Poly Network 自述 DeFi 史上最大安全事故全过程

链闻ChainNews view 36026 2021-9-3 14:23
share to
Scan QR code with WeChat

发生在 8 月 10 日的 Poly Network 攻击事件可能是史上涉及金额最大的一起网络安全事件,超过 6.1 亿美元的加密资产在 15 天内被盗并被归还。整个区块链行业及所有相关方,和 Poly Network 一起经历了这跌宕起伏的过程。目前所有涉及资产已经全部归还用户,系统功能已经基本恢复至事件前水平,这起事件终于可以落下帷幕。

在过去的两周我们也收到很多关于这个事件的询问,在此希望从我们的角度以一个公开透明的方式对此次事件进行一次回顾,以警示我们铭记本次事件,同时也让更多的人了解到整件事情的处理细节,在这次事件中我们也许做的并不完美,但是或许是一点宝贵的经验。

Poly Network 自述 DeFi 史上最大安全事故全过程

What went down (我们跌落谷底)

关于事故的具体描述,多家安全机构都进行了评述:

慢雾:Poly Network 攻击的分析和问答

Kelvinfichter 关于攻击原因的分析

慢雾:Poly Network 攻击的总体技术陈述

事发当晚也是我们承受最大压力的一晚,我们尽量做到目标明确,有条不紊解决核心问题:锁定资产,减少社区猜测,建立沟通渠道。

尝试与 攻击地址 取得 联系;

发现漏洞,寻找漏洞修补 方案,分析资产去向和攻击者行为;

清点受影响资产,联系资产发行方冻结资产,减小不可控制的损失;

通知各交易所,关注资金出金意图;

呼吁矿池矿工 拦截攻击者试图洗钱的交易;

向用户、社区和媒体及时 传达进展;

最终进展如下:

通过 ETH 网络与 0x8a 地址建立加密沟通渠道;

Tether 宣布冻结 了相关的超 3300 万 USDT 资产;

币安、OKEx、火币 等发布公告,会关注此事件资金流向;

与 USDC,BSC, Polygon,Heco,wBTC,MetaMask 等取得联系;

Poly Network 推特持 续发布事件进展,减少用户恐慌情绪,避免非属实的流言。

Decentralization has a long way to go (去中心化还有很长的路要走)

通过与白帽先生的沟通,双方缓和了情绪,基本信任建立。8 月 11 日,攻击者宣布「准备归还资产」。随后 Poly Network 的 收款地址部署 完成,8 月 11 日 8:43:57 AM +UTC Poly 团队开始回收第一批退还资产。截止到 8 月 13 日,系统收回足够的资产以恢复部分功能,在与白帽先生确认后,项目进入了恢复重建阶段,核心目标还是两点:促成资产收回,快速系统修复。

与白帽先生 确认收款流程;

向用户承诺 将收回全部资产作为首要目标;

修复系统漏洞,确保系统的安全性;

确认系统 重启计划 和筹备路线图;

开放恢复资产的项目方 申请通道;

与 Tether 协商冻结的 USDT 处理方式;

与社区保持沟通;

最终进展如下:

回收 BSC、Polygon 资产;

建立 共管账户;

完成修复系统漏洞并 公布新安全方案;

宣布 系统重启路线图;

确认 可恢复功能项目清单 并支持功能恢复;

白帽先生自己也在区块链上阐述了自己此次攻击的原因,过程和给大家的诚恳建议,我们对全文进行了 记录。

期间,Poly Network 团队也在经历着前所未有的评议与争论,我们看到最大的争议也同样是白帽先生提出自己 最大的顾虑 - Poly Network 的去中心化进程;

QUICK Q & A, PART (INCREDIBLE) SEVEN:

A: I AM FAIRLY CONFIDENT OF THEIR DESIRE AND CAPABILITY TO RECOVER AND SECURE THE PROJECT WHICH HAS BEEN DESIGNED AS A ROBUST SYSTEM. MY ONLY CONCERN IS THAT THE POLY CHAIN, THE CORE PART OF THE WHOLE NETWORK, IS _NOT VERY DECENTRALIZED_, AND THAT IS NOT SOMETHING I CAN CONTRIBUTE TO. MAYBE I AM _WRONG_.

在此,我们也想为此疑虑做出解释,事实上项目已经在去中心化的路径上探索许久,我们相信去中心化永远是优秀的协议非常重要的一环,如果有兴趣,大家可以 关注下 , 在半年前,我们已经启动了 Poly Network 的新版本的开发,我们希望未来通过完整的经济模型和治理机制,来保证整个网络的去中心化管理。因为跨链协议不同于单链项目,由于要实现不同特性链之间的互操作性,除了实现安全性要比单链更加复杂外,如何更有效的治理也是一个重要的部分,实现多元化世界的一致性,需要各个相关方进行更加高效的共识。

Security is everything (安全性就是一切)

