Poly Network黑客案：区块链是安全的而智能合约不是

周二， Poly Network 官方推特称该项目遭到黑客攻击，直接损失了价值超过 6 亿美元的加密资产。这次攻击是迄今为止最大的 DeFi 黑客攻击，损失直接超过了 2021 年所有 DeFi 黑客攻击的总和。此前的门头沟和Coinchek 两个轰动币圈的大案损失分别为价值 4 亿和 5.32 亿美元的加密资产。

跨链协议 Poly Network 在收到攻击后呼吁加密社区，甚至是 "白帽黑客"，通过区块链来追踪黑客转移资金的行动。在本次黑客攻击事件中，攻击者利用了一个区块链跨链协议 Poly Network 的技术漏洞。本次攻击共涉及了三个不同的区块链，它们分别是：以太坊网络、币安智能链（BSC）和Polygon。最终黑客获取了检索加密货币钱包所有者的私钥所需的信息，并最终盗取了链上资产。

Coinbase新增对Polygon和Solana链上交易的支持:6月24日消息，加密交易所Coinbase发博客文章中表示，下个月，符合条件的Coinbase客户将能够在Polygon上发送和接收ETH、MATIC和USDC，在Solana上发送和接收USDC。Polygon集成标志着Coinbase首次启用在L2上发送和接收这些资产的能力。随着时间的推移，Coinbase将增加支持更多代币和更多网络。

公告称，通过OpenSea在Polygon上购买NFT可能需要大约20分钟、50美元的Gas费和10个冗长的步骤。现在，Coinbase客户可以将他们的法定货币转换为ETH、MATIC和USDC，并以极少的成本和时间为他们的Polygon钱包提供资金，从而可以轻松探索更多web3。[2022/6/24 1:28:15]

Poly Network 声称 "数以万计的社区成员 "受到了该黑客攻击事件的影响。

隐私保护支付协议Umbra上线Polygon:官方消息，以太坊区块链上的隐私保护支付协议Umbra宣布上线Polygon。[2021/12/10 7:31:17]

Poly Network 团队通过推特表示，经过初步调查，我们找到了造成该漏洞的原因。黑客利用了合同调用之间的漏洞，漏洞并非像传言的那样是由单一 Keeper 造成的。

Nokenchain 首席执行官 Guillaume Thuill 在 youtube 的直播中就谈到，“很明显，问题出在 Poly Network 只使用一个钱包来处理所有的业务。甚至其协议内部还存在着某种形式的账户管理不善。该公司将来自三个不同区块链接近 6 亿美金的代币放在一个账户中，这本身就是一个错误。这明显是违反了许多地区的金融安全监管法规的。

Poly Network攻击者称其USDT账户未被解锁，也未准备好本周提供密钥:8月19日消息，跨链互操作协议PolyNetwork攻击者针对此前PolyNetwork邀请其为首席安全顾问并希望其能尽快提供私钥一事回应称，还没准备好在本周发布密钥，PolyNetwork的文章非常有说服力，但行为不够有信服力，甚至没想过要解锁我的USDT账户。

对此，PolyNetwork团队称，关于USDT账解锁问题，已经在和Tether沟通。希望白帽攻击者能够在本周将DAI退还，之后将转换为USDC。我们决定使用中继链验证者的多重签名来授权PolyNetwork的去中心化升级，也可以将白帽的地址列为验证者。

金色财经此前报道，Polynetwork多签钱包发生大额转账，攻击者归还价值约9700万DAI。[2021/8/19 22:23:33]

Thuill 还补充道，“我们甚至还能猜测到黑客是如何设法获得账户的内部密钥的。他可能做了一个'利用'（利用系统编辑说明中的一个缺陷）。这可能是他们的智能合约（即在区块链上自动放置一个订单、一个行动或信息的小型程序）的审核问题。根据他们的网站，Poly Network 总共 "跨越" 了11个区块链。当然这是非常厉害的技术，但他们的风控和安全维护水平没赶上他们的跨链技术。私钥是件大事。一般来说，在每个阶段，都应该有验证或确认的交互系统。"

动态 | 加密货币交易所Poloniex将通过支付交易费用来弥补投资者损失:据Coindesk消息，Circle旗下的加密货币交易所Poloniex将通过支付6月6日之前的交易费用来弥补投资者的损失。Poloinex的Clam保证金交易市场在5月26日遇到flash崩盘。在短短45分钟内，价格暴跌了77%。Poloniex将丢失的代币交给交易所比特币保证金贷款池。共有0.4％的Poloniex用户损失了16.2％的资金。当时，Poloniex将崩盘归咎于卖单的速度以及Clam保证金交易中普遍缺乏流动性。6月14日，Poloniex开始重新审核受影响的账户，其中180个比特币分布在10%受影响的账户上。根据一项新政策，丢失的资金将通过拒收交易费用来返还，直至全部偿还。[2019/8/13]

