PolyNetwork遭盜：6.1億美元遭竊引信任危機(jī)

時(shí)間：2023-07-18|瀏覽：218

8月10日，跨鏈互操作協(xié)議PolyNetwork遭到黑客攻擊，成為有史以來(lái)最大的DeFi盜竊案。黑客竊取了總計(jì)6.1億美元的加密貨幣，包括3.02億枚USDT、5.5萬(wàn)枚ETH、2000枚比特幣等多種代幣。這些資產(chǎn)來(lái)自以太坊、BSC和Polygon等網(wǎng)絡(luò)，在短短30多分鐘內(nèi)被洗劫一空。主要受害者是使用跨鏈聚合器O3Swap進(jìn)行挖礦的用戶，目前O3Swap已暫?？珂湽δ?。

PolyNetwork官方發(fā)布了遭到攻擊的聲明，并公布了黑客在不同鏈上的地址。他們呼吁礦工和加密貨幣交易所將黑客地址列入黑名單。各方紛紛發(fā)聲支持，包括幣安CEO趙長(zhǎng)鵬、OKExCEOJay和虎符CEO王瑞錫。Tether首席技術(shù)官Paolo Ardoino發(fā)推稱已凍結(jié)攻擊PolyNetwork的黑客地址上的3300萬(wàn)USDT。

盡管黑客的地址已被圍追堵截，但他們?nèi)匀弧扒逑础绷艘恍┵Y產(chǎn)。一個(gè)社區(qū)用戶hanashiro.eth通過(guò)交易消息得知黑客的USDT已被列入黑名單，于是告訴其他人不要再使用USDT。之后，黑客轉(zhuǎn)給hanashiro.eth地址13.37個(gè)ETH試圖通過(guò)幫助黑客獲得獎(jiǎng)勵(lì)。他們開(kāi)始稱黑客為“Etherhood”。hanashiro將收到的ETH全部捐出，并在鏈上留下了詩(shī)句和歌詞，看起來(lái)像是在做一場(chǎng)行為藝術(shù)。

PolyNetwork進(jìn)行了初步調(diào)查，找到了導(dǎo)致漏洞的原因。黑客利用了合約調(diào)用之間的漏洞進(jìn)行攻擊，并不是由單個(gè)保管人造成的。Roxe支付網(wǎng)絡(luò)技術(shù)VP Jesse表示，本次PolyNetwork被盜主要是因?yàn)橹悄芎霞s的代碼漏洞。他指出，DeFi本身就是一個(gè)黑暗森林，許多別有用心的人一直在暗中伺機(jī)而動(dòng)。有些漏洞被發(fā)現(xiàn)后，攻擊者并不會(huì)立即行動(dòng)，而是選擇等待更好的機(jī)會(huì)。未知的漏洞還有很多，只是還沒(méi)有爆發(fā)而已。

PolyNetwork試圖與黑客建立溝通，并希望黑客歸還被盜資產(chǎn)。他們聲稱已經(jīng)找回了部分DeFi通證。安全公司慢霧發(fā)布了一份報(bào)告，指出他們已識(shí)別出攻擊者的郵箱、IP和設(shè)備指紋。另有報(bào)告表示，追蹤攻擊者是可能的，因?yàn)镈eFi的資金與中央實(shí)體掛鉤。

8月11日凌晨，攻擊PolyNetwork的黑客回應(yīng)稱，如果他轉(zhuǎn)移了剩余的幣，將達(dá)到十億美元級(jí)別。他自稱拯救了這個(gè)項(xiàng)目，并表示他對(duì)金錢(qián)不感興趣。他考慮歸還一些Token，或者將它們留在原地。這個(gè)回應(yīng)帶有一些挑釁的意味。然而，黑客后來(lái)在最新的轉(zhuǎn)賬中表示準(zhǔn)備歸還資產(chǎn)，但因?yàn)闊o(wú)法聯(lián)系到PolyNetwork項(xiàng)目方，希望他們提供一個(gè)多簽錢(qián)包。黑客還稱他不再使用DAO，并表示獲得這么多財(cái)富已經(jīng)是一個(gè)傳奇，而拯救世界更是永恒的傳奇。

Tether的凍結(jié)行動(dòng)及時(shí)制止了黑客的清洗行為，但也引發(fā)了關(guān)于“Tether是否應(yīng)該凍結(jié)資產(chǎn)？”和“去中心化的邊界在哪里？”的討論。Roxe支付網(wǎng)絡(luò)技術(shù)VP Jesse表示，中心化和去中心化各有優(yōu)勢(shì)和劣勢(shì)。用戶既希望100%獨(dú)立控制資產(chǎn)，又希望在出現(xiàn)問(wèn)題時(shí)有人能幫忙找回資產(chǎn)。盡管Tether一直受到中心化質(zhì)疑和批評(píng)，但每次丟幣或盜幣事件后，不得不依賴中心化手段來(lái)減少損失。

與傳統(tǒng)行業(yè)相比，DeFi發(fā)展時(shí)間較短，仍有很多地方需要改進(jìn)。無(wú)法像得到政府支持的銀行那樣提供良好的安全保障。DeFi最大的優(yōu)勢(shì)是去信任，但這種信任是基于代碼的。普通用戶不是安全專家，無(wú)法判斷代碼是否安全，只能依賴安全公司的審計(jì)。但這并不能保證100%的安全。相比之下，黑客卻擁有大量的代碼知識(shí)，攻擊往往是因?yàn)殡p方之間知識(shí)的差距。

對(duì)于DeFi投資者來(lái)說(shuō)，需要保護(hù)好自己的私鑰，不要泄露，防止丟失。此外，盡可能選擇好的項(xiàng)目和經(jīng)過(guò)審計(jì)的合約。為了避免被攻擊，保護(hù)用戶資產(chǎn)安全，RoxeChain在門(mén)限密鑰的算法和不同鏈之間的通訊互驗(yàn)性方面進(jìn)行了改進(jìn)。對(duì)于跨鏈資產(chǎn)，Roxe的結(jié)算節(jié)點(diǎn)必須遵守Roxe協(xié)議審核發(fā)出的資產(chǎn)映射請(qǐng)求。此外，Roxe采用一系列授權(quán)和審計(jì)機(jī)制，來(lái)保證授權(quán)節(jié)點(diǎn)的業(yè)務(wù)都接受定期審計(jì)。為了維護(hù)用戶權(quán)益，Roxe在法律監(jiān)管、合規(guī)、個(gè)人隱私、反洗錢(qián)和反欺詐方面也投入了大量精力。

在幣圈中

熱點(diǎn)：比特信任幣 ark幣 ark交易 LY虛擬幣 wo小號(hào)