DeFi 史上金额最大安全事故：复盘 Poly Network 6 亿美元盗币案过程

黑客尝试将盗取的部分稳定币存入Curve和Ellipsis进行清洗；项目方正与黑客沟通协商，希望黑客归还被盗资产。

原文标题：《一文读懂PolyNetwork6亿盗币案DeFi历史金额最大全程复盘早有预兆》吴说作者：ColinWu、平兄本期编辑：ColinWu

起始

PolyNetwork自称是全球领先的「轻量级」异构链跨链互操作协议，其独特设计的异构链以及跨链桥技术将通过在源链部署智能合约控制跨链，从协议层一举打通各个异构链之间甚至各个主流公链之间的通信和交易。2020年8月主网上线。PolyNetwork是由Neo、Ontology、Switcheo基金会共同作为创始成员，分布科技作为技术提供方共同发起的跨链组织。

慢雾安全团队梳理发现，黑客初始的资金来源是门罗币(XMR)，然后在交易所里换成了BNB/ETH/MATIC等币种并分别提币到3个地址，不久后在3条链上发动攻击。结合资金流向及多项指纹信息可以发现，这很可能是一次蓄谋已久的、有组织有准备的攻击行为。

DeFi借贷协议Alchemix宣布将推出V2版本:1 月 13 日消息，DeFi 借贷协议 Alchemix 官方在社交媒体上发文宣布即将推出 V2 版本。[2022/1/13 8:47:15]

攻击启动

1、8月10日晚上8点38分，跨链互操作协议PolyNetwork称遭到攻击，共计超6.1亿美元转出至3个地址。其中，转出至0x0D6e2开头币安智能链地址的资金有超2.5亿美元，转至0xC8a65开头的以太坊地址有超2.7亿美元，转至Polygon地址的有超8500万美元。

其中：

BSC资产：6613枚BNB、87,603,671枚USDC、26,629枚ETH、1,023枚BTCB、32,107,854枚BUSD

Polygon资产：85,089,719枚USDC

MXC抹茶即将上线第2期BTC、USDT鲨鱼鳍DeFi产品:据官方公告，MXC抹茶即将上线“USDT鲨鱼鳍”和“BTC鲨鱼鳍”第2期产品。12月18日11:00-19日16:00，购买BTC或USDT鲨鱼鳍产品，可获BTC或USDT收益。详情见官网相关公告。[2020/12/17 15:33:29]

以太坊资产：96,389,444枚USDC、1,032枚WBTC、673,227枚DAI、43,023枚UNI、14枚renBTC、33,431,197枚USDT、26,109枚WETH、616,082枚FEI

2、9点44分，Tether首席技术官PaoloArdoino发推称，Tether已经冻结攻击PolyNetwork的黑客地址3300万USDT。

外界不解的是，币安与Circle没有冻结BUSD与USDC，这也直接导致后续1.2亿美金的稳定币被转出。CZ回应没有人能控制BSC，Circle对此没有回应。

链上ChainUP VP Kris Lee：链上ChainUP正深度参与IPFS、DEFI、DOT等生态建设:9月3日，华中区块链周在武汉隆重举办。链上ChainUP VP Kris Lee在《链上三周年：交易系统的设计与探索》主题演讲中提到，链上ChainUP通过三年的技术深耕，采用云原生与分布式撮合等综合底层技术来提升交易系统的资源利用率、故障自愈、服务治理等能力，做到了全系统分布式无单点、弹性伸缩、适应突发流量、秒级容灾恢复。Kris还分享了链上ChainUP的大中台技术战略，将交易所基础服务和平台数据开放，形成以交易所为核心的产品生态，与行业更多优质企业合作，为客户提供更多交易所扩展功能。同时，在IPFS、DEFI、DOT等生态建设上，链上ChainUP也正在从技术层面深度参与，以推动区块链技术在金融领域更广泛地应用。[2020/9/3]

币安CEO赵长鹏表示，我们都知道的PolyNetwork盗币案今天发生。虽然没有人控制BSC，但我们正在与所有安全合作伙伴进行协调，以主动提供帮助。无法给出任何，但我们将尽我们所能。

太壹科技CEO闫其政：DeFi是一串由代码去定义的金融世界:8月12日下午，在#未来十年DeFi能否吞噬传统金融#主题的炉火对话上，太壹科技CEO&优盾钱包创始人闫其政表示“DeFi是一串由代码去定义的金融世界，在代码的世界里，规则制定好后不会存在欺诈的行为，由此带来了DeFi两个优点：自由和开放性。”

太壹科技，创始团队成立于2013年，旗下拥有交易所系统、企业钱包（优盾钱包）、量化交易系统等产品线分布，综合实力已稳居行业前列。尤其明星产品优盾钱包，是一款领先的企业级数字资产管理系统，以安全完善的技术重新定义数字资产钱包，为比特币、以太坊等100多种币种提供API接入；顶级私钥BOSS自主掌握，子私钥动态计算不触网，硬件加持，纯冷操作；多级财务审核策略，资产动向、操作日志一目了然；海量地址统一管理，余额一键自动归集。[2020/8/12]

