Poly Network黑客案：區塊鏈是安全的而智能合約不是_POL

周二， Poly Network 官方推特稱該項目遭到黑客攻擊，直接損失了價值超過 6 億美元的加密資產。這次攻擊是迄今為止最大的 DeFi 黑客攻擊，損失直接超過了 2021 年所有 DeFi 黑客攻擊的總和。此前的門頭溝和Coinchek 兩個轟動幣圈的大案損失分別為價值 4 億和 5.32 億美元的加密資產。

跨鏈協議 Poly Network 在收到攻擊后呼吁加密社區，甚至是 "白帽黑客"，通過區塊鏈來追蹤黑客轉移資金的行動。在本次黑客攻擊事件中，攻擊者利用了一個區塊鏈跨鏈協議 Poly Network 的技術漏洞。本次攻擊共涉及了三個不同的區塊鏈，它們分別是：以太坊網絡、幣安智能鏈（BSC）和Polygon。最終黑客獲取了檢索加密貨幣錢包所有者的私鑰所需的信息，并最終盜取了鏈上資產。

KDAC成為Polymesh Association首個Polymesh節點運營商:2月21日消息，Polymesh Association宣布KDAC成為其首個Polymesh節點運營商。據悉，Korea Digital Asset Custody Co.（“KDAC”）致力于將證券型代幣區塊鏈擴展到韓國。

KDAC曾獲新韓銀行的股權投資，是一家為企業和個人提供各種數字資產托管和存儲服務的數字資產托管管理公司。目前為機構投資者和大型企業等40多家客戶提供數字資產托管服務。[2023/2/22 12:20:45]

Poly Network 聲稱 "數以萬計的社區成員 "受到了該黑客攻擊事件的影響。

Logan即將上線POL挖礦:據官方消息，BSC鏈上項目Logan將于12月31日16:00開始POL 單幣挖礦，用戶可通過質押相關資產以獲取Logan Token獎勵。

Logan通過與不同的生態系統平臺合作，引導各生態系統的早期用戶進行跨鏈流動，實現各個公鏈以及layer2之間的資產快速流動，將不同鏈上資產的流動性聚合起來，構建去中心化方式的跨鏈資產移轉。[2021/12/31 8:17:11]

Poly Network 團隊通過推特表示，經過初步調查，我們找到了造成該漏洞的原因。黑客利用了合同調用之間的漏洞，漏洞并非像傳言的那樣是由單一 Keeper 造成的。

Nokenchain 首席執行官 Guillaume Thuill 在 youtube 的直播中就談到，“很明顯，問題出在 Poly Network 只使用一個錢包來處理所有的業務。甚至其協議內部還存在著某種形式的賬戶管理不善。該公司將來自三個不同區塊鏈接近 6 億美金的代幣放在一個賬戶中，這本身就是一個錯誤。這明顯是違反了許多地區的金融安全監管法規的。

VanEck推出的Polkadot、Solana和TRON ETN在德意志證券交易所上線:9月21日消息，德意志證券交易所（Deutsche B?rse）今天宣布，VanEck針對Polkadot（DOT）、Solana（SOL）和Tron（TRX）推出的新ETN產品現在可在其數字證券交易所Xetra和法蘭克福證券交易所（Frankfurt Stock Exchange）進行交易。據悉，德意志證交所此前已經支持比特幣（BTC）、以太坊（ETH）、比特幣現金（BCH）和萊特幣（LTC）等加密貨幣ETN產品。（Cointelegraph）[2021/9/21 23:40:45]

Thuill 還補充道，“我們甚至還能猜測到黑客是如何設法獲得賬戶的內部密鑰的。他可能做了一個'利用'（利用系統編輯說明中的一個缺陷）。這可能是他們的智能合約（即在區塊鏈上自動放置一個訂單、一個行動或信息的小型程序）的審核問題。根據他們的網站，Poly Network 總共 "跨越" 了11個區塊鏈。當然這是非常厲害的技術，但他們的風控和安全維護水平沒趕上他們的跨鏈技術。私鑰是件大事。一般來說，在每個階段，都應該有驗證或確認的交互系統。"

Tether CTO：已凍結PolyNetwork盜幣案中3300萬美金的USDT:Tether CTO Paolo Ardoino表示，已凍結PolyNetwork盜幣案中3300萬美金的USDT。

此前消息，跨鏈互操作協議Poly Network官方今日夜間在推特上表示，BSC、以太坊、Polygon鏈上資產均被攻擊，并確認了黑客地址。官方呼吁受影響鏈上的礦工與各大交易所阻止來自黑客地址的代幣交易。并表示將采取法律行動，并敦促黑客歸還資產。據統計，共計超6億美元資產被轉至三個地址。[2021/8/10 1:47:00]

為了挽救其聲譽，Poly Network 甚至在推特上發布了一封信件與黑客隔空對話："親愛的黑客（……）我們想與你取得聯系，并敦促你歸還你所入侵的資產。任何國家的當局都會把你的不當行為視為重大經濟犯罪，你將被起訴。(……) 你應該和我們談談，并嘗試找到一個解決方案。"

