發生在8月10日的Poly Network攻擊事件可能是史上涉及金額最大的一起網路安全事件,超過6.1億美元的加密資產在15天內被盜並被歸還。整個Blockchain行業及所有相關方,和Poly Network一起經歷了這跌宕起伏的過程。目前所有涉及資產已經全部歸還使用者,系統功能已經基本恢復至事件前水平,這起事件終於可以落下帷幕。
在過去的兩週我們也收到很多關於這個事件的詢問,在此希望從我們的角度以一個公開透明的方式對此次事件進行一次回顧,以警示我們銘記本次事件,同時也讓更多的人瞭解到整件事情的處理細節,在這次事件中我們也許做的並不完美,但是或許是一點寶貴的經驗。
What went down
關於事故的具體描述,多家安全機構都進行了評述:
1. 慢霧:Poly Network攻擊的分析和問答
The Analysis and Q&A Of Poly Network Being Hacked
2. Kelvinfichter關於攻擊原因的分析
https://twitter.com/kelvinfichter/status/1425290462076747777
3. 慢霧:Poly Network攻擊的總體技術陳述
https://slowmist.medium.com/the-root-cause-of-poly-network-being-hacked-ec2ee1b0c68f
事發當晚也是我們承受最大壓力的一晚,我們儘量做到目標明確,有條不紊解決核心問題:鎖定資產,減少社羣猜測,建立溝通渠道。
● 嘗試與攻擊地址取得聯絡;
https://etherscan.io/tx/0xf6488e1efacd9c280eb91133d04ba357beca8016df8b0b0524b9a2e207b2ad7f,
https://twitter.com/PolyNetwork2/status/1425123153009803267
● 發現漏洞,尋找漏洞修補方案,分析資產去向和攻擊者行為;
https://twitter.com/PolyNetwork2/status/1425130017546149891,
https://twitter.com/SlowMist_Team/status/1425197809058254849
● 清點受影響資產,聯絡資產發行方凍結資產,減小不可控制的損失;
https://twitter.com/PolyNetwork2/status/1425073987164381196
● 通知各交易所,關注資金出金意圖;
● 呼籲礦池礦工攔截攻擊者試圖洗錢的交易;
https://twitter.com/PolyNetwork2/status/1425090228830842893
● 向使用者、社羣和媒體及時傳達進展;
https://twitter.com/PolyNetwork2/status/1425130017546149891
最終進展如下:
● 透過ETH網路與0x8a地址建立加密溝通渠道;
● Tether宣佈凍結了相關超3300萬USDT資產;
https://twitter.com/paoloardoino/status/1425090760609832978
● 幣安,Okex,火幣等釋出公告,會關注此事件資金流向;
https://twitter.com/cz_binance/status/1425091869709570060,
https://twitter.com/JayHao8/status/1425094897976193034,
https://twitter.com/DujunX/status/1425100770588954626
● 與USDC,BSC, Polygon,Heco,wBTC,MetaMask等取得聯絡;
● Poly Network推特持續釋出事件進展,減少使用者恐慌情緒,避免非屬實的流言。
https://twitter.com/PolyNetwork2/status/1425309429935710208
Decentralization has a long way to go
透過與白帽先生的溝通,雙方緩和了情緒,基本信任建立。8月11日,攻擊者宣佈「準備歸還資產」。隨後Poly Network的收款地址部署完成,8月11日 8:43:57 AM +UTC Poly團隊開始回收第一批退還資產。截止到8月13日,系統收回足夠的資產以恢復部分功能,在與白帽先生確認後,專案進入了恢復重建階段,核心目標還是兩點:促成資產收回,快速系統修復。
● 與白帽先生確認收款流程;
https://etherscan.io/tx/0x910b00b2b60b76d7c29a1855f9a1ebf204356eed22498334ddd46e46d96e06c2
● 向使用者承諾將收回全部資產作為首要目標;
https://twitter.com/PolyNetwork2/status/1425785007486820368
● 修復系統漏洞,確保系統的安全性;
https://github.com/polynetwork/eth-contracts/pull/12/files
● 確認系統重啟計劃和籌備路線圖;
● 開放恢復資產的專案方申請通道;
https://twitter.com/PolyNetwork2/status/1427233445185409026
● 與Tether協商凍結的USDT處理方式;
● 與社羣保持溝通;
https://twitter.com/PolyNetwork2/status/1425739339820982275