3、9点56分，涉事以太坊地址开头0xC8a65开始尝试将资金存入Curve.fi，开始的几笔交易尝试由于USDT被冻结导致交易失败，随后便只存入DAI和USDC，共存入近一亿的稳定币。

火币大学于佳宁：ETH2.0和DeFi的风口来袭 数字资产市场蕴含巨大财富机遇:近期，比特币价格强势拉升，一度突破12000美元，涨至一年来的最高点。比特币飙涨的同时，ETH2.0(以太坊2.0)和DeFi（分布式金融）迅速崛起，成为区块链行业最前沿的新风口。作为以“全球结算层”为新定位的以太坊来说，数字金融将成为其主要的生态体系，而Defi是其中最重要的业务形态之一。

火币大学校长、权威区块链专家于佳宁表示，全球区块链技术创新和商业模式创新明显提速，以ETH2.0为代表的新一代公链将带动基础设施升级，DeFi等新的商业生态在此带动下快速发展，成为行业新风口，也将带来财富新机遇。更多详情见原文链接。[2020/8/4]

4、10点03分，涉事币安智能链地址开头0x0d6e2又将近1.2亿美元的稳定币转入Curve分叉项目EllipsisFinance。

5、10点27分，涉事以太坊地址开头0xC8a65将此前存入稳定币获得的3CrvLP份额再次兑换为约96,942,061枚DAI。

双方沟通

11日凌晨，PolyNetwork发出对黑客的信，表示我们希望与你建立联系，并希望你归还被盗的资产。你盗取的金额在DeFi历史上是最大的一次，任何国家的法律都会把它视为一次重要的经济犯罪，你会遭到追捕。再进行任何的交易对你来说是不明智的。你盗取的资金是成千上万社区成员的财产。你应该与我们对话寻求一个解决方案。

随后黑客回应：如果我转移了剩余的币，那将是十亿美金级别，我难道不是拯救了这个项目？我对金钱不太感兴趣，现在考虑归还一些Token，或者将它们留在此处；如果我制作一个新的代币并让DAO决定代币的去向会怎样。

截止到8月11日上午9点40分，仍没有最新的进展。

原因

安全公司BlockSec发布了最新的分析报告，针对PolyNetwork被攻击事件，BlockSec安全团队初步分析认为，导致攻击发生的原因可能为用于跨链签名的私钥被泄漏或者签名程序有逻辑漏洞导致签署出攻击交易。BlockSec认为，攻击者可能拥有对消息进行签名的合法密钥，这表明签名密钥可能已泄露，或者PolyNetwork的签名过程中存在一个bug，被滥用于对精心制作的消息进行签名。慢雾安全团队分析称是由于跨链合约keeper被修改为黑客制定地址，从而使黑客可以随意构造交易从合约中取出任意数量的资金。

其他

O3作为锁仓量最大的跨链协议之一，早先就已经发生多起有组织的攻击事件，但似乎没有引起PolyNetwork与O3的警惕。O3与PolyNetwork都属于NEO生态，也属于中文地区最大的加密公链之一，近年来往DeFi领域发力。

7月14日巴比特文章指出，在此之前，跨链攻击事件寥寥无几。但在短短半个月内，已出现5起安全事件，损失超过1700万美元。跨链攻击明显增多，这是否意味着黑客正在瞄准跨链协议生态？

TheBlock研究分析师IgorIgamberdiev曾表示，「DeFi协议之间的互操作性变得越来越复杂，因此开辟了新的攻击媒介，并且将来会变得更加频繁。」此外，攻击者成功得手后也会通过跨链桥将资产快速转移，再结合混币服务将资产洗白。

10日晚间谣传甚广的官方私留超级控制权导致监守自盗，可能性并不大。NEO集团实力极为雄厚，并无需要进行如此操作；而如果是内鬼或合作伙伴操作，又会过于容易暴露。

公开资料显示，PolyNetwork的审计由NCCGroup完成，以太坊智能合约审计由Certik完成。

行业人士指出，目前美国金融监管层对DeFi非常关注，中国相关部门也开始予以关注。日前美国SEC指控了首起DeFi案件。此次历史金融最大的DeFi盗币案如果无法善终，一方面可能影响行业对DeFi的信心，另一面可能诱发全球监管对DeFi的打压。

免责声明：作为区块链信息平台，本站所发布文章仅代表作者个人观点，与链闻ChainNews立场无关。文章内的信息、意见等均仅供参考，并非作为或被视为实际投资建议。

以太坊

以太坊

开放的分布式区块链应用平台，通过其专属加密货币Ether以太币提供去中心化的虚拟机，处理点对点合约。允许任何人建立和使用通过区块链技术运行的去中心化应用，没有任何欺诈、审查、第三方监管。以太坊的概念首次在2013至2014年由维塔利克·布特林VitalikButerin受比特币启发后提出，旨在共同构建一个更全球化、更自由、更可靠的互联网。以太坊EthereumETHERC20ERC-20ERC20ERC721ERC-721以太坊2.0以太坊2.0查看更多Curve

标签：DEFDEFIEFIOLYDefigramDeFinomicsVerify DeFiPolyQuity

ADA热门资讯