6亿资金的被盗事件,黑客已成传奇,那用户呢?

小玲儿 2021-08-11 19:06

文     小玲儿

出品   耳朵财经

Poly Network 项目被黑客攻击盗走价值 6 亿美元的代币,成为了 Defi 乃至行业史上最大的安全事故。

而攻击 Poly Network 的黑客最新留言表示将归还盗走的资产。目前已开始归还资产,有10100 USDC 已到官方账户。

“获取这么多财富已经是一个传奇,而拯救世界更是永恒的传奇,我做出了决定,不再使用 DAO。”

此前,他表示自己没有转走协议里的全部资产已是手下留情,还说要发起一个 DAO 组织决定这些资产的去向。

这究竟发生了什么事?

/ 1 / Poly Network 被攻击,多方联动协作以追回资产

2021 年 8 月 10 日晚,Poly Network 遭遇黑客攻击,致使基于该协议开发的 O3 Swap 在以太坊、币安智能链、Polygon 网络上的资产分别被盗走代币价值2.5 亿、2.7 亿、8500 万美元,涉及总资产超 6 亿美元,创造了 Defi 乃至行业安全事故的新纪录。

事后,Poly Network 公布黑客地址,呼吁矿工和交易所阻止其代币交易。O3 Swap 团队则暂停了跨链功能,表示正与团队联系,请等待功能恢复以及非跨链功能正常。

随后黑客将这些资产转移至自己的 3 个地址。他还通过链上交易留言询问如何混币。后来广大围观群众也如此向黑客纷纷留言求打赏。

当然,事后团队立刻联系相关人士协作,以尽可能追回资产。

Poly Network项目寻求帮助

Tether 官方在第一时间便将黑客地址中的 3300 万 USDT 直接冻结。

慢雾科技通过链上及链下追踪已关联发现攻击者的邮箱、IP 及设备指纹等信息追踪黑客身份。而后通过其合作伙伴以及多家交易所的帮助,推演出攻击情况。

币安赵长鹏在推特上表示,正在与安全合作伙伴协作,将竭尽所能提供帮助。

Poly Network 官方团队发声明表示希望与黑客对话,并敦促其归还被盗资产。

“被盗金额是 Defi 历史上最大的一笔,任何国家的执法部门都会将此视为重大经济犯罪,并警告黑客其会被追查,任何进一步的交易都是非常不明智的。”官方团队再次表示,双方应该进行沟通以找出解决办法。

再后来,出现了开头的那一幕,黑客表示归还资产,需要一个钱包地址。

此前也有黑客攻击项目盗走资金后归还,那是一年前的 Lendf.Me 事件。黑客向官方平台归还部分代币时留言 “Better future”。似是昭告项目方要小心,不然下次不会那么幸运。

而如今,类似的事件再次发生了。虽然黑客说归还资产,结局也算圆满,但如果黑客不归还呢,这坑谁填?

/ 2 / 事发前,项目方未能有足够的警觉

6月21日,达鸿飞在微博上祝贺 Poly Network 跨链资产总量突破 60 亿美元,资产留存总额接近 7 亿美元。

Poly Network 是一个异构链跨链互操作协议,由Ontology 、Neo、Switcheo 共同推出,主网于 2020 年 8 月上线,目前已实现包含比特币、以太坊、Neo、Ontology、Heco、BSC、OKExChain 等在内的 10 条异构区块链互通,有超过 13 万个地址使用该跨链服务。

而且微博用户昆麟玉早在 5 月 15 日就指出 O3 Swap 最 nb 的就是合约自带一键 rug 功能,项目方能一键把你 stake 的资产转到它的指定账户里,而且还没有时间锁!也就是说你质押的资产项目方能随时转走,不需要经过你同意!

在项目方不加时间锁不解释清楚之前,强烈不建议冲。我居然还看到微博上有人力推这个项目……

事后,很多人在该微博下留言,“今天就出事了,神预言啊”、“过来挖坟,已关注大佬”、“牛逼”……

当时的示警博文

去年在 Defi 热时,耳朵财经邀请了安全公司零时科技、白帽子黑客邓永凯分享智能合约安全问题时,他就提到,“高收益和缺乏监管,而黑客向来是以利益驱动,他们的嗅觉非常敏感,哪里有利益他们就会去哪。”

当项目发展越来越好,涉及资金也越来越大时, Poly Network 却并没有足够的警惕。

据了解,事前 O3 Swap 在 Polygon 等链上的稳定币池年化可超过 20%,这足够吸引众多用户前来挖矿。

而马克思说过:“如果有10%的利润,资本就会保证到处被使用;有20%的利润,资本就能活跃起来;有50%的利润,资本就会铤而走险;为了100%的利润,资本就敢践踏一切人间法律;有300%以上的利润,资本就敢犯任何罪行,甚至去冒绞首的危险。”

Poly Network 创始成员 John Wang 曾在某次活动中表示,DeFi 合约因为本身复杂性和组合型,所以经常会看到比较多的漏洞合约,这是区块链应用发展必须要经历的一个阶段。

此次事件确实应证了他的话,这是个漏洞。由于跨链合约 keeper 被修改为黑客制定地址,从而使黑客可以随意构造交易从合约中取出任意数量的资金。

后来的时间线和黑客留下的痕迹表明——事前做足了准备。他先去中心化交易所 Binance 和 HOO 换取了 BNB 和 ETH ,而后发起攻击,在短时间内转移资产,并洗币。

不知道创始人看到自己的项目正经历着“区块链应用发展必须要经历的一个阶段”,是什么心情?

/ 3 / 让自己变优秀,是解决一切问题的关键

Poly Network 创造了新的历史,贡献了话题,“有投资者失去了一切”,而群众吃了个瓜饱人满足。

历史重重复复,黑客来来去去,最终教会我们的仍是德国哲学家黑格尔所说的:人类唯一能从历史中吸取的教训就是,人类从来都不会从历史中吸取教训。

尽管吸取教训不易,但要明白这个市场其实对用户的要求最高。

不仅要对区块链有一定的了解,还要对项目有一定的认识。​同时,要防止黑客攻击。这不仅是集百般武艺于一身,而且还要留心意外的发生。

“我们既要防止项目方跑路,还得防止黑客盗取我们的资产,以及防止钓鱼网站的误导,要不然,我们的资产可能会在不经意的瞬间被别人盗走。”邓永凯曾在耳朵财经的活动上分享如何保护好自己的资产。

但其实这里不仅要注意黑客盗取自己的资产,也要在意投资的项目是否容易被黑客攻击。不然,失去的依然是自己的资产。

世上没有绝对的安全,这就意味着没有百分之百安全的项目和公司。如果有,那一定是有人在替你负重前行。

江山代有黑客出,各领风骚数时月。投资有风险,入市需谨慎。而让自己变“优秀”,是解决一切问题的关键。


责任编辑:小明