毋庸置疑,异构链跨链互操作协议Poly Network被黑客盗币超过6亿美元的事件,使得加密行业对DeFi领域的安全不得不重新审视。

8月10日,跨链去中心化金融平台Poly Network宣布遭黑客攻击,短短34分钟内,价值超6.1亿美元(约合人民币40亿元)的虚拟货币被洗劫一空。据悉,这是迄今为止全球加密货币史上最大规模的盗窃案。

然而让人意外的是,8月12日午间,Poly Network平台在社交媒体宣布,黑客已经归还窃取资金2.6亿美元(约合人民币17亿元),还有3.53亿美元没有偿还。


超6亿美元加密币遭洗劫

Poly Network是去年推出的一个合作项目,旨在打造“异构互操作协议联盟”,将区块链整合到更大的跨链生态系统中。目前,该协议在币安智能链(BSC)、以太坊(Ethereum)和多边形(Polygon)等多个区块链上运营,用户可以通过这一协议,使用单笔资产对不同的币种进行交易。

此次攻击最早发生于8月10日17:55,黑客在以太坊网络陆续从Poly Network智能合约转移了9638万个USDC、1032个WBTC等资产。18:04起,黑客在Polygon网络从智能合约转移了8508万USDC。18:08起,黑客在币安智能链从该项目智能合约转移了8760万个USDC、26629个ETH等资产。

Poly Network在其官方社交媒体上证实了这起盗窃案的发生,预估损失至少高达 6.11亿美金,包括2.73亿美元的以太坊,2.53亿美元的币安智能链,以及8500万美元多边形上的USDC,还有三个较小的区块链也遭受损失。



此外,Poly Network还同时公布了3个已确认的被盗资产转移地址,呼吁各区块链和加密交易所将来自这些地址的代币拉入黑名单。各大平台和资产方积极响应,试图阻止黑客将赃款转移。

发行泰达币(USDT,又称稳定币)的Tether公司称,盗窃案中价值约3300万美元的泰达币已经被冻结。

币安CEO赵长鹏在社交媒体上称:“已获悉Poly Network发生的黑客事件,虽然没有人能够控制币安智能链和以太坊,但我们正在与所有安全合作伙伴进行协调,以尽其所能提供帮助,但不保证一定成功。”

SlowMist称,他们的研究人员已经“掌握了黑客的邮箱、IP和设备指纹”,并正在“追踪与Poly Network黑客所有有关身份线索”。

然而,在各大平台和资产方手忙脚乱的时候,猖狂的黑客直接给全世界上演了一场“盗币直播”。

在Poly Network宣布黑客入侵约一小时后,黑客曾试图通过以太坊地址将包括USDT在内的资产转移至流动性池Curve Finance,不过记录显示,这笔交易被拒绝。而在此之前,已有近1亿美元在30分钟内从币安智能链地址转移到了流动性池Ellipsis Finance中,彻底无法追回。

随后,Poly Network团队在社交媒体上致信黑客,表示希望建立沟通,并敦促归还被窃取的资金。



不过,对方似乎并没有这样的意愿。在以太坊社区etherscan.io中,黑客先是公开询问如何使用以太坊上的匿名转账平台Tornado.cash“洗币”,随后又略带挑衅地留言表示自己已经“手下留情”了。

他写道:“如果我将所有资产全部转走,那我就成功黑掉了10亿美元。我刚刚是不是拯救了这个平台?我现在正在考虑是退回一些代币,或者干脆把它们留在这里。不如我创建一个新币种,然后让DAO(去中心化自治组织)决定它们的去向,如何?”

更戏剧的是,相关地址公开后,有网友通过社区链接警告黑客称,“你的地址已经被列入黑名单,不要转移资产。”这位黑客却“慷慨打赏”了该网友13枚以太币,价值约4.2万美元。随后,网友纷纷给其留言,希望能“分到一杯羹”。

研究人员结论认为,这次的盗窃案件“很可能是蓄谋已久、有组织和有准备的攻击”。

黑客:只是觉得有趣

8月12日,PolyNetwork黑客在区块链上发布了“自问自答”。攻击者表示,选择Poly Networ是因为跨链攻击很火。转走代币是为了保证安全。其声称:“当发现bug时,我有一种复杂的感觉。问问你自己,如果你面对如此多的财富,该怎么办。礼貌地询问项目团队,以便他们解决问题?当面对10亿,任何人都可能成为叛徒,我不能相信任何人。我能想出的唯一解决方案是将它保存在受信任的帐户中,同时保持我自己匿名和安全。现在每个人都闻到了阴谋的味道。内鬼?我不是,但谁知道呢?我有责任在任何内部人员隐藏和利用漏洞之前揭露它。”

此外,对于为什么攻击交易平台这一问题,他表示自己只是觉得有趣。“这是黑客可以享受的最具挑战性的攻击之一。我必须快速击败任何内部人员或黑客,我把它当作奖励挑战。我明白即使我不作恶也有暴露自己的风险。所以我使用了临时电子邮件、IP或指纹,这是无法追踪的。我宁愿呆在黑暗中拯救世界。”

