PolyNetwork 駭客長文自敘攻擊“心路歷程” ,退款順利已過半

買賣虛擬貨幣

吳說作者|Colin Wu

本期編輯|Colin Wu

吳說區塊鏈獲悉,8月12日凌晨PolyNetwork駭客釋出了自問自答,截止到8月12日上午8時,被盜取的 BSC 鏈上約2.5億美金資產已經退還,Polygon l鏈上約8500萬美金已經退還,其他資產也在陸續退還中。

問答,第一部分:

問:為什麼要攻擊?

答:為了好玩 :)

問:為什麼選擇PolyNetwork?

A:跨鏈攻擊很火

問:為什麼要轉走代幣?

答:為了保證安全。

當發現錯誤時,我有一種複雜的感覺。問問自己,如果你面對如此多的財富,該怎麼辦。禮貌地詢問專案團隊,以便他們解決問題?任何人都可能成為叛徒!我不能相信任何人!我能想出的唯一解決方案是將它儲存在受信任的帳戶中,同時保持我自己匿名和安全。

現在每個人都聞到了陰謀的味道。內鬼?不是我,但誰知道呢?我有責任在任何內部人員隱藏和利用它之前揭露漏洞!

問:為什麼如此複雜?

答:PolyNetwork是一個不錯的系統。這是駭客可以享受的最具挑戰性的攻擊之一。我必須快速擊敗任何內部人員或駭客,我把它當作獎勵挑戰:)

問:你暴露了嗎?

答:不。絕不。我明白即使我不作惡也有暴露自己的風險。所以我使用了臨時電子郵件、IP 或所謂的指紋,這是無法追蹤的。我寧願呆在黑暗中拯救世界。

問答,第二部分:

問:30 小時前到底發生了什麼?

答:說來話長。

信不信由你,我是被迫玩這個遊戲的。

PolyNetwork是一個複雜的系統,我沒有設法建立一個本地測試環境。我一開始沒能製作 POC。然而,就在我放棄之前,AHA 時刻到來了。在除錯了一整夜之後,我為本體網路製作了一個 SINGLE 訊息。

我計劃發起一個很酷的閃電戰來接管四個網路:ETH、BSC、POLYGON 和 HECO。然而,HECO 網路出錯了!中繼器的行為與其他中繼器不同,管理員只是直接中繼了我的漏洞利用,並且金鑰已更新為一些錯誤的引數。它破壞了我的計劃。(翻譯可能不夠準確)

我應該在那一刻停下來,但我決定讓節目繼續!如果他們在沒有任何通知的情況下秘密修補漏洞怎麼辦?

然而,我不想引起加密世界的真實恐慌。所以我選擇忽略垃圾幣,所以人們不必擔心它們會歸零。我拿了重要的代幣(SHIB 除外)並且沒有出售任何代幣。

問:那為什麼要出售/轉換那些代幣

答:POLY 團隊最初的迴應讓我很生氣。

在我有機會回覆之前,他們敦促其他人責備和憎恨我!我當然知道有假的 DEFI 硬幣(這句話沒理解),但我並沒有當真,因為我沒有洗錢的計劃。

與此同時,存入Curve可以賺取一些利息來支付潛在成本,這樣我就有更多時間與Poly團隊進行談判。

問答,第三部分:

問:為什麼給要小費 13.37?

A:我感受到了以太坊社羣的溫暖。

我正忙於調查 HECO 的問題並除錯我的指令碼。我認為這是網路問題,為什麼我不能存款(我在一個複雜的代理後面)。所以我和那傢伙分享了我的善意。

問:為什麼要問 TORNADO 和 DAO?

答:目睹瞭如此多的駭客攻擊,我知道將資金投入 TORNADO 是一個明智但絕望的決定。這違背了我的初衷。在遇到這麼多乞丐後,成為 CROWDSOURCED 駭客只是我的笑話:)

問:為什麼退款?

A:這一直是計劃!我對金錢不是很感興趣!我知道人們受到攻擊時會很痛苦,但他們不應該從這些駭客中學到一些東西嗎?我在午夜之前宣佈了退款的決定,所以相信我的人應該好好休息;)

問:為什麼退款的這麼慢?

A:我確實需要時間與POLY 團隊交談。抱歉,這是我所知道的唯一一種在隱藏自己的身份的同時證明我的尊嚴的方法。我需要休息一下。

問:PolyNetwork團隊?

A:我已經和他們開始了簡短的交談,日誌在以太坊上。我可能會也可能不會發布它們。他們遭受的痛苦是暫時的,但令人難忘。

我想為他們提供有關如何保護他們網路安全的提示,以便他們在未來有資格管理 10 億美金級別的專案。PolyNetwork是一個設計良好的系統,它將處理更多資產。他們在推特上有很多新粉絲,對嗎?

(自問自答完)

其他:

關於此次事件詳細的技術分析,慢霧進行了分析,推薦閱讀:Poly Network 事件分析與疑難問答

關於BUSDUSDC為何沒有第一時間凍結,超級君表示,昨晚(PolyNetwork盜幣案發生後),我們找了USDT和USDC和BSC,USDT幸好早動手了十分鐘(否則就跑了),USDC的CEO說他們要合法上市云云沒有及時凍,BSC的最初都說凍結了,但後來CZ發推特後,才知道他們並沒有。他表示,USDC和BSC昨晚都有機會及時凍結,很可惜,希望大家去推特和官網給USDC一些壓力。

(頭圖來自DM)

免責聲明:

  1. 本文版權歸原作者所有,僅代表作者本人觀點,不代表鏈報觀點或立場。
  2. 如發現文章、圖片等侵權行爲,侵權責任將由作者本人承擔。
  3. 鏈報僅提供相關項目信息,不構成任何投資建議

推荐阅读