周二����,Poly Network官方推特稱該項目遭到黑客攻擊,直接損失了價值超過6億美元的加密資產����。這次攻擊是迄今為止最大的DeFi黑客攻擊,損失直接超過了2021年所有DeFi黑客攻擊的總和��。此前的門頭溝和Coinchek兩個轟動幣圈的大案損失分別為價值4億和5.32億美元的加密資產����。
周二����,Poly Network官方推特稱該項目遭到黑客攻擊����,直接損失了價值超過6億美元的加密資產��。這次攻擊是迄今為止最大的DeFi黑客攻擊����,損失直接超過了2021年所有DeFi黑客攻擊的總和。此前的門頭溝和Coinchek兩個轟動幣圈的大案損失分別為價值4億和5.32億美元的加密資產��。
跨鏈協(xié)議Poly Network在收到攻擊后呼吁加密社區(qū)��,甚至是"白帽黑客"����,通過區(qū)塊鏈來追蹤黑客轉移資金的行動。在本次黑客攻擊事件中����,攻擊者利用了一個區(qū)塊鏈跨鏈協(xié)議Poly Network的技術漏洞。本次攻擊共涉及了三個不同的區(qū)塊鏈����,它們分別是:以太坊網絡�、幣安智能鏈(BSC)和Polygon����。最終黑客獲取了檢索加密貨幣錢包所有者的私鑰所需的信息,并最終盜取了鏈上資產����。
“漏洞”疑云
Poly Network聲稱"數以萬計的社區(qū)成員"受到了該黑客攻擊事件的影響。
Poly Network團隊通過推特表示����,經過初步調查,我們找到了造成該漏洞的原因��。黑客利用了合同調用之間的漏洞����,漏洞并非像傳言的那樣是由單一Keeper造成的。
Nokenchain首席執(zhí)行官Guillaume Thuill在youtube的直播中就談到���,“很明顯����,問題出在Poly Network只使用一個錢包來處理所有的業(yè)務。甚至其協(xié)議內部還存在著某種形式的賬戶管理不善���。該公司將來自三個不同區(qū)塊鏈接近6億美金的代幣放在一個賬戶中���,這本身就是一個錯誤。這明顯是違反了許多地區(qū)的金融安全監(jiān)管法規(guī)的����。
Thuill還補充道����,“我們甚至還能猜測到黑客是如何設法獲得賬戶的內部密鑰的。他可能做了一個'利用'(利用系統(tǒng)編輯說明中的一個缺陷)����。這可能是他們的智能合約(即在區(qū)塊鏈上自動放置一個訂單、一個行動或信息的小型程序)的審核問題�。根據他們的網站,Poly Network總共"跨越"了11個區(qū)塊鏈���。當然這是非常厲害的技術����,但他們的風控和安全維護水平沒趕上他們的跨鏈技術。私鑰是件大事����。一般來說,在每個階段���,都應該有驗證或確認的交互系統(tǒng)��。"
為了挽救其聲譽�,Poly Network甚至在推特上發(fā)布了一封信件與黑客隔空對話:"親愛的黑客(……)我們想與你取得聯(lián)系�,并敦促你歸還你所入侵的資產。任何國家的當局都會把你的不當行為視為重大經濟犯罪�,你將被起訴。(……)你應該和我們談談����,并嘗試找到一個解決方案。"
為什么項目方總會第一時間求助于加密社區(qū)�?
這是一個經典的策略。通常情況下��,項目方出事后都會第一時間呼吁活躍的社區(qū)用戶來識別地址���,并追蹤資金��,以阻止資金的流通��。由于一切都在區(qū)塊鏈上被追蹤����,而社區(qū)用戶往往與項目方有直接的利益相關性,所以會自愿自發(fā)的進行這些追蹤行動����,項目方相當于免費雇傭了一大批“私人偵探”。這就像區(qū)塊鏈上的壞地址的黑名單�,雖然簡單���,但該方法實際上是非常有效的�。唯一的問題是����,黑客經常會讓作案錢包進入“冬眠”狀態(tài),一直到風波浪潮過去����。
在Twitter上,Poly Network就直接公布了黑客使用的地址,并呼吁加密貨幣錢包的持有人將其列入"黑名單"�。
該方法也在美國運營商Colonial Pipeline被黑的案件中得到了嘗試和檢驗,該公司被要求支付贖金來恢復它的計算機系統(tǒng)�。但在支付給黑客的440萬美元贖金中,美國當局表示���,他們僅僅通過追蹤這些以加密貨幣支付的資金在區(qū)塊鏈上的流動����,就收回了一半以上的贖金(約230萬美元)�。
雖然Poly Network項目和許多新的初創(chuàng)公司一樣,正在為欣欣向榮的Defi生態(tài)添磚加瓦���。但并不太代表著安全問題可以被忽略掉�。區(qū)塊鏈是安全的��,但顯然基于區(qū)塊鏈的智能合約卻并非如此���。
歸還贓款
所以自官方公布被盜之后�,無論是項目方還是安全機構����、幣圈各方力量以及每個幣圈人都在時刻關注Poly Network事件的最新進展���,并盡全力協(xié)助凍結追回資金。
被攻擊的當天�,8月10號中午12時,黑客竟公開表示將要歸還所有資產��,其通過鏈上交易備注表示準備歸還盜取的資產�,但因為無法聯(lián)系Poly Network項目方,希望Poly Network提供一個多簽錢包���。黑客還稱“獲取這么多財富已經是一個傳奇���,而拯救世界更是永恒的傳奇,我做出了決定��,不再使用DAO���。”
看起來似乎是黑客“回心轉意”����,但實際上僅僅是一次“風險大于作惡收益”的權衡。在攻擊發(fā)生之后的三小時內�,慢霧安全團隊就表示����,通過鏈上及鏈下追蹤已關聯(lián)發(fā)現攻擊者的郵箱����、IP及設備指紋等信息,正在追蹤Poly Network攻擊者相關的可能身份線索�。并確認這很可能是一次蓄謀已久的、有組織有準備的攻擊行為���。
隨后鏈上陸續(xù)記錄了黑客的還款動作��。
據PeckShield追蹤的數據顯示�,攻擊Poly Network的黑客在BSC上于區(qū)塊9939700歸還近1.2億枚BUSD����。比推此前報道,周二��,去中心化金融(DeFi)項目Poly Network被黑客盜取超過6億美元的數字資產��。這次攻擊是迄今為止最大的DeFi黑客攻擊���,超過了2021年所有DeFi黑客攻擊的總和�。美東時間周三早上,該公司發(fā)布推文稱���,已收到黑客返還的總價值為4,772,297.675美元的資產���,包括ETH地址:2,654,946.051美元;BSC地址:1,107,870.815美元��;Polygon地址:1,009,480.809美元����。
盡管資金已經得到歸還,但一次黑客攻擊便可轉移6億美元資產的負面新聞�,可能又再次對Defi的發(fā)展打上了不可逆轉的陰影。
《比推》此前報道��,根據CipherTrace數據�,到4月底,加密貨幣盜竊�、黑客攻擊和欺詐的總金額已經達到4.32億美元。該公司在報告中寫道�,“與過去幾年相比����,這個數字似乎很小���,但如果我們更仔細地去了解這個數據,一個糟糕的趨勢正在形成:去中心化金融(Defi)領域的黑客現在占到黑客和盜竊總量的60%以上����。”
據Chainalysis在2月份發(fā)布的另一份報告指出�,2020年用于非法目的的加密貨幣交易達到100億美元,僅占去年加密貨幣活動總量的1%���,是前年同期的50%�。
圖片來源:網絡
閩公網安備 35010202001226號