PolkaWorld聯合發起人：波卡生態發展框架有非常好的頂層設計:金色財經年度巨獻洞見財富密碼2021投資策略會持續進行中，本期PolkaWorld聯合發起人龐曉杰《波卡生態現狀與展望》的精華看點如下：整個波卡生態發展的框架有非常好的頂層設計。首先是Substrate開發框架這樣的開發工具，可以讓開發者很快的基于自己的業務邏輯進行區塊鏈的開發，Substrate給波卡生態的發展提供了基礎的工具；然后是Web3基金會會的 grant項目，是波卡生態發展的加速器，通過資助的形式，使得波卡生態迅速壯大；除了Substrate和grant，波卡鏈本本身的 NPoS 機制，吸引社區加入生態成為驗證人、提名人保護網絡安全，還有波卡的國庫設計，激勵社區不斷為波卡發展做出貢獻。[2020/12/31 16:07:18]

這是一個經典的策略。通常情況下，項目方出事后都會第一時間呼吁活躍的社區用戶來識別地址，并追蹤資金，以阻止資金的流通。由于一切都在區塊鏈上被追蹤，而社區用戶往往與項目方有直接的利益相關性，所以會自愿自發的進行這些追蹤行動，項目方相當于免費雇傭了一大批“私人偵探”。這就像區塊鏈上的壞地址的黑名單，雖然簡單，但該方法實際上是非常有效的。唯一的問題是，黑客經常會讓作案錢包進入“冬眠”狀態，一直到風波浪潮過去。

在Twitter上，Poly Network 就直接公布了黑客使用的地址，并呼吁加密貨幣錢包的持有人將其列入 "黑名單"。

該方法也在美國運營商 Colonial Pipeline 被黑的案件中得到了嘗試和檢驗，該公司被要求支付贖金來恢復它的計算機系統。但在支付給黑客的440萬美元贖金中，美國當局表示，他們僅僅通過追蹤這些以加密貨幣支付的資金在區塊鏈上的流動，就收回了一半以上的贖金（約230萬美元）。

雖然 Poly Network 項目和許多新的初創公司一樣，正在為欣欣向榮的 Defi 生態添磚加瓦。但并不太代表著安全問題可以被忽略掉。區塊鏈是安全的，但顯然基于區塊鏈的智能合約卻并非如此。

所以自官方公布被盜之后，無論是項目方還是安全機構、幣圈各方力量以及每個幣圈人都在時刻關注Poly Network事件的最新進展，并盡全力協助凍結追回資金。

被攻擊的當天，8 月 10 號 中午12時，黑客竟公開表示將要歸還所有資產，其通過鏈上交易備注表示準備歸還盜取的資產，但因為無法聯系Poly Network項目方，希望Poly Network提供一個多簽錢包。黑客還稱“獲取這么多財富已經是一個傳奇，而拯救世界更是永恒的傳奇，我做出了決定，不再使用DAO。”

看起來似乎是黑客“回心轉意”，但實際上僅僅是一次“風險大于作惡收益”的權衡。在攻擊發生之后的三小時內，慢霧安全團隊就表示，通過鏈上及鏈下追蹤已關聯發現攻擊者的郵箱、IP及設備指紋等信息，正在追蹤Poly Network攻擊者相關的可能身份線索。并確認這很可能是一次蓄謀已久的、有組織有準備的攻擊行為。

隨后鏈上陸續記錄了黑客的還款動作。

據PeckShield追蹤的數據顯示，攻擊Poly Network的黑客在 BSC上于區塊 9939700 歸還近 1.2億枚 BUSD。比推此前報道，周二，去中心化金融 (DeFi) 項目 Poly Network 被黑客盜取超過 6 億美元的數字資產。這次攻擊是迄今為止最大的 DeFi 黑客攻擊，超過了 2021 年所有 DeFi 黑客攻擊的總和。美東時間周三早上，該公司發布推文稱，已收到黑客返還的總價值為 4,772,297.675 美元的資產，包括ETH地址：2,654,946.051 美元；BSC 地址：1,107,870.815 美元；Polygon 地址：1,009,480.809美元。

盡管資金已經得到歸還，但一次黑客攻擊便可轉移 6 億美元資產的負面新聞，可能又再次對 Defi 的發展打上了不可逆轉的陰影。

《比推》此前報道，根據CipherTrace數據，到4月底，加密貨幣盜竊、黑客攻擊和欺詐的總金額已經達到 4.32 億美元。該公司在報告中寫道，“與過去幾年相比，這個數字似乎很小，但如果我們更仔細地去了解這個數據，一個糟糕的趨勢正在形成：去中心化金融（Defi）領域的黑客現在占到黑客和盜竊總量的 60 %以上。”

據 Chainalysis 在 2 月份發布的另一份報告指出，2020年用于非法目的的加密貨幣交易達到100億美元，僅占去年加密貨幣活動總量的1%，是前年同期的 50 %。

作者：Chen Zou

Tags：POLOLYPOLYWORPolkastarterHolyDogePolychartSkey Network

AAVE