周二,Poly Network官方推特稱該項(xiàng)目遭到黑客攻擊��,直接損失了價(jià)值超過6億美元的加密資產(chǎn)����。這次攻擊是迄今為止最大的DeFi黑客攻擊,損失直接超過了2021年所有DeFi黑客攻擊的總和��。此前的門頭溝和Coinchek兩個(gè)轟動(dòng)幣圈的大案損失分別為價(jià)值4億和5.32億美元的加密資產(chǎn)�。
周二,Poly Network官方推特稱該項(xiàng)目遭到黑客攻擊��,直接損失了價(jià)值超過6億美元的加密資產(chǎn)�。這次攻擊是迄今為止最大的DeFi黑客攻擊����,損失直接超過了2021年所有DeFi黑客攻擊的總和���。此前的門頭溝和Coinchek兩個(gè)轟動(dòng)幣圈的大案損失分別為價(jià)值4億和5.32億美元的加密資產(chǎn)��。
跨鏈協(xié)議Poly Network在收到攻擊后呼吁加密社區(qū)���,甚至是"白帽黑客"���,通過區(qū)塊鏈來追蹤黑客轉(zhuǎn)移資金的行動(dòng)�。在本次黑客攻擊事件中,攻擊者利用了一個(gè)區(qū)塊鏈跨鏈協(xié)議Poly Network的技術(shù)漏洞�。本次攻擊共涉及了三個(gè)不同的區(qū)塊鏈,它們分別是:以太坊網(wǎng)絡(luò)���、幣安智能鏈(BSC)和Polygon���。最終黑客獲取了檢索加密貨幣錢包所有者的私鑰所需的信息,并最終盜取了鏈上資產(chǎn)�。
“漏洞”疑云
Poly Network聲稱"數(shù)以萬計(jì)的社區(qū)成員"受到了該黑客攻擊事件的影響。
Poly Network團(tuán)隊(duì)通過推特表示��,經(jīng)過初步調(diào)查,我們找到了造成該漏洞的原因���。黑客利用了合同調(diào)用之間的漏洞����,漏洞并非像傳言的那樣是由單一Keeper造成的����。
Nokenchain首席執(zhí)行官Guillaume Thuill在youtube的直播中就談到,“很明顯��,問題出在Poly Network只使用一個(gè)錢包來處理所有的業(yè)務(wù)�。甚至其協(xié)議內(nèi)部還存在著某種形式的賬戶管理不善。該公司將來自三個(gè)不同區(qū)塊鏈接近6億美金的代幣放在一個(gè)賬戶中����,這本身就是一個(gè)錯(cuò)誤。這明顯是違反了許多地區(qū)的金融安全監(jiān)管法規(guī)的���。
Thuill還補(bǔ)充道��,“我們甚至還能猜測(cè)到黑客是如何設(shè)法獲得賬戶的內(nèi)部密鑰的��。他可能做了一個(gè)'利用'(利用系統(tǒng)編輯說明中的一個(gè)缺陷)����。這可能是他們的智能合約(即在區(qū)塊鏈上自動(dòng)放置一個(gè)訂單、一個(gè)行動(dòng)或信息的小型程序)的審核問題��。根據(jù)他們的網(wǎng)站�,Poly Network總共"跨越"了11個(gè)區(qū)塊鏈����。當(dāng)然這是非常厲害的技術(shù),但他們的風(fēng)控和安全維護(hù)水平?jīng)]趕上他們的跨鏈技術(shù)��。私鑰是件大事���。一般來說��,在每個(gè)階段�,都應(yīng)該有驗(yàn)證或確認(rèn)的交互系統(tǒng)��。"
為了挽救其聲譽(yù)���,Poly Network甚至在推特上發(fā)布了一封信件與黑客隔空對(duì)話:"親愛的黑客(……)我們想與你取得聯(lián)系��,并敦促你歸還你所入侵的資產(chǎn)���。任何國家的當(dāng)局都會(huì)把你的不當(dāng)行為視為重大經(jīng)濟(jì)犯罪��,你將被起訴��。(……)你應(yīng)該和我們談?wù)?���,并嘗試找到一個(gè)解決方案��。"
為什么項(xiàng)目方總會(huì)第一時(shí)間求助于加密社區(qū)���?
