行業觀察 | Defi最大盜幣案：PolyNetwork有驚無險，黑客先生”名垂青史“

8月10日，跨鏈協議Poly Network在推特上發文稱，其平台遭受黑客攻擊，短短34分鐘內，黑客通過Defi從Poly Network前前後後共計轉出高達6.1美金的資產。其中超2.5億美元資金轉至Binance Chain, 超2.7億美元資金轉至Etherem, 剩餘超過8500萬美元的資金流向Polygon.

事件發生之後，這個史上金額最大的盜幣案即刻吸引了全網的目光。

Poly Network接連在推特上喊話，希望黑客儘管歸還所盜資金。區塊鏈安全公司BlockSec，Slow Mist等，都試圖從專業角度，還原黑客是如何實施這場“驚天大案“。吃瓜群眾們，也不滿足於安靜吃瓜，在一位吃瓜群眾因通過hanashiro.eth的地址提醒黑客USDT已被凍結而收到黑客13.37ETH的打賞之後，也都紛紛向黑客發送鏈上信息，表達自己的“衷心“，希望得到打賞，有一開口就叫”親愛的爸爸“的，有說明自己悲慘身世渴望獲得垂憐的。

正當大家等着看這場“大戲“如何收場時，這名黑客鬆口了，表示自己”其實對錢並不感興趣“，以及自己將歸還所盜的資金。

然後，黑客就真的開始還錢了。

截至UTC時間周四上午8點18分，黑客所盜的6.1億美元資金，約3.42億美元已經歸還，包括價值460萬美元的Etherem資產、2.52億美元的Binance Chain資產和8500萬美元的Polygon資產組成。而仍未歸還的2.68億美元代幣屬於以太坊上的資產。

而這起“驚天大案“，也在全球吃瓜群眾的見證之下，慢慢落下帷幕。

但正如Poly Network最新推文所傳達的意思，在錢款追回之後，他們現在最大的問題，就是如何重新獲取用戶的信任，畢竟6億美金的資產說被偷就被偷，無疑暴露了其系統存在安全漏洞。

所以，黑客想要獲得Poly Network的“感謝”是不可能的了。

那麼，現在讓我們回過頭去，再梳理一下Poly Network這輾轉難眠的52小時吧。

“6億”大案的發生

8月10日， Poly Network在推特上公開發文宣告此事。

Poly Network的自救

Poly Network團隊也繼續在推特上呼籲，區塊鏈和加密貨幣交易所的礦工能夠將牽涉地址的代幣列入黑名單。

並且Poly Network嘗試和此次攻擊事件的始作俑者做出交涉，在推特上通過公開信的方式向黑客喊話，稱此次涉案金額不管在任何一個國家都將無法逃避執法部門的制裁，希望黑客儘早歸還所盜資產，和Ploy Network共同商討一個對雙方都有利的解決方案。

Poly Network在推文中稱黑客“ Dear Hacker”, 帶着一股”先禮後兵“的味道，似乎是想暗戳戳的告訴“親愛的黑客”，如果他老老實實的歸還失竊資產，那麼我們也不會為難你。但如果你讓我們走投無路，那麼以這次失竊資產的金額，恐怕你到哪兒都要“牢底坐穿”。

黑客“良心發現”？

而已然得逞並且“名垂青史“的黑客本人，不知道是不是真如他所說的”其實我對錢不敢興趣“，還是突然意識到事情的嚴重性，在8月11日中午的一筆交易中備註表示，他將準備歸還所盜資產。

這位黑客也確實如他所說，從8月10日起，就開始歸還他所盜走的這筆資金。除了屬以太坊資產的2.68億美金資產，目前其他都已悉數歸還。

而且，還錢之後的他，似乎還想繼續“享受”這來自全世界的目光，開始向外界剖析他的心路歷程，自導自演了一場得手后的“獲獎感言”，自己採訪起了自己：

自問：你為什麼要攻擊？

自答：好玩兒

自問：為什麼選Poly Network

自答：跨鏈攻擊很火

自問：你是不是已經暴露了？

自答：怎麼可能。現在這個網絡世界，即便我是個守法好公民我的足跡也是暴露無遺的。所以，我用的都是臨時郵箱，IP還有你們說的“指紋“。我想當的是拯救世界的”無名英雄“。

