計算,這批幣價值90多萬元。
2個小時內,團隊找出了問題,也追蹤定位到被盜資產轉移的所有地址。在這期間,他們緊急聯繫了上線NULS的各個交易所,通知對方關閉充值和提現,以防被盜的幣進一步流向市場。
接下來是如何應對黑客手裡剩下那145多萬個NULS帶來的風險問題。「團隊與理事會內部進行討論,確定了硬升級的方案。」之後的5個小時內,技術團隊的核心成員完成了編碼和測試,發布了NULS系統的新版本,「所有的程序完成是在北京時間23日凌晨3點。」
1小時後,NULS官方社區公布了被盜事件和硬分叉的處理方案,提示各個節點升級系統。硬分叉後,被盜走的NULS幣意味將不受新鏈認可,無法交易,直接「作廢」。
23日凌晨,NULS中文社區微博發布消息稱團隊帳戶被攻擊
在區塊鏈業內,NULS是2017年10月啟動的老牌公鏈項目,用戶可以開發和使用NULS網絡的智能合約,實現跨鏈互操作和即時鏈構建等功能。
OKEx行情顯示,12月20日,NULS24小時漲幅為3.2%,最高為1.82元;失竊發生後的21日,NUSL由漲轉跌,下跌了4.8%,最低報價為1.64元;23日凌晨,NULS價格未發生明顯震盪,24小時下跌1.2%;截至晚上10點,暫報1.66元。
按照這一價格,此次黑客攻擊讓NULS團隊遭受332萬元的損失。所幸,這次攻擊未造成其他用戶帳戶受損。
黑客繞過節點驗證「偷錢」
黑客事件發生後,昨日,區塊鏈安全團隊慢霧科技在披露原因時稱,NULS遭黑客攻擊因該網絡的交易簽名驗證算法存在漏洞,黑客利用精心構造的交易,繞過了簽名驗證。
「這個漏洞和簽名算法有一點關係,但不是算法的問題。」冉小波告訴蜂巢財經,這筆交易在程序中沒有通過驗證,黑客通過特殊的手段,讓節點打包了這筆交易,但繞開了其他節點驗證,以此將團隊帳戶里的幣轉走。
他分析,發起攻擊者可能是熟悉Nuls底層的人,「但無法確定具體是誰。」有外界聲音認為,此舉系「內鬼作為」。對此,冉小波強調,NULS代碼全開源,且有非常多的社區開發者,「不能認為是『內鬼』攻擊,因為區塊鏈地址是匿名的,這種猜測毫無根據。」。
NULS完成了硬分叉後的系統更新,OKEx等交易平台目前仍處於暫停NULS充提的狀態。
12月22日,OKEx發布公告暫停NULS代幣充提
目前,NULS團隊表示,修復系統後,技術人員展開了全方位的多重審查,「確保未來不再出現同樣的問題。」
在區塊鏈行業里,從業者與黑客的攻守戰已經成為一種常態。無論是保管用戶資產的交易所,還是構建區塊鏈網絡的技術團隊,稍有不慎,就會給黑客可乘之機。
著名的「Mt.Gox交易所被盜事件」中,80多萬枚比特幣丟失致使這家交易所破產,遭遇損失的用戶至今還在就賠償問題和平台打官司;「The DAO」事件則讓知名區塊鏈項目以太坊損失了5000萬美元。
此次針對NULS的黑客攻擊再次給區塊鏈項目方敲響了警鐘。慢霧科技相關人員提示,對於項目方來說,如果對自己的底層代碼沒足夠的自信,建議聯繫第三方安全公司對代碼進行審計;項目方也可以用「漏洞賞金」的方式主動發起懸賞,鼓勵用戶和開發者提交漏洞以供應對。
處理完黑客攻擊的NULS即將回到正軌。冉小波透露,NULS目前已經開源倉庫33個,基礎模塊7個,應用模塊也超過了10個。此外,NULS在跨鏈方面已經實現與ChainBox區塊鏈之間的無縫交互,「未來的幾個月內,NULS即將打通幾個主流資產的跨鏈交互。」
冉小波和團隊都決定,不再找回這些失竊的資產,未免後患,硬分叉升級後,剩下的未流入市場的145萬多個NULS將以永久鎖定的方式直接銷毀,「這也是我們對每一行代碼都必須認真審視的一個警戒。」
互動時間
你如何看待用硬分叉解決黑客攻擊這一方法?