34分钟抢走6.1亿美金,DeFi领域最大盗窃案
8月10日晚间,异构链跨链互操作协议Poly Network宣布遭黑客入侵,30多分钟内价值超6.1亿美元的资产被洗劫一空,包括3.02亿枚USDT、5.5万枚ETH、2000枚比特币等若干类代币。
| 史上最大黑客事件
6.1亿美元是什么概念?如果按照事件发生时相关资产的市场价格计算,这不仅仅是DeFi历史上涉案金额最大的黑客事件,更是整个加密货币历史上涉案金额最大的黑客事件,超过了鼎鼎大名的 Mt.Gox 事件(744408枚BTC,当时总价值约4亿美元),以及2018年的 Coincheck 大案(5.23亿枚 XEM,当时总价值约5.34亿美元)。
如果仅在DeFi市场内部比较,据不完全统计,2020年全年DeFi攻击事件共发生60余起,损失总和约为2.5亿美金,Poly Network一场攻击就超过了2020年整年2倍有余。
这个量级的被盗规模,位列DeFi历史之首。
| 黑客攻击过程
跨链互操作协议是一种去中心化金融协议(DeFi),在币安智能链、以太坊和 Polygon区块链上运行,可用于流动性挖矿。
Poly Network的官方推特发布了遭攻击声明,并呼吁矿工和加密货币交易所将黑客地址的代币列入黑名单。
与此同时,他们还称将采取法律手段,敦促黑客尽快归还被盗资产。
此外,Poly也表示黑客是通过协议漏洞进行攻击,并非是知晓了秘钥。
事发后,加密货币各大平台方积极响应,试图阻止黑客进行赃款转移。
无数的币圈吃瓜群众在网上对此表示喜闻乐见,称希望黑客能分一点账款,毕竟“劫富济贫”的故事谁不爱看呢。
然后黑客开始了他的表演。他先是在链上转账留言里,向全世界询问如何使用以太坊上的匿名转账平台Tornado.cash进行混币,接着又用挑衅的语气,表示“自己没有全部带走协议里的资产已经是手下留情”,随后又要“发起一个分布式自治组织来决定这些资产的去向”。
纪录显示,Poly在推特上宣布黑客入侵大约一小时后,黑客试图通过以太坊地址将包括USDT在内的资产转移到流动资金池Curve Finance中,不过该交易被拒绝。
Tether首席技术官Paolo Ardoino将黑客地址列入黑名单,冻结了该地址中的USDT。
不过黑客仍设法将一些USDC转移到了Curve Finance的流动资金池中,这也意味着将几乎无法寻回这些USDC。
币安CEO赵长鹏也在推特上发表回应,称虽然没有人控制BSC和ETH,但正在与所有安全合作伙伴进行协调,以尽其所能提供帮助。
| 大型乞讨现场
失窃金额如此之大,受害者数量自然也少不了。就目前情况来看,遭受此次事件影响的主要群体是通过跨链聚合器 O3 Swap 进行挖矿的用户,O3 Swap 本身也因此暂停了跨链相关服务。
黑客也并不是唱独角戏,无数看客在转账记录中留言,希望黑客能分一点赃款。其实每次黑客攻击后,暴露的地址都会有类似信息,更有甚者,一些人试图通过告诉黑客一些可行的混币措施,来换取黑客的代币施舍……这种看似“好玩”的做法实则非常不可取,也是对焦急痛心的失主极大的不尊重。
但毕竟这是 6 亿美金的历史级别攻击,无数无眠的受害者与冷淡的看客,这也是另一片「黑暗森林」。
我们能看到的是那些在 O3 Swap 中资产损失的投资者,但是,对于一场数亿美金级别的攻击,行业里所有人都是被害者,这场攻击让那些有准备在 DeFi 市场里试水的机构望而却步,让那些专业的 Smart Money 不敢轻易尝试。这场攻击打击的是 O3 Swap 投资者的信心,同时也是传统投资者对 DeFi 的信心。这不仅是 DeFi 历史上量级最大的攻击,也许也是 DeFi 行业的转折。
| 追回资金,还有希望吗?
撇开种种闹剧,事件既已发生,各方最为关心的事情莫过于能否成功追回资产。
结合此前 DeFi 世界内曾发生过的多起安全事件来看,追赃并非毫无可能,比如去年的 dForce 及 EMD 事件,最终都成功追回了失窃资金。整体来看,此类事件基本上都有一个共同点——通过追踪,黑客在现实世界的身份暴露,面临着来自项目方及受损用户的起诉和追责,最终选择主动归还资金。
过往案例告诉我们,尽管 DeFi 在交互层面上已实现了去中心化,但一个个受法律保护及约束的人类才是参与 DeFi 的主体,因此 DeFi 也绝不是什么无法之地,在链上资产意外遭遇损失时,寻求链下的法律保护是最有效的解决措施。
目前较好的一个消息是,慢雾安全团队表示,在合作伙伴虎符(Hoo)及多家交易所的技术支持下,已通过链上及链下追踪已关联发现攻击者的邮箱、IP 及设备指纹等信息,正在追踪 Poly Network 攻击者相关的可能身份线索。慢雾安全团队梳理发现,黑客初始的资金来源是门罗币(XMR),然后在交易所里换成了 BNB/ETH/MATIC 等币种并分别提币到3个地址,不久后在3条链上发动攻击。
或许是感觉到了压力,黑客也在8月11日00:05通过一笔交易公开表示有意归还部分资金。与此同时,黑客还提出了一个新的可能,即利用这笔资金发行一个全新代币,并通过DAO的形式进行运作。
不过,慢雾提到的关键合作伙伴虎符(Hoo)随后在社群内进一步回应称,黑客只是在虎符注册了一个没有KYC的账号,并转出了少量ETH作为gas费用,并没有资金流入虎符。最为关键的是 ,黑客在虎符内的账户并没有实名认证,所以能否通过其他信息(慢雾提到的邮箱、IP 等等)成功定位黑客身份暂时仍无法确定。
稍早前,Poly Network官方再次通过公开信的形式向黑客喊话,强调数亿美元的资金在任何司法辖区都会是特大案件,希望借此向黑客施压,获得与对方沟通的机会。
目前最新进展:截至今天11:48,黑客以太坊地址通过一笔交易的附加信息表示:正准备归还资金(READY TO RETURN THE FUND)!
交易哈希为:0x7b6009ea08c868d7c5c336bf1bc30c33b87a0eedd59dac8c26e6a8551b20b68a。
随着多链格局的日渐稳固,跨链桥作为不同生态之间流动性往来的渠道,其所承担的价值正快速膨胀。从前不久的 Chainswap、Anyswap,再到今天的 Poly Network,这一赛道已成为了黑客眼中的“香馍馍”,安全形势日趋严峻,项目方、审计公司、用户均需提高警惕。
声明:投资有风险,入市须谨慎。本资讯不作为投资理财建议。