最終進展如下:
● 回收BSC, Polygon資產;
https://twitter.com/PolyNetwork2/status/1425309429935710208
● 建立共管賬戶;
https://etherscan.io/tx/0xf391ec8d5935d4ec11efb2c8b99ba3586cb0b0f05c5e0b9c44c74a1c40386bd7
● 完成修復系統漏洞並公佈新安全方案;
https://twitter.com/PolyNetwork2/status/1426819500263890946
● 宣佈系統重啟路線圖;
https://twitter.om/PolyNetwork2/status/1426490057276280832
● 確認可恢復功能專案清單並支援功能恢復;
https://twitter.com/PolyNetwork2/status/1427839007501680640
白帽先生自己也在區塊鏈上闡述了自己此次攻擊的原因,過程和給大家的誠懇建議,我們對全文進行了記錄:
https://docs.google.com/spreadsheets/d/14hMTpPNylZG6DizU3K-fpDbfYZxenI_KtbHpWkdc7VM/edit#gid=0
期間,Poly Network團隊也在經歷著前所未有的評議與爭論,我們看到最大的爭議也同樣是白帽先生提出自己最大的顧慮 - Poly Network的去中心化程序;
QUICK Q & A, PART (INCREDIBLE) SEVEN:
A: I AM FAIRLY CONFIDENT OF THEIR DESIRE AND CAPABILITY TO RECOVER AND SECURE THE PROJECT WHICH HAS BEEN DESIGNED AS A ROBUST SYSTEM. MY ONLY CONCERN IS THAT THE POLY CHAIN, THE CORE PART OF THE WHOLE NETWORK, IS _NOT VERY DECENTRALIZED_, AND THAT IS NOT SOMETHING I CAN CONTRIBUTE TO. MAYBE I AM _WRONG_.
https://etherscan.io/tx/0x1f3ff47b612f2c92a8bda39ba310c38b22a32dca94a38d7073abbc9bb53c1dbc
在此,我們也想為此疑慮做出解釋,事實上專案已經在去中心化的路徑上探索許久,我們相信去中心化永遠是優秀的協議非常重要的一環,如果有興趣,大家可以關注下:https://github.com/polynetwork/Zion, 在半年前,我們已經啟動了Poly Network的新版本的開發,我們希望未來透過完整的經濟模型和治理機制,來保證整個網路的去中心化管理。因為跨鏈協議不同於單鏈專案,由於要實現不同特性鏈之間的互操作性,除了實現安全性要比單鏈更加複雜外,如何更有效的治理也是一個重要的部分,實現多元化世界的一致性,需要各個相關方進行更加高效的共識。
Security is everything
安全一定不是一蹴而就的事,對於網路安全,此次事件已經凝聚了全行業最直接深刻的體會。
https://twitter.com/PolyNetwork2/status/1426197361177493511
8月15日,在確定並公佈恢復計劃後,團隊開始持續推進和落實路線圖中的工作,包括在immunefi的平臺上釋出了總額為50萬美金的安全賞金計劃,希望吸引全球安全機構和白帽組織為Poly Network的安全助力,當然這只是安全的第一步,系統恢復期內我們也:
● 邀請白帽先生作為Poly Network的首席安全顧問並提供160ETH安全賞金
https://twitter.com/PolyNetwork2/status/1427574236483231749
● 與PeckShield、BlockSecTeam、Beosin (Chengdu LianAn Tech)等安全機構確認修復和重啟方案
1)PeckShield:
https://peckshield.medium.com/polynetwork-bug-review-and-patch-analysis-88bde8441297
2)BlockSecTeam:
3)Beosin (Chengdu LianAn Tech):
https://medium.com/poly-network/latest-updates-aug-20-a12447c6d899
https://medium.com/poly-network/latest-updates-aug-19-ed7ab8e5c2f0
https://medium.com/poly-network/latest-updates-aug-17-241398d64a40
同時我們也想引用白帽先生闡述的對區塊鏈安全的一些建議,我們覺得在一定程度上是中肯客觀的。
Guys, ask yourself, is the poly team the owner of the assets? They are just the manager of the fund! Will you teach them how to trigger their "backdoor"? In the defi world, you can trust nobody but the code and youself.