黑客否认了自己是内部人士的说法,他还表示,攻击 Poly Network 是一种奖励挑战,目前身份并没有暴露,因为他使用了临时电子邮件、IP等,都是无法追踪的。

8月12日午间,Poly Network平台在社交媒体宣布,黑客已经归还窃取资金2.6亿美元。对于黑客开始退款,金融博客Zerohedge援引区块链分析公司Elliptic的首席科学家Tom Robinson称:“这表明,由于区块链的透明度和区块链分析技术的使用,即使能偷走加密资产,洗钱和套现也非常困难。在这种情况下,黑客认为最安全的选择是归还被盗资产。”

但黑客留言表示,“返还资金是因为这一直是我的计划!我对金钱不是很感兴趣!陆续地返还是因为还需要时间与Poly团队沟通,并且可以隐藏自己的身份与守护自己的尊严。我从未要求过Poly Network的赏金。”



为了不引起恐慌,黑客选择的都是一些有实力的代币,这些代币不会因为恐慌而出现归零。他表示,期间出售代币主要是因为Poly Network团队的回应激怒了他,“在我还没来得及回复之前,他们敦促其他人责备和憎恨我!而把稳定币存入到其他地方进行理财可以赚取一些利息来支付一些潜在成本,这样还有更多时间与Poly团队进行谈判。”

不得不说,这是一名特立独行又有想法,还非常有才华的黑客。因为在退还资金的过程中,他还为其退还的相关地址分别写了一首诗。



DeFi已成为黑客攻击重灾区

过去几年,随着“去中心化”交易、借款和借贷相关的应用程序迎来热潮,跨链去中心化金融(DeFi)也越来越受欢迎,吸引了数十亿美元的投资资金,但这也使它们成为了黑客的目标。

今年5月,另一个跨链DeFi协议Rari Capital也因遭黑客攻击,损失了价值近1100万美元的以太坊币。

今年7月,跨链流动性协议Thorchain在两周内遭遇了两次黑客攻击。

加密货币情报公司CipherTrace日前公布的报告显示,今年前七个月,整体加密货币欺诈和犯罪已大幅下降,但DeFi黑客造成的损失比去年全年高出了270%。

大多数DeFi犯罪活动来自于外部人员的黑客攻击,造成的损失达3.61亿美元,占所有DeFi相关犯罪活动的76%。剩下的24%是“Rug-Pull”(即当加密货币创始人放弃项目,并带着投资者的钱跑路),在7月底这一数字总计超过1.13亿美元。

CipherTrace的首席执行官Dave Jevans在发给媒体的电子邮件中说:“随着DeFi生态系统的扩大,出现有关DeFi的犯罪活动也不奇怪。”

“2021年刚刚过去八个月,DeFi行业的黑客攻击、盗窃和欺诈活动已经超过了2020年的犯罪活动总量。全球各地的监管机构都在特别密切关注DeFi。”



加密货币“安全神话”破灭?

安全专家:值得警惕

据了解,这次黑客是利用不同合约(smart contract)间的协定产生的漏洞而发起攻击。有报道指出,新生的“跨链协议”平台频繁遭遇黑客攻击且损失惨重,这不禁让人对所谓“去中心化金融”的安全性产生质疑。

其实币圈最著名的盗窃事件,还要属2014年的“门头沟事件(MT.Gox)”,其丢失的比特币至今都不知去向。MT.Gox是位于日本东京的的一家比特币交易所,早在2010年就开展比特币交易业务,由于其参与早,竞争对手少,一度是世界上最大的比特币交易所,交易量占据了全球的80%之多。

2014年2月,MT.Gox宣称,丢了大约75万个属于客户的比特币,以及10万个平台自己的比特币。MT.Gox交易所因此宣布关闭并申请破产。

区块链数据公司Messari的研究分析师瑞安·沃特金斯表示:“正如我们所看见的,所有漏洞都证明,跨链金融是一个非常困难的领域,与其他区块链及其特性的连接增加了其复杂性。”

币安智能链的发言人则对CoinDesk表示,作为一个“去中心化”的区块链,BSC上的协议和用户需要“非常认真地”采取安全措施。BSC目前正与安全合作伙伴合作,为正在进行的调查提供尽可能多的支持。这位发言人表示:“我们知道Poly的漏洞已经影响了以太坊、Polygon和BSC用户。最近,一些不可信的桥梁成为了黑客攻击的受害者,我们建议在与任何项目交互之前进行安全审计和必要的尽职调查。”

区块链分析公司Elliptic联合创始人汤姆·罗宾逊也表示,这一现象值得警惕,因为黑客已经开始使用去中心化的交易所,将被盗资产转换成其他资产。他指出,从理论上讲,稳定币等一些代币可以被其发行者没收,将它们被归还给其合法所有者。然而,这对于被盗的以太坊币来说是不可能的。