臺北時間8月10日晚10點間,加密資產跨鏈充提協議Poly Network被黑客襲擊。
其資金池被洗劫一空,累計被盜走了高達6.1億美元的加密資產,這一數字創造了整個加密貨幣歷史上最大的被盜金額,
圖:黑客在ETH主網上盜取價值超1.9億美元穩定幣的提款記錄
Poly Network被襲擊后,許多加密領域的安全公司都對黑客盜取資金所利用的漏洞展開了調查。
8月11日上午,慢霧安全團隊分析指出:
被攻擊的漏洞在于“EthCrossChainData ”合約的keeper(驗證節點)可以由“ EthCross Chain Manager ”合約進行修改。
而與此同時,“EthCrossChainManager” 合約的“verify HeaderAndExecuteTx”函數可以通過 “_execute CrossChainTx ”函數執行用戶傳入的數據,
因此黑客通過此函數傳入了精心構造的數據,將“EthCrossChainData” 合約的keeper修改為了黑客指定的地址,
通俗來說,黑客攻擊的方法是在A公鏈上發起了一筆跨鏈交易,其內容是調用B公鏈上的跨鏈合約中更新keeper的功能,將keeper替換為黑客所掌握的地址,
由于不同類型的跨鏈交易的驗證是通用的, 原先的keeper并不審核交易的具體內容,所以黑客的這筆交易被多個keeper確認并同步到B公鏈上。
B公鏈的跨鏈合約代理執行該請求,執行后驗證跨鏈交易的keeper就被更新為黑客所掌握的地址了。
隨后,擁有keeper的黑客便可以隨意支配跨鏈合約資金池中的資產。
臺北時間8月11日凌晨,Poly Network開發者團隊在推特上確認了攻擊事件,并公布了黑客的錢包地址,
隨后,開發者呼吁相關公鏈的礦工和各中心化交易所提供援助、凍結黑客盜取的資產,并聲稱將采取法律行動來敦促黑客還款。
圖:Poly Network開發者團隊的聲明和公開信
在Poly Network開發者團隊發聲后,許多團隊都進行了相關工作,
一方面,各KOL和社區團隊利用其公眾影響力,在社交平臺上公開向黑客喊話、聲討和規勸,
另一方面,許多安全公司開始追蹤黑客的線下資訊,例如慢霧安全團隊通過鏈上及鏈下追蹤關聯發現黑客的信箱、IP及設備指紋等資訊,
此外,穩定幣發行公司Tether宣布凍結了黑客盜取的3300萬USDT。
最終在各方勢力的壓力下,黑客放棄了對所盜取資產的支配權,并將其逐步地退還給了Poly Network開發者團隊,
根據Poly Network開發者團隊在推特上公布的資訊,截止到8月19日,黑客已經退還了價值約4.27億美元的加密資產。
圖:Poly Network開發者團隊的公告
通過此次Poly Network的例子我們可以看到,當DeFi項目發生風險時,社區和開發團隊的積極性和力量顯得尤為重要。
在確認資金被盜后,開發團隊利用社交平臺即時公布相關資訊,社區也發動力量呼吁礦工、交易所和Tether公司采取行動,
同時,各安全公司也在積極尋找黑客的蛛絲馬跡,并與其進行談判,
最終,在沒有真正利用現實社會中的法律武器的情況下,黑客同意退還所盜取的資產,成功實現了用加密世界的方式解決危機,
這一事件同樣對DAO有著深刻意義,
DAO英文全稱是Decentralized Autonomous Organization ,即去中心化自治組織,
有了此次Poly Network事件的經驗,未來DAO一定會在DeFi項目中發揮更關鍵的作用,在項目日常運行中,DAO可以決定是否接受一項新的提議,從而影響項目的發展軌跡,
在面對危機時,DAO代表了大部分持幣者的利益,積極與外界進行溝通,維護整個項目的穩健發展,
投資有風險,本文觀點和意見僅代表作者本人,并不構成任何建議,