To the "victims": I dont worry, you are not real victimes. I saved you!
https://etherscan.io/tx/0x078063e9574e1937a64b6552919b9fc0035429df1e601d79e200bf211e75f337
Q: ANYTHING ABOUT THE DEFI/BLOCKCHAIN SECURITY?
THE SECURITY IS A TOUGH JOB, NO MATTER IF ITS ALMOST THE SAME IN THE CRYPTO WORLD, EXCEPT THAT SOME PROJECT ARE NOT VERY URGENT GETTING THE MONEY BACK SINCE IT'S NOT THEIR MONEY, THEY WOULD JUST TELL THE REAL VICTIMS THAT "SORRY WE TRIED BUT NEVER GURANTEED THE EXTREME SECURITY".
https://etherscan.io/tx/0x42446ccc66bb48eac7bd905ae7d79708f303849802b280eb4d65770c1bfc0997
我們相信協議的安全始終是重要的一環,但是我們也相信在crypto的世界裡,程式碼之上仍有更廣袤和豐富的存在,或許大家有著不同的價值觀和知識儲備,但是依舊可以公平的參與到這個世界建設和治理裡,我們在未來想建立的不僅僅是一個安全的協議,更是一個對所有人公平透明的協議。
All your tokens have returned to you
所有的故事都會有一個尾聲,很欣慰,這次的故事是一個Happy Ending。
● 8月19日,白帽先生歸還了Ethereum上的96,942,063 個DAI。
● 8月22日,除wBTC和ETH資產已盡數歸還。Poly Network開始進行穩定幣的資產清點和復原,以協助O3 Hub的功能恢復。
● 8月23日完成了白帽先生返回的96,942,063個DAI與USDC之間的轉換,同時將BSC上的87,557,051個BUSD轉換為USDC(BEP-20)。對於在交易中產生的滑點損耗和手續費,Poly Network團隊用自有資金進行補償。
https://etherscan.io/tx/0x814e6a21c8eb34b62a05c1d0b14ee932873c62ef3c8575dc49bcf12004714eda
● 8月23日白帽先生公佈了多籤錢包的私鑰。
https://twitter.com/PolyNetwork2/status/1429738587046563841
● 8月25日,此次攻擊事件受影響的WBTC 和 ETH資產全部恢復。
https://twitter.com/PolyNetwork2/status/1430485302527741954
● 同日,Tether將此前凍結的33,431,200 USDT資產全數釋放至Poly Network接收資產的多籤錢包。
https://twitter.com/Tether_to/status/1430510652582416387
● 8月26日,Poly Network完成USDT資產的復原工作。至此,所有受此次攻擊事件影響的資產恢復完畢。
https://medium.com/poly-network/poly-network-asset-recovery-complete-a7ba33c2f2e4
Thank you all for standing with us
這個故事到了一個尾聲,但是對於我們來說卻是下一個征程的開始,在新的征程開始之前,我們想對所有使用Poly Network的專案和使用者,表示誠摯的感謝和深切的歉意。很抱歉由於系統漏洞給所有使用者帶來的困擾。感謝你們對專案的信任,雖然我們有可能會失去了一部分曾經相信我們的人,但我們會用之後的行動重新建立大家對專案的信心。同時,我們也將會用我們的方式去感謝所有使用過,支援過,一起經歷過這次事件的每個人,後續具體的細則我們將在系統完全恢復後在官方渠道公佈,請大家保持關注。
最後我們想說,專案安全始終是Poly Network以及整個行業永恆的主題,希望Poly Network事件不僅能幫助我們建設一個更健壯的專案,還能給整個行業帶來足夠深刻和持久的警示。對於我們來說,這段經歷將成為我們永不會忘卻的記憶,它不僅僅代表了一個協議的安全,更有關對信任、權力、慾望、責任、信仰新的理解。
