北京時間8月10日晚10點間,加密資產跨鏈充提協議Poly Network被黑客襲擊。
其資金池被洗劫一空,累計被盜走了高達6.1億美元的加密資產。這一數字創造了整個加密貨幣歷史上最大的被盜金額。
圖:黑客在ETH主網上盜取價值超1.9億美元穩定幣的提款記錄
Poly Network被襲擊後,許多加密領域的安全公司都對黑客盜取資金所利用的漏洞展開了調查。
8月11日上午,慢霧安全團隊分析指出:
被攻擊的漏洞在於「EthCrossChainData 」合約的keeper(驗證節點)可以由「 EthCross Chain Manager 」合約進行修改。
而與此同時,「EthCrossChainManager」 合約的「verify HeaderAndExecuteTx」函數可以通過 「_execute CrossChainTx 」函數執行用戶傳入的數據。
因此黑客通過此函數傳入了精心構造的數據,將「EthCrossChainData」 合約的keeper修改為了黑客指定的地址。
通俗來說,黑客攻擊的方法是在A公鏈上發起了一筆跨鏈交易,其內容是調用B公鏈上的跨鏈合約中更新keeper的功能,將keeper替換為黑客所掌握的地址。
由於不同類型的跨鏈交易的驗證是通用的, 原先的keeper並不審核交易的具體內容,所以黑客的這筆交易被多個keeper確認並同步到B公鏈上。
B公鏈的跨鏈合約代理執行該請求,執行後驗證跨鏈交易的keeper就被更新為黑客所掌握的地址了。
隨後,擁有keeper的黑客便可以隨意支配跨鏈合約資金池中的資產。
北京時間8月11日凌晨,Poly Network開發者團隊在推特上確認了攻擊事件,並公布了黑客的錢包地址。
隨後,開發者呼籲相關公鏈的礦工和各中心化交易所提供援助、凍結黑客盜取的資產,並聲稱將採取法律行動來敦促黑客還款。
圖:Poly Network開發者團隊的聲明和公開信
在Poly Network開發者團隊發聲後,許多團隊都進行了相關工作。
一方面,各KOL和社區團隊利用其公眾影響力,在社交平台上公開向黑客喊話、聲討和規勸。
另一方面,許多安全公司開始追蹤黑客的線下信息,例如慢霧安全團隊通過鏈上及鏈下追蹤關聯發現黑客的郵箱、IP及設備指紋等信息。
此外,穩定幣發行公司Tether宣布凍結了黑客盜取的3300萬USDT。
最終在各方勢力的壓力下,黑客放棄了對所盜取資產的支配權,並將其逐步地退還給了Poly Network開發者團隊。
根據Poly Network開發者團隊在推特上公布的信息,截止到8月19日,黑客已經退還了價值約4.27億美元的加密資產。
圖:Poly Network開發者團隊的公告
通過此次Poly Network的例子我們可以看到,當DeFi項目發生風險時,社區和開發團隊的積極性和力量顯得尤為重要。
在確認資金被盜後,開發團隊利用社交平台即時公布相關信息,社區也發動力量呼籲礦工、交易所和Tether公司採取行動。
同時,各安全公司也在積極尋找黑客的蛛絲馬跡,並與其進行談判。
最終,在沒有真正利用現實社會中的法律武器的情況下,黑客同意退還所盜取的資產,成功實現了用加密世界的方式解決危機。
這一事件同樣對DAO有著深刻意義。
DAO英文全稱是Decentralized Autonomous Organization ,即去中心化自治組織。
有了此次Poly Network事件的經驗,未來DAO一定會在DeFi項目中發揮更關鍵的作用。在項目日常運行中,DAO可以決定是否接受一項新的提議,從而影響項目的發展軌跡。
在面對危機時,DAO代表了大部分持幣者的利益,積極與外界進行溝通,維護整個項目的穩健發展。
投資有風險,本文觀點和意見僅代表作者本人,並不構成任何建議。
冷萃財經原創,作者:Awing,轉載請註明出處:https://www.lccjd.top/2021/08/27/%e7%94%b1poly-network%e4%ba%8b%e4%bb%b6%e5%8f%af%e4%bb%a5%e7%9c%8b%e5%87%badao%e5%af%b9defi%e9%a1%b9%e7%9b%ae%e8%b5%b7%e7%9d%80%e6%80%8e%e6%a0%b7%e7%9a%84%e4%bd%9c%e7%94%a8%ef%bc%9f/?variant=zh-tw
支付寶掃一掃打賞
文章評論