8月10日晚間，跨鏈去中心化金融平臺(tái)Poly Network宣布遭黑客攻擊，短短34分鐘，價(jià)值超6.1億美元(約合人民幣40億元)的虛擬貨幣被洗劫一空。

一場(chǎng)數(shù)十億元的黑客攻擊，一邊是漏洞頻出的交易平臺(tái)，一邊是無數(shù)受害的用戶。漩渦之中，此次事件不過是虛擬貨幣交易亂象中的一個(gè)縮影。

8月12日午間，Poly Network平臺(tái)在社交媒體宣布，黑客已經(jīng)歸還竊取資金2.6億美元(約合人民幣17億元)，還有3.53億美元沒有償還。

34分鐘盜走近40億元虛擬貨幣

8月10日，Poly Network平臺(tái)遭遇黑客攻擊，在以太坊、幣安智能鏈、Polygon三條網(wǎng)絡(luò)上的資產(chǎn)幾乎遭洗劫，造成包括以太坊、比特幣在內(nèi)共計(jì)價(jià)值超6.1億美元的虛擬貨幣被盜。

攻擊最早發(fā)生于8月10日17:55，黑客在以太坊網(wǎng)絡(luò)陸續(xù)從Poly Network智能合約轉(zhuǎn)移了9638萬個(gè)USDC、1032個(gè)WBTC等資產(chǎn)。18:04起，黑客在Polygon網(wǎng)絡(luò)從智能合約轉(zhuǎn)移了8508萬USDC。18:08起，黑客在幣安智能鏈從該項(xiàng)目智能合約轉(zhuǎn)移了8760萬個(gè)USDC、26629個(gè)ETH等資產(chǎn)。

據(jù)統(tǒng)計(jì)，在短短34分鐘的時(shí)間里，Poly Network各類資產(chǎn)代理合約一共向黑客地址發(fā)起17筆轉(zhuǎn)賬，從以太坊、幣安智能鏈、Polygon網(wǎng)路中帶走了價(jià)值6.1億美元代幣。

據(jù)成都鏈安技術(shù)團(tuán)隊(duì)分析，本次攻擊事件發(fā)生的主要原因是合約權(quán)限的管理邏輯存在漏洞，惡意用戶可以通過精心構(gòu)造數(shù)據(jù)異常調(diào)用部分函數(shù)，即攻擊者利用合約中存在的邏輯缺陷，通過該合約調(diào)用合約中的相應(yīng)函數(shù)更改用戶名為自有地址，然后使用該地址對(duì)提取代幣的交易進(jìn)行簽名，從而將合約中的大量代幣套取出來。

有業(yè)內(nèi)人士表示，這可能是迄今為止全球虛擬貨幣史上最大規(guī)模的盜竊案，損失超過了Mt.Gox事件(744408枚比特幣被盜，當(dāng)時(shí)總價(jià)值約4億美元)以及2018年的Coincheck案(5.23億枚XEM被盜，當(dāng)時(shí)總價(jià)值約5.34億美元)。

DeFi(即跨鏈互操作協(xié)議，是一種去中心化金融協(xié)議，在幣安智能鏈、以太坊和Polygon區(qū)塊鏈上運(yùn)行，可用于流動(dòng)性挖礦)已成為黑客攻擊重災(zāi)區(qū)。加密貨幣情報(bào)公司CipherTrace的數(shù)據(jù)顯示，從今年年初到7月，與DeFi相關(guān)的黑客攻擊造成的損失總計(jì)達(dá)到3.61億美元，比2020年全年高出近3倍。

黑客上演盜幣直播

事件發(fā)生后，Poly Network的官方賬號(hào)第一時(shí)間發(fā)布了遭攻擊聲明，并呼吁礦工和虛擬貨幣交易平臺(tái)將黑客地址的代幣列入黑名單。與此同時(shí)，他們還稱將采取法律手段，敦促黑客盡快歸還被盜資產(chǎn)。

事發(fā)后，各大平臺(tái)和資產(chǎn)方積極響應(yīng)，試圖阻止黑客將贓款轉(zhuǎn)移。

幣安CEO趙長(zhǎng)鵬隨后在社交媒體上稱：“已獲悉Poly Network發(fā)生的黑客事件，雖然沒有人能夠控制幣安智能鏈和以太坊，但我們正在與所有安全合作伙伴進(jìn)行協(xié)調(diào)，以盡其所能提供幫助?！?/p>

泰達(dá)幣的發(fā)行方Tether也快速響應(yīng)，直接凍結(jié)黑客以太坊地址中的3300萬泰達(dá)幣。

然而，狂妄猖獗的黑客，直接給全世界上演了一場(chǎng)“盜幣直播”。

在8月10日晚的鏈上轉(zhuǎn)賬留言里，黑客更是挑釁稱：“自己沒有全部帶走協(xié)議里的資產(chǎn)已經(jīng)是手下留情?！?/p>

8月12日凌晨，PolyNetwork黑客還在區(qū)塊鏈上發(fā)布了“自問自答”。對(duì)于為什么攻擊交易平臺(tái)這一問題，他表示：“為了好玩。Poly Network是一個(gè)不錯(cuò)的系統(tǒng)，是黑客可以享受的最具挑戰(zhàn)性的攻擊之一。我必須快速擊敗任何內(nèi)部人員或黑客，我把它當(dāng)作獎(jiǎng)勵(lì)挑戰(zhàn)?！?/p>

對(duì)于為什么退還部分虛擬貨幣的問題，他表示：“我對(duì)金錢不是很感興趣！我知道人們受到攻擊時(shí)會(huì)很痛苦，但他們不應(yīng)該從這些黑客中學(xué)到一些東西嗎？”

交易平臺(tái)遇攻擊 用戶自擔(dān)風(fēng)險(xiǎn)

失竊金額如此之大，受害者數(shù)量不在少數(shù)。目前，受此次被盜事件影響的主要群體，是通過跨鏈聚合器O3 Swap進(jìn)行挖礦的用戶。那么，這些用戶能成功追回資產(chǎn)嗎？

鏈法律師團(tuán)隊(duì)負(fù)責(zé)人郭亞濤對(duì)中證君表示，結(jié)合實(shí)踐來看，因智能合約漏洞加之黑客攻擊導(dǎo)致用戶損失的，在現(xiàn)有法律框架下，普通投資者幾乎無法得到法律救濟(jì)。

區(qū)塊鏈安全公司安比實(shí)驗(yàn)室的郭宇表示，從安全角度來說，當(dāng)一個(gè)系統(tǒng)足夠復(fù)雜又承載了大量資金時(shí)，一定會(huì)有黑客盯上，嘗試攻擊獲利。虛擬貨幣交易平臺(tái)對(duì)于黑客而言就是一個(gè)充滿吸引力的金庫，而復(fù)雜的黑盒系統(tǒng)很難做到不可攻破。

今年以來，監(jiān)管部門對(duì)于虛擬貨幣交易和挖礦的清理整治大幕已拉開。投資者需應(yīng)理性看待虛擬貨幣投資，樹立正確的投資理念，切實(shí)提高風(fēng)險(xiǎn)意識(shí)。