6亿资金的被盗事件，黑客已成传奇，那用户呢？

6亿资金的被盗事件，黑客已成传奇，那用户呢？

小玲儿 2021-08-11 19:06

出品   耳朵财经

Poly Network 项目被黑客攻击盗走价值 6 亿美元的代币，成为了 Defi 乃至行业史上最大的安全事故。

而攻击 Poly Network 的黑客最新留言表示将归还盗走的资产。目前已开始归还资产，有10100 USDC 已到官方账户。

“获取这么多财富已经是一个传奇，而拯救世界更是永恒的传奇，我做出了决定，不再使用 DAO。”

此前，他表示自己没有转走协议里的全部资产已是手下留情，还说要发起一个 DAO 组织决定这些资产的去向。

这究竟发生了什么事？

/ 1 / Poly Network 被攻击，多方联动协作以追回资产

2021 年 8 月 10 日晚，Poly Network 遭遇黑客攻击，致使基于该协议开发的 O3 Swap 在以太坊、币安智能链、Polygon 网络上的资产分别被盗走代币价值2.5 亿、2.7 亿、8500 万美元，涉及总资产超 6 亿美元，创造了 Defi 乃至行业安全事故的新纪录。

事后，Poly Network 公布黑客地址，呼吁矿工和交易所阻止其代币交易。O3 Swap 团队则暂停了跨链功能，表示正与团队联系，请等待功能恢复以及非跨链功能正常。

随后黑客将这些资产转移至自己的 3 个地址。他还通过链上交易留言询问如何混币。后来广大围观群众也如此向黑客纷纷留言求打赏。

当然，事后团队立刻联系相关人士协作，以尽可能追回资产。

Poly Network项目寻求帮助

Tether 官方在第一时间便将黑客地址中的 3300 万 USDT 直接冻结。

慢雾科技通过链上及链下追踪已关联发现攻击者的邮箱、IP 及设备指纹等信息追踪黑客身份。而后通过其合作伙伴以及多家交易所的帮助，推演出攻击情况。

币安赵长鹏在推特上表示，正在与安全合作伙伴协作，将竭尽所能提供帮助。

Poly Network 官方团队发声明表示希望与黑客对话，并敦促其归还被盗资产。

“被盗金额是 Defi 历史上最大的一笔，任何国家的执法部门都会将此视为重大经济犯罪，并警告黑客其会被追查，任何进一步的交易都是非常不明智的。”官方团队再次表示，双方应该进行沟通以找出解决办法。

再后来，出现了开头的那一幕，黑客表示归还资产，需要一个钱包地址。

此前也有黑客攻击项目盗走资金后归还，那是一年前的 Lendf.Me 事件。黑客向官方平台归还部分代币时留言 “Better future”。似是昭告项目方要小心，不然下次不会那么幸运。

而如今，类似的事件再次发生了。虽然黑客说归还资产，结局也算圆满，但如果黑客不归还呢，这坑谁填？

/ 2 / 事发前，项目方未能有足够的警觉

6月21日，达鸿飞在微博上祝贺 Poly Network 跨链资产总量突破 60 亿美元，资产留存总额接近 7 亿美元。

Poly Network 是一个异构链跨链互操作协议，由Ontology 、Neo、Switcheo 共同推出，主网于 2020 年 8 月上线，目前已实现包含比特币、以太坊、Neo、Ontology、Heco、BSC、OKExChain 等在内的 10 条异构区块链互通，有超过 13 万个地址使用该跨链服务。

而且微博用户昆麟玉早在 5 月 15 日就指出 O3 Swap 最 nb 的就是合约自带一键 rug 功能，项目方能一键把你 stake 的资产转到它的指定账户里，而且还没有时间锁！也就是说你质押的资产项目方能随时转走，不需要经过你同意！

在项目方不加时间锁不解释清楚之前，强烈不建议冲。我居然还看到微博上有人力推这个项目……

事后，很多人在该微博下留言，“今天就出事了，神预言啊”、“过来挖坟，已关注大佬”、“牛逼”……

当时的示警博文

去年在 Defi 热时，耳朵财经邀请了安全公司零时科技、白帽子黑客邓永凯分享智能合约安全问题时，他就提到，“高收益和缺乏监管，而黑客向来是以利益驱动，他们的嗅觉非常敏感，哪里有利益他们就会去哪。”

当项目发展越来越好，涉及资金也越来越大时， Poly Network 却并没有足够的警惕。

据了解，事前 O3 Swap 在 Polygon 等链上的稳定币池年化可超过 20%，这足够吸引众多用户前来挖矿。

而马克思说过：“如果有10%的利润，资本就会保证到处被使用；有20%的利润，资本就能活跃起来；有50%的利润，资本就会铤而走险；为了100%的利润，资本就敢践踏一切人间法律；有300%以上的利润，资本就敢犯任何罪行，甚至去冒绞首的危险。”

Poly Network 创始成员 John Wang 曾在某次活动中表示，DeFi 合约因为本身复杂性和组合型，所以经常会看到比较多的漏洞合约，这是区块链应用发展必须要经历的一个阶段。

此次事件确实应证了他的话，这是个漏洞。由于跨链合约 keeper 被修改为黑客制定地址，从而使黑客可以随意构造交易从合约中取出任意数量的资金。

后来的时间线和黑客留下的痕迹表明——事前做足了准备。他先去中心化交易所 Binance 和 HOO 换取了 BNB 和 ETH ，而后发起攻击，在短时间内转移资产，并洗币。

不知道创始人看到自己的项目正经历着“区块链应用发展必须要经历的一个阶段”，是什么心情？

/ 3 / 让自己变优秀，是解决一切问题的关键

Poly Network 创造了新的历史，贡献了话题，“有投资者失去了一切”，而群众吃了个瓜饱人满足。

历史重重复复，黑客来来去去，最终教会我们的仍是德国哲学家黑格尔所说的：人类唯一能从历史中吸取的教训就是，人类从来都不会从历史中吸取教训。

尽管吸取教训不易，但要明白这个市场其实对用户的要求最高。

不仅要对区块链有一定的了解，还要对项目有一定的认识。​同时，要防止黑客攻击。这不仅是集百般武艺于一身，而且还要留心意外的发生。

“我们既要防止项目方跑路，还得防止黑客盗取我们的资产，以及防止钓鱼网站的误导，要不然，我们的资产可能会在不经意的瞬间被别人盗走。”邓永凯曾在耳朵财经的活动上分享如何保护好自己的资产。

但其实这里不仅要注意黑客盗取自己的资产，也要在意投资的项目是否容易被黑客攻击。不然，失去的依然是自己的资产。

世上没有绝对的安全，这就意味着没有百分之百安全的项目和公司。如果有，那一定是有人在替你负重前行。

江山代有黑客出，各领风骚数时月。投资有风险，入市需谨慎。而让自己变“优秀”，是解决一切问题的关键。

责任编辑：小明