8月10日,未知駭客利用跨鏈協議Poly Network的漏洞在三條公鏈中竊取了至少6.1億美元。針對此事,CT中文采訪了三位加密行業的資深從業者,並總結了關於此駭客事件的細節。
文:Morty 責編:Ting Peng
在可能是DeFi世界中損失最多的駭客攻擊中,未知駭客利用跨鏈協議Poly Network的漏洞在三條公鏈中竊取了至少6.1億美元。
目前,駭客在最新的轉賬(區塊高度13001578和區塊高度13001573)中表示願意歸還盜竊資金,並表示因為無法聯絡Poly Network官方,希望Poly Network可以提供一個多籤錢包。駭客稱:
IT'S ALREADY A LEGEND TO WIN SO MUCH FORTUNE. IT WILL BE AN ETERNAL LEGEND TO SAVE THE WORLD. I MADE THE DECISION, NO MORE DAO.(能夠獲得如此之多的財富已經是一個傳奇,而拯救世界更是永恆的傳奇,我決定不再使用DAO)
為此,CT中文采訪了三位加密行業的資深從業者,他們將為我們分享之於該事件的看法以及對後續事件影響的評估。
Kevin Shao 比升資本創始合夥人
Polynetwork可以說是這幾天比較熱點的話題,歷史上最大金額的駭客盜幣事件,讓整個DeFi圈和區塊鏈圈,甚至圈外都關注到了整個事情。我本人一直有專注DeFi相關的投資和研究,也會自己去嘗試參與DeFi的一些治理和挖礦。對於O3這個跨鏈產品,以我自己使用體驗上來說,從技術還是產品的體驗上,是解決了目前跨鏈的部分需求,因此它也在短短的幾個月內,成為了目前第一大跨鏈平臺。
但是這個行業因為它剛起步,還很早期,目前本身是一個缺乏法規,缺乏監管的新興領域, 類似這樣的事情過去發生,現在發生,未來還是有可能發生。這裡就更加凸顯了行業安全的重要性,安全公司程式碼審計的重要性,行業從業人員的專業性。這不是停留在一張審計報告上就算完成了,是需要和專案的成長、專案的發展捆綁在一起。對於投資者保護這塊,目前行業也缺乏相應的機制,未來也希望類似的保險機制可以運用到此類DeFi專案中。當然行業需要自律,需要使用者、公司、第三方、監管一起攜手才有可能讓整個行業有序健康發展。
Eric Chen Injective創始人
本次攻擊事件應該目前為止加密行業涉及金額最大的一次駭客事件。同時本次被攻擊的Poly Network 為輕量級的異構鏈跨鏈互操作協議,在半個月內,跨鏈領域已出現5起安全事件,損失超過1700萬美元。背後的原因是DeFi協議之間的互操作性變得越來越複雜,致使出現了許多新的攻擊媒介。我認為今後應該更加重視智慧合約的安全性,尤其是對於跨鏈橋的程式碼審計。
同時,對於被盜代幣的追回上,目前還依賴於部分中心化機構的凍結保護。DeFi 的合規和管理也是值得行業去探討的方向。
Lemon Lin Findora市場負責人
首先我自己也是這次駭客事件的受害者之一,在駭客攻擊後,一整個晚上我都在盯著駭客幾個地址的動向,行業裡各種機構比如Tether、交易所、節點礦工、安全公司等都在合作爭取把這次駭客攻擊的損失降到最小。這次攻擊帶來我非常深刻的思考:區塊鏈與合規性以及所謂CeFi和DeFi的結合,因為目前來看也只有被Tether凍結的USDT部分是相對安全的。這種行為只能透過中心化機構實現。因此類似這種中心化機構的合規屬性非常重要。希望在未來的DeFi生態中,能夠繼續推進CeFi和DeFi的深入合作,為使用者們提供一個更加安全的投資環境。
Poly Network駭客攻擊事件
根據Poly Network週二在推特的更新,駭客攻擊成功移除了其在BSC、以太坊和Polygon的資產。來自各個網路的區塊鏈資料顯示,駭客在以太坊上獲利大約2.73億美元,在Polygon竊取了8500萬USDC,在BSC上獲利2.53億美元。Poly Network還報告了renBTC、WBTC和WETH三個幣種被駭客裹挾參與了漏洞利用。
此前,Poly Network表示將對駭客裁取法律行動,並督促他們歸還被盜資金。同時,它還要求上述的鏈上礦工和加密貨幣交易所將駭客相關的地址列入黑名單。
在DeFi和加密領域得知駭客入侵的訊息後,為Poly Network提供了及時的幫助和支援。OKEx的執行長Jay Hao表示,該交易所團隊正在“觀察代幣的流動,並嘗試跟進管理”。Tether技術長Paolo Ardoino報告稱,Tether已經在受影響的地址之一凍結了大約3300萬美元的USDT。
幣安執行長趙長鵬表示,幣安正在與安全合作伙伴協調,並“積極提供幫助”。同時,他表示無法保證能追回被盜資產,但是幣安將盡其所能,記得注意安全。
Poly Network於去年推出,是一個由Ontology、Neo和Switcheo合作推出的專案,旨在打造“異構互操作性協議聯盟”,整合各個區塊鏈到更大的跨鏈生態系統中。Poly Network允許使用者在不同的區塊鏈之間交換代幣。
截至目前,經由慢霧安全團隊追蹤,已經發現Poly Network攻擊者的郵箱、IP及裝置指紋等資訊,駭客初始資金來源是XMR。駭客透過修改跨鏈合約Keeper為駭客定製地址,從而可以隨意構造交易並從合約中取出任意數量的資金。
事件還在進行中,CT中文將會進行後續報道。
