被盗6.1亿美元!Poly Network被攻击的背后:DeFi安全任重道远

区块链日报 view 42390 2021-11-21 10:40
share to
Scan QR code with WeChat

被盗6.1亿美元!Poly Network被攻击的背后:DeFi安全任重道远

如此巨额的资产损失,折射出DeFi领域的安全事故频发,特别是跨链协议更容易被攻击。

8月10日晚,跨链互操作协议Poly Network遭受黑客攻击,总价值6.1亿美元的加密资产被盗。这是迄今为止,DeFi行业史上最严重的安全事故。

经过近1天的沟通解决之后,目前,黑客答应将被盗资产归还至Poly Network团队。

如此巨额的资产损失,折射出DeFi领域的安全事故频发,特别是跨链协议更容易被攻击。

史上最大加密资产失窃案

8月10日晚间,跨链互操作协议Poly Network发布推特称,该协议部署在以太坊、币安智能链、Polygon三条网络上的智能合约同时遭到攻击,黑客转移了3.02亿枚USDT、5.5万枚ETH、2000枚比特币等资产,总损失价值6.1 亿美元。

损失6.1 亿美元,这是迄今为止,DeFi行业史上最大的一场安全事故。有研究人员认为,这次的盗窃案件“很可能是蓄谋已久、有组织和有准备的攻击”。

当晚,Poly Networ在推特呼吁交易所等加密企业将黑客地址列入黑名单。其中,发行USDT的公司Tether表示,已经冻结Poly Network盗币案中3300万美元USDT。币安赵长鹏、火币杜均、Okex的Jay Hao均在推特上表示将提供帮助。

与此同时,Poly Network也发布了致黑客的一封信,希望与其沟通,并敦促其“归还被盗资产”。

事发后,Poly Network黑客曾将近1亿美元的DAI和USDC转移至Curve稳定币池,同时将币安智能链上价值近1.2亿美元的BUSD与USDC转入Curve分叉项目Ellipsis Finance。

经过一夜发酵,8月11日上午,黑客通过链上交易备注表示,准备归还盗取的资产,但因为无法联系Poly Network的项目方,希望Poly Network提供一个多签钱包。

Poly Network向《区块链日报》记者表示,已经向黑客提供了多签钱包地址,目前,黑客正在归还资产。截至8月11日17时04分,该黑客已归还101万个USDC。

跨链协议攻击事件频发

公开资料显示,Poly Network是由Neo、Ontology、Switcheo共同推出的异构跨链协议,分布科技为其技术提供方。该协议主网于2020年8月上线,已支持包含比特币、以太坊、Neo、Ontology、Heco、BSC、OKExChain、Polygon等在内的11条主流异构区块链互通,使用该服务的地址数近20万。

对于此次Poly Network被攻击的原因,市场出现了两种声音。

安全公司BlockSec发布分析报告表示,导致攻击发生的原因可能为用于跨链签名的私钥被泄漏,或者签名程序有逻辑漏洞导致签署出攻击交易。

不过,另一家安全公司慢雾科技分析认为,攻击者是通过精心构造的数据修改了以太坊跨链合约中keeper为攻击者指定的地址,并非由于keeper私钥泄漏导致。

Poly Network在官方推特转发了慢雾科技的分析报告,市场也普遍认同后者的说法。

《区块链日报》记者注意到,近期针对跨链操作协议的攻击事件频发。

根据Coin98 Analytics数据,DeFi领域在近一个半月的时间里发生了11起重大安全事件,其中有5起都发生在跨链协议中。比如AnySwap、ChainSwap、THORChain、Never Network。其中,THORChain 两次被黑客“光顾”。

鲸平台智库专家、中国通信工业协会区块链专委会轮值主席于佳宁在接受《区块链日报》记者采访时表示,尽管跨链协议为DeFi的组合型和交互性带来了无限的可能,但也正是因为这种可能,带来了很多组合型金融产品的风险。

“跨链协议与DeFi中的单链交易相比,在资产交互、资产锁定、签名授权等环节更为复杂,也更容易出现问题。只要其中的一个环节出现了问题,很容易造成资产损失。而且目前跨链协议中的资产越来越多,也更容易被黑客盯上”。

DeFi成黑客攻击重灾区

Poly Network盗币案之所以引起市场强烈反响,主要还在于被盗的资产规模巨大——高达6.1亿美元。

要知道,2020年全年DeFi行业共计发生60余起攻击事件,损失总和约为2.5亿美元,而Poly Network一次攻击损失的资产就是去年全年的2倍之多。

Poly Network被攻击,也是整个DeFi行业生态安全问题的一个缩影。

根据慢雾科技统计被黑事件档案库的数据,2021年上半年,整个区块链生态共发生78起较大的安全事件,涉及DeFi安全50起,钱包安全2起,公链安全3起,交易所安全6起,其他安全相关17起。

于佳宁表示,DeFi与传统交易模式不同,所有交易都是通过智能合约自动执行的方式在链上进行,风险高度复杂,新型安全事件层出不穷。如智能合约执行风险、操作安全性、清算风险、预言机风险和黑客攻击风险等等。

这也让DeFi成为了区块链安全事件的重灾区。“在DeFi中,黑客往往通过智能合约中的漏洞进行攻,比如闪电贷攻击和重⼊攻击等,造成资产的损失”。

Poly Network事件中,失窃金额之大,受害者自然不少。对此,于佳宁建议,如果参与的项目已经遇到黑客攻击事件,能进行的操作已经非常有限了。要尽快将剩余的资金转出,在钱包中取消对项目的授权,及时跟进事件的最近进展动向,推动项目方赔偿损失,在必要时及时报警。

根据成都链安统计的数据,2020年区块链生态造成的经济损失已超38万枚BTC,以31600美元/枚的价格计算,总计损失约达121亿美元。这个数字远超此前两年受损金额的总和。

“安全风险是区块链网络走向成熟、稳定的必经过程。”于佳宁表示,最重要的一点是吸取每一次安全事件的经验和教训,进行优化升级和迭代。同时,建立系统级的安全体系, 从整体上提升区块链的安全性, 推动区块链安全标准化, 为区块链开发和使用提供设计、管理和使用指南。

btcfans公众号

Scan QR code with WeChat

Link
Disclaimer:

Previous: Footprint:上线18个月,NEAR开始发力DeFi Next: 美国科技公司Meta Company拟状告Facebook侵权

Related