中国 DeFi 平台保利网络遭受 6 亿美元黑客攻击

该公司在 Twitter 上宣布，去中心化金融平台 Poly Network 是周二大规模黑客攻击的目标，该平台允许用户在不同的区块链之间转移加密货币。

据英国广播公司报道，据报道，黑客窃取了约 6 亿美元的加密货币——价值约 2.67 亿美元的以太币、2.52 亿美元的币安智能链代币和约 8500 万美元的 USD Coin。 这次黑客攻击比 2014 年对加密货币交易所 Mt. Gox，使其成为最大的加密货币抢劫案之一。

Poly Network 在 币安智能链以及以太坊和 Polygon区块链上运行，它们都在昨天遭到攻击。

在宣布这一消息后不久，Poly Network 试图通过 Twitter 上的帖子与攻击者建立联系，称：“你被黑客入侵的金额是 defi 历史上最大的一笔。”

Poly Network 敦促攻击者与其对话并“制定解决方案”，并威胁要承担法律后果。 它补充说：“你偷的钱是 [sic] 来自数以万计的加密货币社区成员，也就是人们。”

攻击者和追踪者

Poly Network 公布了被盗代币转移到的三个地址，并呼吁受影响的区块链和加密货币交易所将这些钱包中的代币列入黑名单。 当时，肇事者的钱包持有多种加密货币代币，包括美元硬币、点评比特币、点评以太币和柴犬。

加密货币交易所火币、币安和 OKEx 在 Twitter 上提供了帮助、支持和合作，但币安首席执行官赵长鹏说：“没有任何保证。 我们将尽我们所能。”

Tether Holdings Ltd. 是世界上最大的稳定币 Tether 的发行人，此后在以太坊上冻结了大约 3300 万美元的代币，这些代币在黑客攻击中被盗。

区块链生态系统安全公司慢雾（SlowMist）发布了一份报告，对此次攻击进行了分析。 根据该报告，保利网络在推特上表示，黑客“利用了合约调用之间的漏洞”。

区块链安全公司 BlockSec 发布了一份关于此次黑客攻击的初步报告，指出私钥可能泄漏或 Poly Network 签名过程中的错误是造成黑客攻击的潜在原因。

然而，根据慢雾报告，黑客是通过以下方式执行的。

Poly Network 拥有一个名为 EthCrossChainManager 的特权合约，它有权触发来自另一个区块链的消息。 有一个功能可以让各方执行跨链交易。 该函数验证交易请求并将它们添加到区块链中。

关键缺陷在于该函数可用于调用 EthCrossChainData 合约，该合约保留了一个公钥列表，用于验证来自其他链的传入数据。 EthCrossChainData 合约归 EthCrossChainManager 所有。 因此，恶意方可以欺骗 EthCrossChainManager 调用 EthCrossChainData 并通过唯一所有者检查。 使用正确的数据，他们然后可以触发更改公钥的功能。

学过的知识？

一位推特用户在解释此次黑客事件时表示，此次事件最大的教训是，在跨链中继合约中，需要确保特殊合约不能被每个用户调用。

虚拟交易公司 Blockrails 的首席执行官 Jason Bennick 在推特上表示，Poly Network 攻击不是 DeFi 黑客，只是安全措施松懈的一个例子。

红枣科技首席执行官、中国政府支持的区块链服务网络执行董事何一帆告诉 Forkast.News：“保利网络基本上在那里建立了一个后门。 这是一个教训。 如果你想 [be] 完全透明，这样做 [in a way that is] 尽可能公平。”

他补充说，Poly Network 黑客没有影响 BSN，因为它没有使用 Poly Network 公链。 相反，只有经过许可的 Poly Network 版本才与 BSN 集成，使其完全毫发无损。

据 Chainnews 报道，慢雾科技已经追踪到黑客的钱包、IP 地址和设备指纹，目前正在寻找更多身份线索。

慢雾还发现攻击者的原始资金在 Monero，后来转换为 币安币、Ether 和 MATIC。 慢雾表示，它从中国加密货币交易所 Hoo 和其他交易所获得了该信息。 一些 Twitter 用户还声称黑客的资金来自 Hoo。

慢雾说，这次袭击可能是“长期计划、有组织和准备的”。 一些加密货币专家还表示，黑客的钱包与币安、FTX 和 OKEx 账户相关联，表明他们可能已经在这些交易所完成了“了解你的客户”程序——这些信息可用于追查肇事者。

黑客在交易中包含了几条消息，其中一条写道：“如果我移动剩余的垃圾币，那将是 10 亿次黑客攻击 我刚刚保存了项目吗？ 对钱不太感兴趣，现在考虑退还一些代币，或者只是把它们留在这里。”

黑客回馈

由于慢雾仍在追踪，攻击者似乎改变了主意。 他们现在正计划返还资金，正如以太坊区块链上留下的消息所示。

黑客要求提供多签名钱包，Poly Network 已准备好。 该公司现在正在等待被盗资金的归还。 香港时间周三晚上 7 点 47 分，保利网络发推文称，迄今为止价值 470 万美元的加密货币已被归还。

尽管 Red Date 的 He 表示他个人并不认为去中心化系统是安全的，但在被黑客入侵的情况下，还是有好处的。

“每个人都可以追踪 [hackers]，每个人都可以一起找出是谁做的，我认为这种压力是公链的一个很好的部分，“他说。

他说，施压可能是肇事者可能同意归还被盗资金的原因，以及为什么可以追回一些钱。

他还进一步表示，此类攻击是合理的，他说：“只要你是去中心化的，只要你是开源的，人们总能找到漏洞。”

据路透社报道，来自加密货币情报公司 CipherTrace 的数据显示，DeFi 黑客攻击在 2021 年前七个月创下历史新高，损失达 4.74 亿美元。