尽管似乎加密货币黑客正在减少,但就在最近,市场见证了去中心化金融(DeFi)年轻历史上有史以来最大的攻击之一,其中一名未知黑客能够利用跨链漏洞协议 Poly Network 的数字框架,从而从三个独立的区块链中带走了 6.1 亿美元。
Poly Network 是一个由 Ontology、Neo 和 Switcheo 主导的合作项目。 它寻求建立一个“异构互操作性协议联盟”,将区块链整合到更大的跨链生态系统中。 由于其基础设施,该协议允许用户在不同的区块链之间无缝交易所代币。
Poly Network 的核心开发团队进一步详细说明了开发过程,透露该攻击导致来自 Ethereum 的大约 2.73 亿美元、来自 Polygon 网络的 8500 万美元美元硬币 (USDC) 以及来自 币安智能链 的 2.53 亿美元被泄露。 此外,作为漏洞利用的一部分,大量 renBTC、点评比特币 (wBTC) 和点评以太币 (wETH) 也丢失了。
关于黑客是如何发生的,DeFi 聚合器 1inch Network 的联合创始人 Anton Bukov 告诉 Cointelegraph,Poly Network 的子系统之一——旨在能够在不同区块链之间转发用户的智能合约交互——结果证明是错误,补充:
“黑客在一条链上桥接虚假交易交互,使系统在另一条链上签约,将资产金库的所有权转移给黑客的公钥。 Poly Network 的开发人员和审计人员没有注意到该漏洞,允许通过具有许多权限的智能合约进行多个任意用户调用。”
DAI上白帽子
CipherTrace 的首席财务分析师 John Jefferies 提供了他对此事的看法,他告诉 Cointelegraph,与过去的任何 DeFi 黑客相比,这起事件特别有趣,过去的任何 DeFi 黑客攻击通常使用一种形式的闪电贷款和套利来利用智能合约和窃取资金,并补充说:
“黑客基本上发现了一个漏洞,允许他绕过私钥并让合约将资金发送给自己。 在黑客为了混淆他们的踪迹所做的所有交易所中,黑客似乎曾经重复使用了一个钱包,该钱包之前已经与一些知名交易所进行过交易,这些交易所可以识别他的 KYC 信息。”
此外,Jefferies 并不完全相信黑客的意图,即使所有被盗资金现在都回到了它们所属的地方。 “如果他们一直打算退还资金,那么白帽子不太可能采取措施试图混淆资金轨迹,”他认为。
在一次奇怪而有趣的事件中,在违规后不久,Poly Network 黑客使用以太坊交易中的嵌入式消息进行了“Ask Me Anything”式的自我采访。 当被问及为什么选择 Poly Network 作为目标时,黑客回答“跨链黑客攻击很热门”,并补充说他们花了大量时间试图识别网络上的漏洞以进行利用。
不仅如此,黑客还声称,该计划永远不会保留这 6.1 亿美元,而是在 Poly Network 的开发人员秘密修复漏洞之前将漏洞暴露给大众。 “我想给他们 [Poly Network] 关于如何保护他们的网络的提示,以便他们有资格管理 10 亿 [dollar] 未来的项目。” 他继续补充说:
“当发现这个错误时,我的心情很复杂。 问问自己,如果你面对这样的财富,你会怎么做。 礼貌地询问项目团队,以便他们解决问题? 任何人都可能成为 10 亿的叛徒。 我不能相信任何人 我能想出的唯一解决方案是将其保存在受信任的帐户中。”
资金回来了
Poly Network 周四发表声明,宣布所有 6.1 亿美元的资金已与黑客一起转移到其权限范围内的多重签名钱包中。 唯一剩余的代币包括价值 3300 万美元的 Tether (USDT),在袭击消息传出后立即被冻结。
Poly Network 黑客首先将大部分被盗资金返还给跨链 DeFi 协议。 事实上,在事件发生一天多一点后,CipherTrace 确认至少 2.65 亿美元已以 100 万美元的 USDC 形式退还给 Poly Network; 2.562 亿美元,主要通过比特币 BEP-2 (BTCB)、币安挂钩以太币和币安美元 (BUSD); 263.7 万美元的币安币 (BNB); 以及 Shiba Inu (SHIB)、renBTC 和 Fei 的 340 万美元。
从一开始,攻击者就声称愿意归还全部被盗资金——这一承诺是在上周四兑现的——声称其目的是向 Poly 上一堂关于其安全漏洞的昂贵价格。
然而,区块链分析公司 Elliptic 的首席科学家 Tom Robinson 认为,改变主意可能是由于黑客发现洗钱/兑现被盗资产极其困难,因为它是透明的。区块链。
基于以太坊的数据隐私协议 HOPR 的创始人 Sebastian Bürgel 告诉 Cointelegraph,虽然盗窃从来都不是一件好事,但他认为 DeFi 社区能够走到一起令人印象深刻——从 Tether 冻结价值 3300 万美元的 USDT 到 OKEx 和币安在监控被抽走的资金方面伸出援助之手——以防止黑客提取或交易所任何涉及的资产,并补充说:
“希望这将鼓励人们更加关注安全和审计。 DeFi 的热情具有感染力,但重要的是要记住,这涉及到巨大的价值。 快速行动的愿望不能胜过安全。”
“不,谢谢你,”说,“先生。 白帽”
在确定黑客完全清白的动机后,保利网络的一位发言人表示,该公司愿意提供个人——该公司称其为“先生”。 White Hat,”——通过一条消息获得 500,000 美元的赏金,“当除冻结的 USDT 之外的剩余资金返还时,我们将向你发送 500k 的赏金。”
令人惊讶的是,黑客礼貌地拒绝了,称他从未回应过这个提议。 “我会把他们所有的钱都退还,”他说,然后签字。
相关:DeFi 协议如何被黑客入侵?
随着所有资金都到位——除了前面提到的冻结的 USDT——似乎去中心化金融历史上最大的黑客攻击终于结束了。 尽管黑客的身份仍然是个谜,但中国网络安全公司慢雾最近发布了一个更新,声称其安全团队已经能够识别攻击者的电子邮件地址、IP 地址和设备指纹。
希望这一集能够严肃地提醒人们,在奠定任何项目的基础时,无论其技术命题如何,安全性始终是最重要的。 因此,看看在 DeFi 中运营的初创公司和其他公司如何继续发展和升级他们现有的安全设置将会很有趣,因为下一次,黑客可能不愿意退还钱。
内容搜集自网络,整理者:BTCover,如若侵权请联系站长,会尽快删除。