這是一個(gè)經(jīng)典的策略���。通常情況下,項(xiàng)目方出事后都會(huì)第一時(shí)間呼吁活躍的社區(qū)用戶來識(shí)別地址���,并追蹤資金���,以阻止資金的流通。由于一切都在區(qū)塊鏈上被追蹤����,而社區(qū)用戶往往與項(xiàng)目方有直接的利益相關(guān)性�,所以會(huì)自愿自發(fā)的進(jìn)行這些追蹤行動(dòng)���,項(xiàng)目方相當(dāng)于免費(fèi)雇傭了一大批“私人偵探”����。這就像區(qū)塊鏈上的壞地址的黑名單���,雖然簡(jiǎn)單,但該方法實(shí)際上是非常有效的�。唯一的問題是,黑客經(jīng)常會(huì)讓作案錢包進(jìn)入“冬眠”狀態(tài)����,一直到風(fēng)波浪潮過去。
在Twitter上�,Poly Network就直接公布了黑客使用的地址,并呼吁加密貨幣錢包的持有人將其列入"黑名單"��。
該方法也在美國運(yùn)營商Colonial Pipeline被黑的案件中得到了嘗試和檢驗(yàn)��,該公司被要求支付贖金來恢復(fù)它的計(jì)算機(jī)系統(tǒng)����。但在支付給黑客的440萬美元贖金中��,美國當(dāng)局表示���,他們僅僅通過追蹤這些以加密貨幣支付的資金在區(qū)塊鏈上的流動(dòng),就收回了一半以上的贖金(約230萬美元)��。
雖然Poly Network項(xiàng)目和許多新的初創(chuàng)公司一樣��,正在為欣欣向榮的Defi生態(tài)添磚加瓦����。但并不太代表著安全問題可以被忽略掉。區(qū)塊鏈?zhǔn)前踩?��,但顯然基于區(qū)塊鏈的智能合約卻并非如此���。
歸還贓款
所以自官方公布被盜之后,無論是項(xiàng)目方還是安全機(jī)構(gòu)����、幣圈各方力量以及每個(gè)幣圈人都在時(shí)刻關(guān)注Poly Network事件的最新進(jìn)展,并盡全力協(xié)助凍結(jié)追回資金���。
被攻擊的當(dāng)天�,8月10號(hào)中午12時(shí),黑客竟公開表示將要?dú)w還所有資產(chǎn)�,其通過鏈上交易備注表示準(zhǔn)備歸還盜取的資產(chǎn),但因?yàn)闊o法聯(lián)系Poly Network項(xiàng)目方���,希望Poly Network提供一個(gè)多簽錢包����。黑客還稱“獲取這么多財(cái)富已經(jīng)是一個(gè)傳奇����,而拯救世界更是永恒的傳奇���,我做出了決定�,不再使用DAO��?!?/p>
看起來似乎是黑客“回心轉(zhuǎn)意”,但實(shí)際上僅僅是一次“風(fēng)險(xiǎn)大于作惡收益”的權(quán)衡����。在攻擊發(fā)生之后的三小時(shí)內(nèi),慢霧安全團(tuán)隊(duì)就表示����,通過鏈上及鏈下追蹤已關(guān)聯(lián)發(fā)現(xiàn)攻擊者的郵箱����、IP及設(shè)備指紋等信息�,正在追蹤Poly Network攻擊者相關(guān)的可能身份線索。并確認(rèn)這很可能是一次蓄謀已久的����、有組織有準(zhǔn)備的攻擊行為。
隨后鏈上陸續(xù)記錄了黑客的還款動(dòng)作�。
據(jù)PeckShield追蹤的數(shù)據(jù)顯示,攻擊Poly Network的黑客在BSC上于區(qū)塊9939700歸還近1.2億枚BUSD���。比推此前報(bào)道���,周二,去中心化金融(DeFi)項(xiàng)目Poly Network被黑客盜取超過6億美元的數(shù)字資產(chǎn)���。這次攻擊是迄今為止最大的DeFi黑客攻擊���,超過了2021年所有DeFi黑客攻擊的總和。美東時(shí)間周三早上��,該公司發(fā)布推文稱,已收到黑客返還的總價(jià)值為4,772,297.675美元的資產(chǎn)����,包括ETH地址:2,654,946.051美元;BSC地址:1,107,870.815美元�;Polygon地址:1,009,480.809美元。
盡管資金已經(jīng)得到歸還��,但一次黑客攻擊便可轉(zhuǎn)移6億美元資產(chǎn)的負(fù)面新聞����,可能又再次對(duì)Defi的發(fā)展打上了不可逆轉(zhuǎn)的陰影。
《比推》此前報(bào)道��,根據(jù)CipherTrace數(shù)據(jù)�,到4月底��,加密貨幣盜竊��、黑客攻擊和欺詐的總金額已經(jīng)達(dá)到4.32億美元�。該公司在報(bào)告中寫道,“與過去幾年相比��,這個(gè)數(shù)字似乎很小�,但如果我們更仔細(xì)地去了解這個(gè)數(shù)據(jù)����,一個(gè)糟糕的趨勢(shì)正在形成:去中心化金融(Defi)領(lǐng)域的黑客現(xiàn)在占到黑客和盜竊總量的60%以上��?�!?/p>
據(jù)Chainalysis在2月份發(fā)布的另一份報(bào)告指出��,2020年用于非法目的的加密貨幣交易達(dá)到100億美元��,僅占去年加密貨幣活動(dòng)總量的1%����,是前年同期的50%。
圖片來源:網(wǎng)絡(luò)
立即登錄��,閱讀全文
閩公網(wǎng)安備 35010202001226號(hào)
