8 月 10 日晚間,跨鏈互操作協議 Poly Network 突遭駭客攻擊,在 Poly Network 現已整合的三大主流生態(以太坊、BSC、Polygon)上,駭客分別盜走了 2.5 億、2.7 億、8500 萬美元的加密資產,損失總額高達 6.1 億美元。
史上最大駭客事件
6.1 億美元是什麼概念?如果按照事件發生時相關資產的市場價格計算,這不僅僅是 DeFi 歷史上涉案金額最大的駭客事件,更是整個加密貨幣歷史上涉案金額最大的駭客事件,超過了鼎鼎大名的 Mt.Gox 事件(744408 枚 BTC,當時總價值約 4 億美元),以及 2018 年的 Coincheck 大案(5.23 億枚 XEM,當時總價值約 5.34 億美元)。
如果僅在 DeFi 市場內部比較,Odaily 星球日報此前曾做過一次不完全統計,2020 年 DeFi 領域內共發生了四十餘起起攻擊事件,損失金額約 1.774 億元美元(已追回約 4939 萬美元),Poly Network 這次事件的數字足足是其三倍有餘。
關於本次事件發生的具體原因,Odaily 星球日報已詢問了 PeckShield、慢霧、BlockSec、Certik、成都鏈安等多家知名安全公司。其中 BlockSec 向 Odaily 星球日報表示,駭客向 Poly Network 合約內的函式「verifyHeaderAndExecuteTx」提供了一個有效的簽名訊息,且「LockProxy」合約內中的「onlyManagerContract」修改符不會被繞過。基於這些觀察,BlockSec 認為造成本事件的原因可能是用於跨鏈簽名的私鑰被洩漏,或是簽名程式有邏輯漏洞導致簽署出了攻擊交易。
這一分析也與其他一些 KOL 的觀點基本吻合。The Block Research 分析師 Igor Igamberdiev 認為,Poly Network 遭到攻擊的根本原因是密碼學問題,這可能類似不久前剛剛發生的 Anyswap 駭客事件——在那起事件中,駭客透過合約漏洞成功推倒出了金鑰,最終竊走了 790 萬美元。
安全研究員 Mudit Gupta 則提出了另一個可能性,由於 Poly Network 的合約只有一個簽名者,除了駭客可能透過某種手段獲取了金鑰之外,也有可能是駭客與團隊內部人員勾結完成了攻擊,這需要更為徹底的調查。
Primitive Ventures 創始合約人 Dovey Wan 也表示:“Poly Network 和 O3(注:本次事件的另一大相關專案,下文會解釋)都沒有完全開源,所以這很有可能是一次內部攻擊事件。”
--------------------------------------------------------------
8 月 11 日 08:40 更新:慢霧安全團隊分析指出:本次攻擊主要在於 EthCrossChainData 合約的 keeper 可由 EthCrossChainManager 合約進行修改,而 EthCrossChainManager 合約的 verifyHeaderAndExecuteTx 函式又可以透過 _executeCrossChainTx 函式執行使用者傳入的資料。因此攻擊者透過此函式傳入精心構造的資料修改了 EthCrossChainData 合約的 keeper 為攻擊者指定的地址,並非網傳的是由於 keeper 私鑰洩漏導致這一事件的發生。
我們將在其他安全公司進一步回覆後繼續更新本文。
--------------------------------------------------------------
圍堵與逃竄
8 月 10 日 20:38,Poly Network 官方於推特確認了攻擊事件,並貼出了駭客在不同鏈上的具體地址(見下文)。官方同時表示,為了追回失竊資金,Poly Network 將採取法律行動,敦促駭客儘快還款,希望相關鏈上的礦工及各大交易所伸手援助,共同阻止駭客地址所發起的交易。
駭客地址:
以太坊地址:0xC8a65Fadf0e0dDAf421F28FEAb69Bf6E2E589963;
BSC 地址:0x0D6e286A7cfD25E0c01fEe9756765D8033B32C71;
Polygon地址:0x5dc3603C9D42Ff184153a8a9094a73d461663214。
在 Poly Network 發出呼籲之後,各方 KOL 紛紛發聲支援,試圖阻止駭客洗錢。
趙長鵬於推特表示:“我們已獲悉 Poly Network 發生的駭客事件。雖然沒有人能夠控制 BSC 或以太坊,但我們正在與所有安全合作伙伴協調,我們將盡已所能,主動提供幫助。”
OKEx CEO Jay 也表示:“OKEx 已在關注此案,我們正在觀察貨幣的流動,並將盡最大努力來協助處理該事件。”
另一邊,穩定幣 USDT 的發行方 Tether 更是快速響應,直接凍結攻擊駭客以太坊地址中 3300 萬 USDT。
