Poly Network 自述 DeFi 史上最大安全事故全過程

撰文：Poly Network

發生在 8 月 10 日的 Poly Network 攻擊事件可能是史上涉及金額最大的一起網絡安全事件，超過 6.1 億美元的加密資產在 15 天內被盜並被歸還。整個區塊鏈行業及所有相關方，和 Poly Network 一起經歷了這跌宕起伏的過程。目前所有涉及資產已經全部歸還用戶，系統功能已經基本恢復至事件前水平，這起事件終於可以落下帷幕。

在過去的兩周我們也收到很多關於這個事件的詢問，在此希望從我們的角度以一個公開透明的方式對此次事件進行一次回顧，以警示我們銘記本次事件，同時也讓更多的人了解到整件事情的處理細節，在這次事件中我們也許做的並不完美，但是或許是一點寶貴的經驗。

What went down （我們跌落谷底）

關於事故的具體描述，多家安全機構都進行了評述：

• 慢霧：Poly Network 攻擊的分析和問答
• Kelvinfichter 關於攻擊原因的分析
• 慢霧：Poly Network 攻擊的總體技術陳述

事發當晚也是我們承受最大壓力的一晚，我們盡量做到目標明確，有條不紊解決核心問題：鎖定資產，減少社區猜測，建立溝通渠道。

• 嘗試與 攻擊地址 取得 聯繫；
• 發現漏洞，尋找漏洞修補 方案，分析資產去向和攻擊者行為；
• 清點受影響資產，聯繫資產發行方凍結資產，減小不可控制的損失；
• 通知各交易所，關注資金出金意圖；
• 呼籲礦池礦工 攔截攻擊者試圖洗錢的交易；
• 向用戶、社區和媒體及時 傳達進展；

最終進展如下：

• 通過 ETH 網絡與 0x8a 地址建立加密溝通渠道；
• Tether 宣布凍結 了相關的超 3300 萬 USDT 資產；
• 幣安、OKEx、火幣 等發布公告，會關注此事件資金流向；
• 與 USDC，BSC, Polygon，Heco，wBTC，MetaMask 等取得聯繫；
• Poly Network 推特持 續發布事件進展，減少用戶恐慌情緒，避免非屬實的流言。

Decentralization has a long way to go （去中心化還有很長的路要走）

通過與白帽先生的溝通，雙方緩和了情緒，基本信任建立。8 月 11 日，攻擊者宣布「準備歸還資產」。隨後 Poly Network 的 收款地址部署 完成，8 月 11 日 8:43:57 AM +UTC Poly 團隊開始回收第一批退還資產。截止到 8 月 13 日，系統收回足夠的資產以恢復部分功能，在與白帽先生確認后，項目進入了恢復重建階段，核心目標還是兩點：促成資產收回，快速系統修復。

• 與白帽先生 確認收款流程；
• 向用戶承諾 將收回全部資產作為首要目標；
• 修復系統漏洞，確保系統的安全性；
• 確認系統 重啟計劃 和籌備路線圖；
• 開放恢復資產的項目方 申請通道；
• 與 Tether 協商凍結的 USDT 處理方式；
• 與社區保持溝通；

最終進展如下：

• 回收 BSC、Polygon 資產；
• 建立 共管賬戶；
• 完成修復系統漏洞並 公布新安全方案；
• 宣布 系統重啟路線圖；
• 確認 可恢復功能項目清單 並支持功能恢復；

白帽先生自己也在區塊鏈上闡述了自己此次攻擊的原因，過程和給大家的誠懇建議，我們對全文進行了 記錄。

期間，Poly Network 團隊也在經歷着前所未有的評議與爭論，我們看到最大的爭議也同樣是白帽先生提出自己 最大的顧慮 – Poly Network 的去中心化進程；

QUICK Q & A, PART (INCREDIBLE) SEVEN:
A: I AM FAIRLY CONFIDENT OF THEIR DESIRE AND CAPABILITY TO RECOVER AND SECURE THE PROJECT WHICH HAS BEEN DESIGNED AS A ROBUST SYSTEM. MY ONLY CONCERN IS THAT THE POLY CHAIN, THE CORE PART OF THE WHOLE NETWORK, IS _NOT VERY DECENTRALIZED_, AND THAT IS NOT SOMETHING I CAN CONTRIBUTE TO. MAYBE I AM _WRONG_.

