Defi最大盗币案:PolyNetwork有惊无险,黑客先生”名垂青史“
8月10日,跨链协议Poly Network在推特上发文称,其平台遭受黑客攻击,短短34分钟内,黑客通过Defi从Poly Network前前后后共计转出高达6.1美金的资产。其中超2.5亿美元资金转至Binance Chain, 超2.7亿美元资金转至Etherem, 剩余超过8500万美元的资金流向Polygon.
事件发生之后,这个史上金额最大的盗币案即刻吸引了全网的目光。
Poly Network接连在推特上喊话,希望黑客尽管归还所盗资金。区块链安全公司BlockSec,Slow Mist等,都试图从专业角度,还原黑客是如何实施这场“惊天大案“。吃瓜群众们,也不满足于安静吃瓜,在一位吃瓜群众因通过hanashiro.ETH的地址提醒黑客USDT已被冻结而收到黑客13.37ETH的打赏之后,也都纷纷向黑客发送链上信息,表达自己的“衷心“,希望得到打赏,有一开口就叫”亲爱的爸爸“的,有说明自己悲惨身世渴望获得垂怜的。
正当大家等着看这场“大戏“如何收场时,这名黑客松口了,表示自己”其实对钱并不感兴趣“,以及自己将归还所盗的资金。
然后,黑客就真的开始还钱了。
截至UTC时间周四上午8点18分,黑客所盗的6.1亿美元资金,约3.42亿美元已经归还,包括价值460万美元的Etherem资产、2.52亿美元的Binance Chain资产和8500万美元的Polygon资产组成。而仍未归还的2.68亿美元代币属于以太坊上的资产。
而这起“惊天大案“,也在全球吃瓜群众的见证之下,慢慢落下帷幕。
但正如Poly Network最新推文所传达的意思,在钱款追回之后,他们现在最大的问题,就是如何重新获取用户的信任,毕竟6亿美金的资产说被偷就被偷,无疑暴露了其系统存在安全漏洞。
所以,黑客想要获得Poly Network的“感谢”是不可能的了。
那么,现在让我们回过头去,再梳理一下Poly Network这辗转难眠的52小时吧。
“6亿”大案的发生
8月10日, Poly Network在推特上公开发文宣告此事。
Poly Network的自救
Poly Network团队也继续在推特上呼吁,区块链和加密货币交易所的矿工能够将牵涉地址的代币列入黑名单。
并且Poly Network尝试和此次攻击事件的始作俑者做出交涉,在推特上通过公开信的方式向黑客喊话,称此次涉案金额不管在任何一个国家都将无法逃避执法部门的制裁,希望黑客尽早归还所盗资产,和Ploy Network共同商讨一个对双方都有利的解决方案。
Poly Network在推文中称黑客“ Dear Hacker”, 带着一股”先礼后兵“的味道,似乎是想暗戳戳的告诉“亲爱的黑客”,如果他老老实实的归还失窃资产,那么我们也不会为难你。但如果你让我们走投无路,那么以这次失窃资产的金额,恐怕你到哪儿都要“牢底坐穿”。
黑客“良心发现”?
而已然得逞并且“名垂青史“的黑客本人,不知道是不是真如他所说的”其实我对钱不敢兴趣“,还是突然意识到事情的严重性,在8月11日中午的一笔交易中备注表示,他将准备归还所盗资产。
这位黑客也确实如他所说,从8月10日起,就开始归还他所盗走的这笔资金。除了属以太坊资产的2.68亿美金资产,目前其他都已悉数归还。
而且,还钱之后的他,似乎还想继续“享受”这来自全世界的目光,开始向外界剖析他的心路历程,自导自演了一场得手后的“获奖感言”,自己采访起了自己:
自问:你为什么要攻击?
自答:好玩儿
自问:为什么选Poly Network
自答:跨链攻击很火
自问:你是不是已经暴露了?
自答:怎么可能。现在这个网络世界,即便我是个守法好公民我的足迹也是暴露无遗的。所以,我用的都是临时邮箱,IP还有你们说的“指纹“。我想当的是拯救世界的”无名英雄“。
吃瓜群众的“狂欢”
此次事件的围观者,也为这次事件增加了戏剧性的插曲。
一位hanashiro.eth的地址通过黑客地址提醒他USDT已被冻结,让他不要使用。黑客为了表示感谢,向该地址转入了13.37ETH。而很多人也发现了,13.37并不是黑客一高兴,随便敲出来的数字,而是Leet, 拼写为1337, 又称黑客语,似乎黑客的每一步都想彰显自己高超的黑客技术。
此事被曝光之后,很多吃瓜群众坐不住了,纷纷向黑客地址发送链上信息,表达自己的“衷心“,希望得到打赏。有一开口就叫”亲爱的爸爸“的,有说明自己悲惨身世渴望获得垂怜的。
而收到这一打赏的hanashiro.eth,似乎是害怕这“天上掉下的馅儿饼”,会给自己惹来麻烦,他将收到的ETH悉数捐赠给了Infura, Rekt, 币安慈善等机构,并在链上留下了文艺十足的诗句或者歌词,妥妥一枚当代文青。
安全机构的“案件还原”
事件发生之后,多家专业机构都对此做出了自己的分析。
区块链安全公司BlockSec给出了他们的分析,黑客行为可能是由于签署跨链信息的私钥泄漏引发的。但他们还补充道,另外还有一个可能是,Poly的签名过程中可能存在一个漏洞,被“滥用”了。
以太坊开发人员和安全研究员Mudit Gupta写道,Poly Network使用Multisig钱包进行交易。在它的配置中,有四个人可以访问用于签署交易的密钥,三个人必须签名,他表示:“攻击者至少获得了三个保管人,然后使用他们将保管人更改为单个保管人。”
区块链安全团队Slow Mist认为,事实并非如此。相反,它更相信,攻击者利用智能合约功能中的一个缺陷更改其保管人,将资金流转到攻击者自己的地址。他们认为事件并不是因为保管人的私钥泄露而发生的。并表示 “已经通过链上和链外跟踪掌握了攻击者的邮箱、IP和设备指纹,并正在跟踪可能与Poly网络攻击者有关的身份线索。”
在这52小时里,PolyNetwork有惊无险,黑客先生”名垂青史“,吃瓜群众也看了一场一波三折的“好戏”。
联盟短评
Defi,Decentralized Finance, 即去中心化的金融市场,本质上也是一种智能合约,包括借贷,抵押和其他金融衍生品。
此次并非Defi平台首次遭受攻击,黑客们似乎总是对新兴事物特别感兴趣,除了金钱的诱惑,或许都想通过这种戏剧化的情节在Defi发展史上留下自己的“足迹”。黑客得手后可以潇洒一转身,也可以像开个玩笑一样,得手后又归还,再向全世界宣告自己“其实对钱并不感兴趣”。但却给这个发展中的新兴行业笼罩上了一层阴霾,此举并不光彩。
Deifi平台潜在的漏洞,也引发了很多人对Defi的担忧,毕竟一个没有政府监管,没有政府审查,完全依赖于计算机技术的金融平台,不单是普通的币民不放心,就算是资产雄厚的大庄家们,也是“我左看右看,我上看下看“的摸着石头过河。
微信掃描關注公眾號,及時掌握新動向
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表比特範的觀點或立場
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表比特範的觀點或立場