8 月 10 日晚间|Poly Network被盗6.1亿美元，币圈“乞丐”竟为黑客出谋划策 8月10

8月10日晚间，跨链互操作协议PolyNetwork突遭黑客攻击，在PolyNetwork现已集成的三大主流生态（以太坊、BSC、Polygon）上，黑客分别盗走了2.5亿、2.7亿、8500万美元的加密资产，损失总额高达6.1亿美元。

文章图片
史上最大黑客事件
6.1亿美元是什么概念？如果按照事件发生时的相关资产的市场价格计算，这不仅仅是DeFi历史上涉案金额最大的黑客事件，更是整个加密货币历史上涉案金额最大的黑客事件，超过了鼎鼎大名的Mt.Gox事件（744408枚BTC ，当时总价值约4亿美元），以及2018年的Coincheck大案（5.23亿枚XEM ，当时总价值约5.34亿美元）。
如果仅在DeFi市场内部比较， Odaily星球日报此前曾做过一次不完全统计， 2020年DeFi领域内共发生了四十余起起攻击事件，损失金额约1.774亿美元（约4939万美元）， PolyNetwork这次事件的数字足足是其三倍有余。
关于本次事件发生的具体原因， Odaily星球日报已询问了PeckShield、慢雾、Certik、成都链安等多家知名安全公司，但截至发文，各大公司均表示仍在分析事件逻辑，我们将在得到有效回复后第一时间更新本文内容。
TheBlockResearch的分析师IgorIgamberdiev则表示， PolyNetwork遭到攻击的根本原因是密码学问题，这可能类似不久前刚刚发生的Anyswap黑客事件——在那起事件中，黑客通过合约漏洞成功推倒出了私钥，最终窃走了790万美元的资金。

文章图片
安全研究员MuditGupta在检查了PolyNetwork的合约后给出了更为细致的分析。 Mudit指出， DeFi智能合约的执行往往需要一个多签地址来签署命令，但PolyNetwork并没有使用多签，似乎某个超级权限地址可以控制所有的资金。黑客可能是通过传统的黑客手段获得了该地址的私钥，也有可能是与团队内部人员勾结完成了攻击，这需要彻底的调查。

文章图片
PrimitiveVentures创始合约人DoveyWan也表示：“PolyNetwork和O3（注：本次事件的另一大相关项目，下文会解释）都没有完全开源，所以这很有可能是一次内部攻击事件。 ”
围堵与逃窜
20:38 ， PolyNetwork官方于推特确认了攻击事件，并贴出了黑客在不同链上的具体地址（见下文）。官方同时表示，为了追回失窃资金， PolyNetwork将采取法律行动，敦促黑客尽快还款，希望相关链上的矿工及各大交易所伸手援助，共同阻止黑客地址所发起的交易。

文章图片
黑客地址：
在PolyNetwork发出呼吁之后，各方KOL纷纷发声支援，试图阻止黑客洗钱。
赵长鹏于推特表示：“我们已获悉PolyNetwork发生的黑客事件。虽然没有人能够控制BSC或以太坊，但我们正在与所有安全合作伙伴协调，我们将尽已所能，主动提供帮助。 ”
OKExCEOJay也表示：“OKEx已在关注此案，我们正在观察货币的流动，并将尽最大努力来协助处理该事件。 ”
另一边，稳定币USDT的发行方Tether更是快速响应，直接冻结攻击黑客以太坊地址中3300万USDT 。
黑客通过Curve将近1亿USDC兑换为DAI 。
不过，虽然已有多方参与了针对黑客的堵截，但黑客仍在通过各种手段快速混币，包括在以太坊上利用Curve混币逾9700万美元，以及在BSC上利用Curve分叉项目EllipsisFinance混币近1.2亿美元。
大型乞讨现场
失窃金额如此之大，受害者数量自然也少不了（Odaily星球日报作者本人也是其中之一）。
就目前情况来看，遭受此次事件影响的主要群体是通过跨链聚合器O3Swap进行挖矿的用户， O3Swap本身也因此暂停了跨链相关服务。在事件发生之前， O3Swap在Polygon等链上的稳定币池年化可超过20% ，一些短期单币池（上周刚刚关闭）的年化可达百分之数百，在DeFi挖矿收益日趋下行的今天，这一年化水平还是很具吸引力的。大量“DeFi农民”冲着高收益而来，却最终落得了个“血本无归” 。
而之所以PolyNetwork被攻击， O3Swap用户遭殃，是因为O3Swap的跨链功能系基于PolyNetwork搭建。事实上，在PolyNetwork官方确认被黑之前，社区之内的主要猜测也是O3Swap合约被黑客攻破。
在以往DeFi被盗、用户求助无门的情况下，不少人会选择向黑客的地址发送一笔交易，留言述说这是自己的血汗钱，恳求黑客归还资金。而这一次，许多“看热闹不嫌事大”的旁观者却让事情“变味”了。