在此，我們也想為此疑慮做出解釋，事實上項目已經在去中心化的路徑上探索許久，我們相信去中心化永遠是優秀的協議非常重要的一環，如果有興趣，大家可以 關注下 ， 在半年前，我們已經啟動了 Poly Network 的新版本的開發，我們希望未來通過完整的經濟模型和治理機制，來保證整個網絡的去中心化管理。因為跨鏈協議不同於單鏈項目，由於要實現不同特性鏈之間的互操作性，除了實現安全性要比單鏈更加複雜外，如何更有效的治理也是一個重要的部分，實現多元化世界的一致性，需要各個相關方進行更加高效的共識。

Security is everything （安全性就是一切）

安全一定不是一蹴而就的事，對於網絡安全，此次事件已經凝聚了全行業 最直接深刻的體會。

8 月 15 日，在確定並公布恢復計劃后，團隊開始持續推進和落實路線圖中的工作，包括在 immunefi 的平台上發布了總額為 50 萬美金的安全賞金計劃，希望吸引全球安全機構和白帽組織為 Poly Network 的安全助力，當然這只是安全的第一步，系統恢復期內我們也：

• 邀請 白帽先生作為 Poly Network 的首席安全顧問並提供 160ETH 安全賞金
• 與 PeckShield、BlockSecTeam、Beosin (Chengdu LianAn Tech) 等安全機構確認修復和重啟方案

• https://medium.com/poly-network/latest-updates-aug-20-a12447c6d899
• https://medium.com/poly-network/latest-updates-aug-19-ed7ab8e5c2f0
• https://medium.com/poly-network/latest-updates-aug-17-241398d64a40

同時我們也想引用白帽先生闡述的對區塊鏈安全的一些建議，我們覺得在一定程度上是中肯客觀的。

Guys, ask yourself, is the poly team the owner of the assets? They are just the manager of the fund! Will you teach them how to trigger their "backdoor"? In the defi world, you can trust nobody but the code and youself.
To the "victims": I don't mean the poly team is not trustworthy, but none of you have the chance to challenge their code which should be the law. Don't worry, you are not real victimes. I saved you!
Q: ANYTHING ABOUT THE DEFI/BLOCKCHAIN SECURITY?
THE SECURITY IS A TOUGH JOB, NO MATTER IF IT'S IN CLASSIC OR CRYPTO WORLD. IN MOST CASES, WE SECURITY EXPERTS ARE ONLY SUMMONED AS THE MEDICAL EXAMINERS AFTER THE INCIDENTS. WHAT WE DO IS JUST WRITING POSTMORTEMS, SOMETIMES TRACING THE BAD GUYS. IT'S ALMOST THE SAME IN THE CRYPTO WORLD, EXCEPT THAT SOME PROJECT ARE NOT VERY URGENT GETTING THE MONEY BACK SINCE IT'S NOT THEIR MONEY, THEY WOULD JUST TELL THE REAL VICTIMS THAT "SORRY WE TRIED BUT NEVER GURANTEED THE EXTREME SECURITY".

以上引用內容來自 以太坊區塊鏈。

我們相信協議的安全始終是重要的一環，但是我們也相信在 crypto 的世界里，代碼之上仍有更廣袤和豐富的存在，或許大家有着不同的價值觀和知識儲備，但是依舊可以公平的參與到這個世界建設和治理里，我們在未來想建立的不僅僅是一個安全的協議，更是一個對所有人公平透明的協議。

All your tokens have returned to you （所有資產均已歸還）

所有的故事都會有一個尾聲，很欣慰，這次的故事是一個 Happy Ending。

• 8 月 19 日，白帽先生歸還了 Ethereum 上的 96,942,063 個 DAI。
• 8 月 22 日，除 wBTC 和 ETH 資產已盡數歸還。Poly Network 開始進行穩定幣的資產清點和復原，以協助 O3 Hub 的功能恢復。
• 8 月 23 日完成了白帽先生 返回 的 96,942,063 個 DAI 與 USDC 之間的轉換，同時將 BSC 上的 87,557,051 個 BUSD 轉換為 USDC(BEP-20)。對於在交易中產生的滑點損耗和手續費，Poly Network 團隊用自有資金進行補償。
• 8 月 23 日白帽先生 公布 了多簽錢包的私鑰。
• 8 月 25 日，此次攻擊事件受影響的 WBTC 和 ETH 資產 全部恢復。
• 同日，Tether 將此前凍結的 33,431,200 USDT 資產 全數釋放 至 Poly Network 接收資產的多簽錢包內。
• 8 月 26 日，Poly Network完成 USDT 資產的復原工作。至此，所有受此次攻擊事件影響的資產恢復完畢。

Thank you all for standing with us （感謝所有並肩奮鬥的人）

這個故事到了一個尾聲，但是對於我們來說卻是下一個征程的開始，在新的征程開始之前，我們想對所有使用 Poly Network 的項目和用戶，表示誠摯的感謝和深切的歉意。很抱歉由於系統漏洞給所有用戶帶來的困擾。感謝你們對項目的信任，雖然我們有可能會失去了一部分曾經相信我們的人，但我們會用之後的行動重新建立大家對項目的信心。同時，我們也將會用我們的方式去感謝所有使用過，支持過，一起經歷過這次事件的每個人，後續具體的細則我們將在系統完全恢復后在官方渠道公布，請大家保持關注。

最後我們想說，項目安全始終是 Poly Network 以及整個行業永恆的主題，希望 Poly Network 事件不僅能幫助我們建設一個更健壯的項目，還能給整個行業帶來足夠深刻和持久的警示。對於我們來說，這段經歷將成為我們永不會忘卻的記憶，它不僅僅代表了一個協議的安全，更有關對信任、權力、慾望、責任、信仰新的理解。