8月10日,未知黑客利用跨链协议 Poly Network 的漏洞在三条公链中窃取了至少6.1亿美元。针对此事,CT中文采访了三位加密行业的资深从业者,并总结了关于此黑客事件的细节。
文:Morty 责编:Ting Peng
在可能是DeFi世界中损失最多的黑客攻击中,未知黑客利用跨链协议Poly Network的漏洞在三条公链中窃取了至少6.1亿美元。
目前,黑客在最新的转账(区块高度13001578和区块高度13001573)中表示愿意归还盗窃资金,并表示因为无法联系Poly Network官方,希望Poly Network可以提供一个多签钱包。黑客称:
IT'S ALREADY A LEGEND TO WIN SO MUCH FORTUNE. IT WILL BE AN ETERNAL LEGEND TO SAVE THE WORLD. I MADE THE DECISION, NO MORE DAO.(能够获得如此之多的财富已经是一个传奇,而拯救世界更是永恒的传奇,我决定不再使用DAO)
为此,CT中文采访了三位加密行业的资深从业者,他们将为我们分享之于该事件的看法以及对后续事件影响的评估。
Kevin Shao 比升资本创始合伙人
Polynetwork可以说是这几天比较热点的话题,历史上最大金额的黑客盗币事件,让整个DeFi圈和区块链圈,甚至圈外都关注到了整个事情。我本人一直有专注DeFi相关的投资和研究,也会自己去尝试参与DeFi的一些治理和挖矿。对于O3这个跨链产品,以我自己使用体验上来说,从技术还是产品的体验上,是解决了目前跨链的部分需求,因此它也在短短的几个月内,成为了目前第一大跨链平台。
但是这个行业因为它刚起步,还很早期,目前本身是一个缺乏法规,缺乏监管的新兴领域, 类似这样的事情过去发生,现在发生,未来还是有可能发生。这里就更加凸显了行业安全的重要性,安全公司代码审计的重要性,行业从业人员的专业性。这不是停留在一张审计报告上就算完成了,是需要和项目的成长、项目的发展捆绑在一起。对于投资者保护这块,目前行业也缺乏相应的机制,未来也希望类似的保险机制可以运用到此类DeFi项目中。当然行业需要自律,需要用户、公司、第三方、监管一起携手才有可能让整个行业有序健康发展。
Eric Chen Injective创始人
本次攻击事件应该目前为止加密行业涉及金额最大的一次黑客事件。同时本次被攻击的Poly Network 为轻量级的异构链跨链互操作协议,在半个月内,跨链领域已出现5起安全事件,损失超过1700万美元。背后的原因是DeFi协议之间的互操作性变得越来越复杂,致使出现了许多新的攻击媒介。我认为今后应该更加重视智能合约的安全性,尤其是对于跨链桥的代码审计。
同时,对于被盗代币的追回上,目前还依赖于部分中心化机构的冻结保护。DeFi 的合规和管理也是值得行业去探讨的方向。
Lemon Lin Findora市场负责人
首先我自己也是这次黑客事件的受害者之一,在黑客攻击后,一整个晚上我都在盯着黑客几个地址的动向,行业里各种机构比如 Tether 、交易所、节点矿工、安全公司等都在合作争取把这次黑客攻击的损失降到最小。这次攻击带来我非常深刻的思考:区块链与合规性以及所谓CeFi和DeFi的结合,因为目前来看也只有被Tether冻结的 USDT 部分是相对安全的。这种行为只能通过中心化机构实现。因此类似这种中心化机构的合规属性非常重要。希望在未来的DeFi生态中,能够继续推进CeFi和DeFi的深入合作,为用户们提供一个更加安全的投资环境。
Poly Network黑客攻击事件
根据Poly Network周二在推特的更新,黑客攻击成功移除了其在 BSC 、以太坊和 Polygon 的资产。来自各个网络的区块链数据显示,黑客在以太坊上获利大约2.73亿美元,在Polygon窃取了8500万 USDC ,在BSC上获利2.53亿美元。Poly Network还报告了renBTC、 WBTC 和WETH三个币种被黑客裹挟参与了漏洞利用。
此前,Poly Network表示将对黑客裁取法律行动,并督促他们归还被盗资金。同时,它还要求上述的链上矿工和加密货币交易所将黑客相关的地址列入黑名单。
在DeFi和加密领域得知黑客入侵的消息后,为Poly Network提供了及时的帮助和支持。 OKEx 的首席执行官 Jay Hao 表示,该交易所团队正在“观察代币的流动,并尝试跟进管理”。Tether首席技术官Paolo Ardoino报告称,Tether已经在受影响的地址之一冻结了大约3300万美元的USDT。
币安 首席执行官赵长鹏表示,币安正在与安全合作伙伴协调,并“积极提供帮助”。同时,他表示无法保证能追回被盗资产,但是币安将尽其所能,记得注意安全。
Poly Network于去年推出,是一个由Ontology、Neo和Switcheo合作推出的项目,旨在打造“异构互操作性协议联盟”,整合各个区块链到更大的跨链生态系统中。Poly Network允许用户在不同的区块链之间交换代币。
截至目前,经由慢雾安全团队追踪,已经发现Poly Network攻击者的邮箱、IP及设备指纹等信息,黑客初始资金来源是XMR。黑客通过修改跨链合约Keeper为黑客定制地址,从而可以随意构造交易并从合约中取出任意数量的资金。
事件还在进行中,CT中文将会进行后续报道。