为了挽救其声誉，Poly Network 甚至在推特上发布了一封信件与黑客隔空对话："亲爱的黑客（……）我们想与你取得联系，并敦促你归还你所入侵的资产。任何国家的当局都会把你的不当行为视为重大经济犯罪，你将被起诉。(……) 你应该和我们谈谈，并尝试找到一个解决方案。"

动态 | CoinFLEX将于7月17日推出Polkadot代币初始期货发行 预售价为75美元:据coindesk消息，加密货币期货交易所CoinFLEX将于本周三推出其首个初始期货发行（IFO）。Polkadot的DOT将成为CoinFLEX的IFO对象。用户锁仓1000 FLEX Coin即可获得IFO预售资格，获得预售资格的用户可以以75美元的价格购买。[2019/7/16]

这是一个经典的策略。通常情况下，项目方出事后都会第一时间呼吁活跃的社区用户来识别地址，并追踪资金，以阻止资金的流通。由于一切都在区块链上被追踪，而社区用户往往与项目方有直接的利益相关性，所以会自愿自发的进行这些追踪行动，项目方相当于免费雇佣了一大批“私人侦探”。这就像区块链上的坏地址的黑名单，虽然简单，但该方法实际上是非常有效的。唯一的问题是，黑客经常会让作案钱包进入“冬眠”状态，一直到风波浪潮过去。

在Twitter上，Poly Network 就直接公布了黑客使用的地址，并呼吁加密货币钱包的持有人将其列入 "黑名单"。

该方法也在美国运营商 Colonial Pipeline 被黑的案件中得到了尝试和检验，该公司被要求支付赎金来恢复它的计算机系统。但在支付给黑客的440万美元赎金中，美国当局表示，他们仅仅通过追踪这些以加密货币支付的资金在区块链上的流动，就收回了一半以上的赎金（约230万美元）。

虽然 Poly Network 项目和许多新的初创公司一样，正在为欣欣向荣的 Defi 生态添砖加瓦。但并不太代表着安全问题可以被忽略掉。区块链是安全的，但显然基于区块链的智能合约却并非如此。

所以自官方公布被盗之后，无论是项目方还是安全机构、币圈各方力量以及每个币圈人都在时刻关注Poly Network事件的最新进展，并尽全力协助冻结追回资金。

被攻击的当天，8 月 10 号 中午12时，黑客竟公开表示将要归还所有资产，其通过链上交易备注表示准备归还盗取的资产，但因为无法联系Poly Network项目方，希望Poly Network提供一个多签钱包。黑客还称“获取这么多财富已经是一个传奇，而拯救世界更是永恒的传奇，我做出了决定，不再使用DAO。”

看起来似乎是黑客“回心转意”，但实际上仅仅是一次“风险大于作恶收益”的权衡。在攻击发生之后的三小时内，慢雾安全团队就表示，通过链上及链下追踪已关联发现攻击者的邮箱、IP及设备指纹等信息，正在追踪Poly Network攻击者相关的可能身份线索。并确认这很可能是一次蓄谋已久的、有组织有准备的攻击行为。

随后链上陆续记录了黑客的还款动作。

据PeckShield追踪的数据显示，攻击Poly Network的黑客在 BSC上于区块 9939700 归还近 1.2亿枚 BUSD。比推此前报道，周二，去中心化金融 (DeFi) 项目 Poly Network 被黑客盗取超过 6 亿美元的数字资产。这次攻击是迄今为止最大的 DeFi 黑客攻击，超过了 2021 年所有 DeFi 黑客攻击的总和。美东时间周三早上，该公司发布推文称，已收到黑客返还的总价值为 4,772,297.675 美元的资产，包括ETH地址：2,654,946.051 美元；BSC 地址：1,107,870.815 美元；Polygon 地址：1,009,480.809美元。

尽管资金已经得到归还，但一次黑客攻击便可转移 6 亿美元资产的负面新闻，可能又再次对 Defi 的发展打上了不可逆转的阴影。

《比推》此前报道，根据CipherTrace数据，到4月底，加密货币盗窃、黑客攻击和欺诈的总金额已经达到 4.32 亿美元。该公司在报告中写道，“与过去几年相比，这个数字似乎很小，但如果我们更仔细地去了解这个数据，一个糟糕的趋势正在形成：去中心化金融（Defi）领域的黑客现在占到黑客和盗窃总量的 60 %以上。”

据 Chainalysis 在 2 月份发布的另一份报告指出，2020年用于非法目的的加密货币交易达到100亿美元，仅占去年加密货币活动总量的1%，是前年同期的 50 %。

作者：Chen Zou

标签：POLOLYPOLYNETPolkaBridgePolyQuitypolyx币行情PINETWORKDEFI

火币APP热门资讯