安全一定不是一蹴而就的事,对于网络安全,此次事件已经凝聚了全行业 最直接深刻的体会。

8 月 15 日,在确定并公布恢复计划后,团队开始持续推进和落实路线图中的工作,包括在 immunefi 的平台上发布了总额为 50 万美金的安全赏金计划,希望吸引全球安全机构和白帽组织为 Poly Network 的安全助力,当然这只是安全的第一步,系统恢复期内我们也:

邀请 白帽先生作为 Poly Network 的首席安全顾问并提供 160ETH 安全赏金

与 PeckShield、BlockSecTeam、Beosin (Chengdu LianAn Tech) 等安全机构确认修复和重启方案

https://medium.com/poly-network/latest-updates-aug-20-a12447c6d899

https://medium.com/poly-network/latest-updates-aug-19-ed7ab8e5c2f0

https://medium.com/poly-network/latest-updates-aug-17-241398d64a40

同时我们也想引用白帽先生阐述的对区块链安全的一些建议,我们觉得在一定程度上是中肯客观的。

Guys, ask yourself, is the poly team the owner of the assets? They are just the manager of the fund! Will you teach them how to trigger their "backdoor"? In the defi world, you can trust nobody but the code and youself.

To the "victims": I don't mean the poly team is not trustworthy, but none of you have the chance to challenge their code which should be the law. Don't worry, you are not real victimes. I saved you!

Q: ANYTHING ABOUT THE DEFI/BLOCKCHAIN SECURITY?

THE SECURITY IS A TOUGH JOB, NO MATTER IF IT'S IN CLASSIC OR CRYPTO WORLD. IN MOST CASES, WE SECURITY EXPERTS ARE ONLY SUMMONED AS THE MEDICAL EXAMINERS AFTER THE INCIDENTS. WHAT WE DO IS JUST WRITING POSTMORTEMS, SOMETIMES TRACING THE BAD GUYS. IT'S ALMOST THE SAME IN THE CRYPTO WORLD, EXCEPT THAT SOME PROJECT ARE NOT VERY URGENT GETTING THE MONEY BACK SINCE IT'S NOT THEIR MONEY, THEY WOULD JUST TELL THE REAL VICTIMS THAT "SORRY WE TRIED BUT NEVER GURANTEED THE EXTREME SECURITY".

以上引用内容来自 以太坊区块链。

我们相信协议的安全始终是重要的一环,但是我们也相信在 crypto 的世界里,代码之上仍有更广袤和丰富的存在,或许大家有着不同的价值观和知识储备,但是依旧可以公平的参与到这个世界建设和治理里,我们在未来想建立的不仅仅是一个安全的协议,更是一个对所有人公平透明的协议。

All your tokens have returned to you (所有资产均已归还)

所有的故事都会有一个尾声,很欣慰,这次的故事是一个 Happy Ending。

8 月 19 日,白帽先生归还了 Ethereum 上的 96,942,063 个 DAI。

8 月 22 日,除 wBTC 和 ETH 资产已尽数归还。Poly Network 开始进行稳定币的资产清点和复原,以协助 O3 Hub 的功能恢复。

8 月 23 日完成了白帽先生 返回 的 96,942,063 个 DAI 与 USDC 之间的转换,同时将 BSC 上的 87,557,051 个 BUSD 转换为 USDC(BEP-20)。对于在交易中产生的滑点损耗和手续费,Poly Network 团队用自有资金进行补偿。

8 月 23 日白帽先生 公布 了多签钱包的私钥。

8 月 25 日,此次攻击事件受影响的 WBTC 和 ETH 资产 全部恢复。

同日,Tether 将此前冻结的 33,431,200 USDT 资产 全数释放 至 Poly Network 接收资产的多签钱包内。

8 月 26 日,Poly Network完成 USDT 资产的复原工作。至此,所有受此次攻击事件影响的资产恢复完毕。

Poly Network 自述 DeFi 史上最大安全事故全过程

Thank you all for standing with us (感谢所有并肩奋斗的人)

这个故事到了一个尾声,但是对于我们来说却是下一个征程的开始,在新的征程开始之前,我们想对所有使用 Poly Network 的项目和用户,表示诚挚的感谢和深切的歉意。很抱歉由于系统漏洞给所有用户带来的困扰。感谢你们对项目的信任,虽然我们有可能会失去了一部分曾经相信我们的人,但我们会用之后的行动重新建立大家对项目的信心。同时,我们也将会用我们的方式去感谢所有使用过,支持过,一起经历过这次事件的每个人,后续具体的细则我们将在系统完全恢复后在官方渠道公布,请大家保持关注。

最后我们想说,项目安全始终是 Poly Network 以及整个行业永恒的主题,希望 Poly Network 事件不仅能帮助我们建设一个更健壮的项目,还能给整个行业带来足够深刻和持久的警示。对于我们来说,这段经历将成为我们永不会忘却的记忆,它不仅仅代表了一个协议的安全,更有关对信任、权力、欲望、责任、信仰新的理解。

btcfans公众号

Scan QR code with WeChat

Disclaimer:

Previous: 专访ROCKI创始人Bjorn Niclas:进军主流市场 打造全新的音乐NFT生态系统 Next: EIP-1559故障:揭开伦敦硬分叉的神秘面纱

Related