PolyNetwork是用于與去中心化交易所（DEX）交易的跨鏈操作協(xié)議，可以用于借貸和提供基于穩(wěn)定幣的服務(wù)，集成了比特幣、以太坊BSC、Ontology、Elrond、Ziliqa等代幣。據(jù)悉，這是PolyNerwork成立以來受到的最嚴(yán)重的攻擊，也是歷史上最大的去中心化金融安全漏洞。

事件發(fā)生后，PolyNetwork通過推特發(fā)表了一系列推文表示“我們很遺憾地宣布#PolyNetwork遭到攻擊”。據(jù)行業(yè)安全公司慢霧的研究人員表示，黑客盜竊后有總共價(jià)值超過6.1億美元的資產(chǎn)被轉(zhuǎn)移到了Polygon、以太坊和幣安智能鏈（BSC）這三個(gè)不同的地址上。

PolyNetwork被盜后連發(fā)推文公告。黑客得手后迅速將資金轉(zhuǎn)移。根據(jù)目前統(tǒng)計(jì)，此次黑客盜竊事件的被盜資產(chǎn)包括Binance Smart Chain上的價(jià)值2.53億美元的代幣、以太坊上價(jià)值2.66億美元的代幣及Polygon上價(jià)值8500萬美元的USDC。

這次攻擊發(fā)生在一個(gè)和O3 Labs建立的客戶操作的區(qū)塊鏈不可交易池中，有網(wǎng)友質(zhì)疑，該事件是否因?yàn)楣芾韱T操作不當(dāng)所造成？對(duì)此，PolyNetwork表示：“經(jīng)過初步調(diào)查，我們找出了漏洞所在，黑客利用了智能合約調(diào)用之間的漏洞，并非像外界傳聞一樣由單個(gè)管理員造成的?！?p>同時(shí)，PolyNetwork也呼吁礦商、加密交易所等機(jī)構(gòu)配合，將這些被盜取的資金列入黑名單，包括WBTC、WETH、RenBTC、DAI、UNI、SHIB、FEI、USDC、USDT等。

隨后，幣安交易所CEO趙長鵬、Tether CTO Paolo Ardoino、OKEX CEO Jay Hao紛紛轉(zhuǎn)發(fā)推特表示知曉此事并積極配合采取措施，但正如趙長鵬所言：“我們正在與所有安全合作伙伴協(xié)調(diào)，積極提供幫助，但不能完全保證結(jié)果?！?p>果不其然，在PolyNetwork官方宣布黑客入侵的一小時(shí)后，黑客就試圖用Curve和其他DeFi協(xié)議“清洗”這部分贓款，但由于其資產(chǎn)已經(jīng)被交易所拉進(jìn)黑名單，導(dǎo)致其中一部分交易失敗了。

但事情的發(fā)展卻有點(diǎn)不受控制。在黑客繼續(xù)嘗試了大約半小時(shí)后，一位匿名用戶通過交易消息告知黑客不要使用USDT，因?yàn)橐呀?jīng)被拉入黑名單了，并建議黑客嘗試不要使用Tether的情況下存儲(chǔ)盜取的代幣，黑客也相信了該用戶，并成功地將所有資金存入了Curve。隨后，黑客向該用戶發(fā)送了13.37枚以太幣價(jià)值42000美元。這個(gè)操作一出現(xiàn)，更是讓許多網(wǎng)友紛紛效仿，試圖通過幫助黑客來獲得獎(jiǎng)勵(lì)。

幫助黑客成功存儲(chǔ)贓款的匿名用戶收到了13.37枚以太幣。官方給黑客的一封信。這樣一來，PolyNetwork官方更是坐不住了。一邊緊急尋求安全合作伙伴和交易所的幫助，一邊還要忙著想辦法與黑客聯(lián)系。

被盜約10小時(shí)后，PolyNetwork再次通過推特發(fā)布了給黑客的一封信，表示將采取法律行動(dòng)，敦促黑客歸還被盜的資產(chǎn)或與其建立溝通。該信具體內(nèi)容如下：

“親愛的黑客，我們是PolyNetwork團(tuán)隊(duì)。我們希望能與你建立溝通，同時(shí)，也敦促您歸還盜取的資產(chǎn)。您盜竊的是該領(lǐng)域有史以來最大的金額，任何國家的執(zhí)法部門都會(huì)認(rèn)定這是重大的經(jīng)濟(jì)犯罪。你們?cè)倮^續(xù)做交易是很不明智的。你偷的錢來自成千上萬的加密社區(qū)成員。你應(yīng)該跟我們談?wù)務(wù)劊雮€(gè)解決的辦法。PolyNetwork團(tuán)隊(duì)，contact@poly.network”

在這封信發(fā)出后，PolyNetwork檢索到了黑客的部分DeFi通證，不久之后，安全公司慢霧也發(fā)布了一份報(bào)告稱他們已經(jīng)識(shí)別了攻擊者的郵箱、IP和設(shè)備指紋。

通過在合作伙伴和交易平臺(tái)的幫助下，PolyNetwork利用鏈上和鏈下數(shù)據(jù)來跟蹤黑客。隨后，黑客也通過交易消息表示：“你們的漏洞還不止于此，如果我把其他的漏洞導(dǎo)致的可流出的資金全部轉(zhuǎn)移，將達(dá)到10億美元，難道你以為我是在拯救這個(gè)項(xiàng)目嗎？我對(duì)錢不太感興趣，現(xiàn)在考慮歸還一些資產(chǎn)，或者把它們留在現(xiàn)在存儲(chǔ)的地方?！?p>同時(shí)，PolyNetwork也在推特上發(fā)布了一個(gè)地址，希望黑客主動(dòng)將資產(chǎn)歸還。

也有研究人員表示，這次盜竊“很可能是一次蓄謀已久、有組織、有準(zhǔn)備的襲擊”。因?yàn)楦鶕?jù)行業(yè)數(shù)據(jù)，從今年年初到7月，與DeFi有關(guān)的黑客攻擊總額已達(dá)3.61億美元，比2020年全年增長了將近3倍。與DeFi相關(guān)的交易詐騙案件也在增加，截止至今年7月，光是DeFi相關(guān)的欺詐案件就達(dá)加密欺詐總量54%，而去年全年為3%。DeFi似乎成為了攻擊者的主要目標(biāo)，交易安全或許是目前DeFi最需要重視的問題。

本文來自微信公眾號(hào)“CSDN”（ID:CSDNnews），作者：Carol，36氪經(jīng)授權(quán)發(fā)布。

熱點(diǎn)：區(qū)塊鏈