资产6亿美元：DeFi史上最大规模盗窃案

PolyNetwork是用于与去中心化交易所（DEX）交易的跨链操作协议，可以用于借贷和提供基于稳定币的服务，集成了比特币、以太坊BSC、Ontology、Elrond、Ziliqa等代币。据悉，这是PolyNerwork成立以来受到的最严重的攻击，也是历史上最大的去中心化金融安全漏洞。

事件发生后，PolyNetwork通过推特发表了一系列推文表示“我们很遗憾地宣布#PolyNetwork遭到攻击”。据行业安全公司慢雾的研究人员表示，黑客盗窃后有总共价值超过6.1亿美元的资产被转移到了Polygon、以太坊和币安智能链（BSC）这三个不同的地址上。

PolyNetwork被盗后连发推文公告。黑客得手后迅速将资金转移。根据目前统计，此次黑客盗窃事件的被盗资产包括Binance Smart Chain上的价值2.53亿美元的代币、以太坊上价值2.66亿美元的代币及Polygon上价值8500万美元的USDC。

这次攻击发生在一个和O3 Labs建立的客户操作的区块链不可交易池中，有网友质疑，该事件是否因为管理员操作不当所造成？对此，PolyNetwork表示：“经过初步调查，我们找出了漏洞所在，黑客利用了智能合约调用之间的漏洞，并非像外界传闻一样由单个管理员造成的。”

同时，PolyNetwork也呼吁矿商、加密交易所等机构配合，将这些被盗取的资金列入黑名单，包括WBTC、WETH、RenBTC、DAI、UNI、SHIB、FEI、USDC、USDT等。

随后，币安交易所CEO赵长鹏、Tether CTO Paolo Ardoino、OKEX CEO Jay Hao纷纷转发推特表示知晓此事并积极配合采取措施，但正如赵长鹏所言：“我们正在与所有安全合作伙伴协调，积极提供帮助，但不能完全保证结果。”

果不其然，在PolyNetwork官方宣布黑客入侵的一小时后，黑客就试图用Curve和其他DeFi协议“清洗”这部分赃款，但由于其资产已经被交易所拉进黑名单，导致其中一部分交易失败了。

但事情的发展却有点不受控制。在黑客继续尝试了大约半小时后，一位匿名用户通过交易消息告知黑客不要使用USDT，因为已经被拉入黑名单了，并建议黑客尝试不要使用Tether的情况下存储盗取的代币，黑客也相信了该用户，并成功地将所有资金存入了Curve。随后，黑客向该用户发送了13.37枚以太币价值42000美元。这个操作一出现，更是让许多网友纷纷效仿，试图通过帮助黑客来获得奖励。

帮助黑客成功存储赃款的匿名用户收到了13.37枚以太币。官方给黑客的一封信。这样一来，PolyNetwork官方更是坐不住了。一边紧急寻求安全合作伙伴和交易所的帮助，一边还要忙着想办法与黑客联系。

被盗约10小时后，PolyNetwork再次通过推特发布了给黑客的一封信，表示将采取法律行动，敦促黑客归还被盗的资产或与其建立沟通。该信具体内容如下：

“亲爱的黑客，我们是PolyNetwork团队。我们希望能与你建立沟通，同时，也敦促您归还盗取的资产。您盗窃的是该领域有史以来最大的金额，任何国家的执法部门都会认定这是重大的经济犯罪。你们再继续做交易是很不明智的。你偷的钱来自成千上万的加密社区成员。你应该跟我们谈谈谈，想个解决的办法。PolyNetwork团队，contact@poly.network”

在这封信发出后，PolyNetwork检索到了黑客的部分DeFi通证，不久之后，安全公司慢雾也发布了一份报告称他们已经识别了攻击者的邮箱、IP和设备指纹。

通过在合作伙伴和交易平台的帮助下，PolyNetwork利用链上和链下数据来跟踪黑客。随后，黑客也通过交易消息表示：“你们的漏洞还不止于此，如果我把其他的漏洞导致的可流出的资金全部转移，将达到10亿美元，难道你以为我是在拯救这个项目吗？我对钱不太感兴趣，现在考虑归还一些资产，或者把它们留在现在存储的地方。”

同时，PolyNetwork也在推特上发布了一个地址，希望黑客主动将资产归还。

也有研究人员表示，这次盗窃“很可能是一次蓄谋已久、有组织、有准备的袭击”。因为根据行业数据，从今年年初到7月，与DeFi有关的黑客攻击总额已达3.61亿美元，比2020年全年增长了将近3倍。与DeFi相关的交易诈骗案件也在增加，截止至今年7月，光是DeFi相关的欺诈案件就达加密欺诈总量54%，而去年全年为3%。DeFi似乎成为了攻击者的主要目标，交易安全或许是目前DeFi最需要重视的问题。

本文来自微信公众号“CSDN”（ID:CSDNnews），作者：Carol，36氪经授权发布。

热点：区块链