吃瓜群眾的“狂歡”

此次事件的圍觀者，也為這次事件增加了戲劇性的插曲。

一位hanashiro.eth的地址通過黑客地址提醒他USDT已被凍結，讓他不要使用。黑客為了表示感謝，向該地址轉入了13.37ETH。而很多人也發現了，13.37並不是黑客一高興，隨便敲出來的數字，而是Leet, 拼寫為1337， 又稱黑客語，似乎黑客的每一步都想彰顯自己高超的黑客技術。

此事被曝光之後，很多吃瓜群眾坐不住了，紛紛向黑客地址發送鏈上信息，表達自己的“衷心“，希望得到打賞。有一開口就叫”親愛的爸爸“的，有說明自己悲慘身世渴望獲得垂憐的。

而收到這一打賞的hanashiro.eth，似乎是害怕這“天上掉下的餡兒餅”，會給自己惹來麻煩，他將收到的ETH悉數捐贈給了Infura, Rekt, 幣安慈善等機構，並在鏈上留下了文藝十足的詩句或者歌詞，妥妥一枚當代文青。

安全機構的“案件還原”

事件發生之後，多家專業機構都對此做出了自己的分析。

區塊鏈安全公司BlockSec給出了他們的分析，黑客行為可能是由於簽署跨鏈信息的私鑰泄漏引發的。但他們還補充道，另外還有一個可能是，Poly的簽名過程中可能存在一個漏洞，被“濫用”了。

以太坊開發人員和安全研究員Mudit Gupta寫道，Poly Network使用Multisig錢包進行交易。在它的配置中，有四個人可以訪問用於簽署交易的密鑰，三個人必須簽名，他表示：“攻擊者至少獲得了三個保管人，然後使用他們將保管人更改為單個保管人。”

區塊鏈安全團隊Slow Mist認為，事實並非如此。相反，它更相信，攻擊者利用智能合約功能中的一個缺陷更改其保管人，將資金流轉到攻擊者自己的地址。他們認為事件並不是因為保管人的私鑰泄露而發生的。並表示 “已經通過鏈上和鏈外跟蹤掌握了攻擊者的郵箱、IP和設備指紋，並正在跟蹤可能與Poly網絡攻擊者有關的身份線索。”

在這52小時里，PolyNetwork有驚無險，黑客先生”名垂青史“，吃瓜群眾也看了一場一波三折的“好戲”。

聯盟短評

Defi，Decentralized Finance, 即去中心化的金融市場，本質上也是一種智能合約，包括借貸，抵押和其他金融衍生品。

此次並非Defi平台首次遭受攻擊，黑客們似乎總是對新興事物特別感興趣，除了金錢的誘惑，或許都想通過這種戲劇化的情節在Defi發展史上留下自己的“足跡”。黑客得手后可以瀟洒一轉身，也可以像開個玩笑一樣，得手后又歸還，再向全世界宣告自己“其實對錢並不感興趣”。但卻給這個發展中的新興行業籠罩上了一層陰霾，此舉並不光彩。

Deifi平台潛在的漏洞，也引發了很多人對Defi的擔憂，畢竟一個沒有政府監管，沒有政府審查，完全依賴於計算機技術的金融平台，不單是普通的幣民不放心，就算是資產雄厚的大莊家們，也是“我左看右看，我上看下看“的摸着石頭過河。

全球區塊鏈合規聯盟

“設立區塊鏈行業標準，加強行業自律，共同維護良好的市場秩序和行業環境，為行業健康發展提供理論指導，推動行業健康可持續發展”。

全球區塊鏈合規聯盟提供相關企業業務合規資質服務，歡迎通過郵箱[email protected]或微信與我們進行更詳細的業務溝通。