駭客透過 Curve 將近 1 億 USDC 兌換為 DAI。
不過,雖然已有多方參與了針對駭客的堵截,但駭客仍在透過各種手段快速混幣,包括在以太坊上利用 Curve 混幣逾 9700 萬美元,以及在 BSC 上利用 Curve 分叉專案 Ellipsis Finance 混幣近 1.2 億美元。
大型乞討現場
失竊金額如此之大,受害者數量自然也少不了(Odaily星球日報作者本人也是其中之一)。
就目前情況來看,遭受此次事件影響的主要群體是透過跨鏈聚合器 O3 Swap 進行挖礦的使用者,O3 Swap 本身也因此暫停了跨鏈相關服務。在事件發生之前,O3 Swap 在 Polygon 等鏈上的穩定幣池年化可超過 20%,一些短期單幣池(上週剛剛關閉)的年化更是可達百分之數百,在 DeFi 挖礦收益日趨下行的今天,這一年化水平還是相當具有吸引力的。大量“DeFi 農民”衝著高收益而來,卻最終落得了個“血本無歸”。
而之所以 Poly Network 被攻擊,O3 Swap 使用者遭殃,是因為 O3 Swap 的跨鏈功能系基於 Poly Network 搭建。事實上,在 Poly Network 官方確認被黑之前,社羣之內的主要猜測也是 O3 Swap 合約被駭客攻破。
在以往 DeFi 被盜、使用者求助無門的情況下,不少人會選擇向駭客的地址傳送一筆交易,留言述說這是自己的血汗錢,懇求駭客歸還資金。而這一次,許多“看熱鬧不嫌事大”的旁觀者卻讓事情“變味”了。
在某位吃瓜群眾“提示指導”駭客其 USDT 已被列入黑名單,並被駭客“回禮”了 13.5 ETH 之後,更多原本與本次事件無關的人也開始加入了這場大型“乞討”之中,透過“支援”駭客尋求打賞,甚至拜託駭客“拉盤”自己持有的幣。
“技術”一般的吃瓜群眾大多選擇直接乞討,比如說「大哥,給我點兒錢吧」或是「大佬,求求你了」。
“技術”再好點的使用者會選擇講講故事,甚至讓駭客成為自己的“天使投資人”,比如說「我看中了一個專案,如果你給了我多少多少錢,待我飛黃騰達後定會加倍奉還」,或是說「自己還在上學,也有個駭客夢想,希望能夠獲得前輩的資金支援」。
“技術”最好的使用者根本不墨跡,二話不說,直接認爹。
更有甚者,一些人試圖透過告訴駭客一些可行的混幣措施,來換取駭客的代幣施捨……這種看似“好玩”的做法實則非常不可取,也是對焦急痛心的失主極大的不尊重。
追回資金,還有希望嗎?
撇開種種鬧劇,事件既已發生,各方最為關心的事情莫過於能否成功追回資產。
結合此前 DeFi 世界內曾發生過的多起安全事件來看,追贓並非毫無可能,比如去年的 dForce 及 EMD 事件,最終都成功追回了失竊資金。整體來看,此類事件基本上都有一個共同點——透過追蹤,駭客在現實世界的身份暴露,面臨著來自專案方及受損使用者的起訴和追責,最終選擇主動歸還資金。
過往案例告訴我們,儘管 DeFi 在互動層面上已實現了去中心化,但一個個受法律保護及約束的人類才是參與 DeFi 的主體,因此 DeFi 也絕不是什麼無法之地,在鏈上資產意外遭遇損失時,尋求鏈下的法律保護是最有效的解決措施。
目前較好的一個訊息是,慢霧安全團隊表示,在合作伙伴虎符(Hoo)及多家交易所的技術支援下,已透過鏈上及鏈下追蹤已關聯發現攻擊者的郵箱、IP 及裝置指紋等資訊,正在追蹤 Poly Network 攻擊者相關的可能身份線索。慢霧安全團隊梳理髮現,駭客初始的資金來源是門羅幣(XMR),然後在交易所裡換成了 BNB/ETH/MATIC 等幣種並分別提幣到 3 個地址,不久後在 3 條鏈上發動攻擊。
或許是感覺到了壓力,駭客也在 8 月 11 日 00:05 透過一筆交易公開表示有意歸還部分資金。與此同時,駭客還提出了一個新的可能,即利用這筆資金髮行一個全新代幣,並透過 DAO 的形式進行運作。
不過,慢霧提到的關鍵合作伙伴虎符(Hoo)隨後在社群內進一步迴應稱,駭客只是在虎符註冊了一個沒有 KYC 的賬號,並轉出了少量 ETH 作為 gas 費用,並沒有資金流入虎符。最為關鍵的是 ,駭客在虎符內的賬戶並沒有實名認證,所以能否透過其他資訊(慢霧提到的郵箱、IP 等等)成功定位駭客身份暫時仍無法確定。
稍早前,Poly Network 官方再次透過公開信的形式向駭客喊話,強調數億美元的資金在任何司法轄區都會是特大案件,希望藉此向駭客施壓,獲得與對方溝通的機會。但截至發文,Poly Network 仍沒有披露其他任何實質性的進展。
隨著多鏈格局的日漸穩固,跨鏈橋作為不同生態之間流動性往來的渠道,其所承擔的價值正快速膨脹。從前不久的 Chainswap、Anyswap,再到今天的 Poly Network,這一賽道已成為了駭客眼中的“香饃饃”,安全形勢日趨嚴峻,專案方、審計公司、使用者均需提高警惕。
Poly Network 事件仍在持續發展中,後續的任何進展,Odaily 星球日報均會第一時間核實、報道,還請大家保持關注。
