中國 DeFi 平台保利網路遭受 6 億美元黑客攻擊

該公司在 Twitter 上宣布，去中心化金融平台 Poly Network 是周二大規模黑客攻擊的目標，該平台允許用戶在不同的區塊鏈之間轉移加密貨幣。

據英國廣播公司報道，據報道，黑客竊取了約 6 億美元的加密貨幣——價值約 2.67 億美元的以太幣、2.52 億美元的幣安智能鏈代幣和約 8500 萬美元的 USD Coin。 這次黑客攻擊比 2014 年對加密貨幣交易所 Mt. Gox，使其成為最大的加密貨幣搶劫案之一。

Poly Network 在 幣安智能鏈以及以太坊和 Polygon區塊鏈上運行，它們都在昨天遭到攻擊。

在宣布這一消息後不久，Poly Network 試圖通過 Twitter 上的帖子與攻擊者建立聯繫，稱：「你被黑客入侵的金額是 defi 歷史上最大的一筆。」

Poly Network 敦促攻擊者與其對話並「制定解決方案」，並威脅要承擔法律後果。 它補充說：「你偷的錢是 [sic] 來自數以萬計的加密貨幣社區成員，也就是人們。」

攻擊者和追蹤者

Poly Network 公布了被盜代幣轉移到的三個地址，並呼籲受影響的區塊鏈和加密貨幣交易所將這些錢包中的代幣列入黑名單。 當時，肇事者的錢包持有多種加密貨幣代幣，包括美元硬幣、點評比特幣、點評以太幣和柴犬。

加密貨幣交易所火幣、幣安和 OKEx 在 Twitter 上提供了幫助、支持和合作，但幣安首席執行官趙長鵬說：「沒有任何保證。 我們將盡我們所能。」

Tether Holdings Ltd. 是世界上最大的穩定幣 Tether 的發行人，此後在以太坊上凍結了大約 3300 萬美元的代幣，這些代幣在黑客攻擊中被盜。

區塊鏈生態系統安全公司慢霧（SlowMist）發布了一份報告，對此次攻擊進行了分析。 根據該報告，保利網路在推特上表示，黑客「利用了合約調用之間的漏洞」。

區塊鏈安全公司 BlockSec 發布了一份關於此次黑客攻擊的初步報告，指出私鑰可能泄漏或 Poly Network 簽名過程中的錯誤是造成黑客攻擊的潛在原因。

然而，根據慢霧報告，黑客是通過以下方式執行的。

Poly Network 擁有一個名為 EthCrossChainManager 的特權合約，它有權觸發來自另一個區塊鏈的消息。 有一個功能可以讓各方執行跨鏈交易。 該函數驗證交易請求並將它們添加到區塊鏈中。

關鍵缺陷在於該函數可用於調用 EthCrossChainData 合約，該合約保留了一個公鑰列表，用於驗證來自其他鏈的傳入數據。 EthCrossChainData 合約歸 EthCrossChainManager 所有。 因此，惡意方可以欺騙 EthCrossChainManager 調用 EthCrossChainData 並通過唯一所有者檢查。 使用正確的數據，他們然後可以觸發更改公鑰的功能。

學過的知識？

一位推特用戶在解釋此次黑客事件時表示，此次事件最大的教訓是，在跨鏈中繼合約中，需要確保特殊合約不能被每個用戶調用。

虛擬交易公司 Blockrails 的首席執行官 Jason Bennick 在推特上表示，Poly Network 攻擊不是 DeFi 黑客，只是安全措施鬆懈的一個例子。

紅棗科技首席執行官、中國政府支持的區塊鏈服務網路執行董事何一帆告訴 Forkast.News：「保利網路基本上在那裡建立了一個後門。 這是一個教訓。 如果你想 [be] 完全透明，這樣做 [in a way that is] 儘可能公平。」

他補充說，Poly Network 黑客沒有影響 BSN，因為它沒有使用 Poly Network 公鏈。 相反，只有經過許可的 Poly Network 版本才與 BSN 集成，使其完全毫髮無損。

據 Chainnews 報道，慢霧科技已經追蹤到黑客的錢包、IP 地址和設備指紋，目前正在尋找更多身份線索。

慢霧還發現攻擊者的原始資金在 Monero，後來轉換為 幣安幣、Ether 和 MATIC。 慢霧表示，它從中國加密貨幣交易所 Hoo 和其他交易所獲得了該信息。 一些 Twitter 用戶還聲稱黑客的資金來自 Hoo。

慢霧說，這次襲擊可能是「長期計劃、有組織和準備的」。 一些加密貨幣專家還表示，黑客的錢包與幣安、FTX 和 OKEx 賬戶相關聯，表明他們可能已經在這些交易所完成了「了解你的客戶」程序——這些信息可用於追查肇事者。

黑客在交易中包含了幾條消息，其中一條寫道：「如果我移動剩餘的垃圾幣，那將是 10 億次黑客攻擊 我剛剛保存了項目嗎？ 對錢不太感興趣，現在考慮退還一些代幣，或者只是把它們留在這裡。」

黑客回饋

由於慢霧仍在追蹤，攻擊者似乎改變了主意。 他們現在正計劃返還資金，正如以太坊區塊鏈上留下的消息所示。

黑客要求提供多簽名錢包，Poly Network 已準備好。 該公司現在正在等待被盜資金的歸還。 香港時間周三晚上 7 點 47 分，保利網路發推文稱，迄今為止價值 470 萬美元的加密貨幣已被歸還。

儘管 Red Date 的 He 表示他個人並不認為去中心化系統是安全的，但在被黑客入侵的情況下，還是有好處的。

「每個人都可以追蹤 [hackers]，每個人都可以一起找出是誰做的，我認為這種壓力是公鏈的一個很好的部分，「他說。

他說，施壓可能是肇事者可能同意歸還被盜資金的原因，以及為什麼可以追回一些錢。

他還進一步表示，此類攻擊是合理的，他說：「只要你是去中心化的，只要你是開源的，人們總能找到漏洞。」

據路透社報道，來自加密貨幣情報公司 CipherTrace 的數據顯示，DeFi 黑客攻擊在 2021 年前七個月創下歷史新高，損失達 4.74 億美元。