Poly Network 黑客暴露了 DeFi 缺陷，但社区前来救援

据悉，尽管似乎加密黑客正在减少，但就在最近，市场见证了去中心化金融（DeFi）年轻历史上有史以来最大的攻击之一，其中一名未知黑客能够利用跨链漏洞协议PolyNetwork的数字框架，从而从三个独立的区块链中带走了6.1亿美元。

PolyNetwork是一个由Ontology、Neo和Switcheo主导的合作项目。它寻求建立一个“异构互操作性协议联盟”，将区块链整合到更大的跨链生态系统中。由于其基础设施，该协议允许用户在不同的区块链之间无缝交换代币。

PolyNetwork的核心开发团队进一步详细说明了开发过程，透露该攻击导致来自Ethereum的大约2.73亿美元、来自Polygon网络的8500万美元美元硬币(USDC)以及来自BinanceSmartChain的2.53亿美元被入侵。此外，作为漏洞利用的一部分，大量renBTC、包裹比特币(wBTC)和包裹以太币(wETH)也丢失了。

关于黑客是如何发生的，DeFi聚合器1inchNetwork的联合创始人AntonBukov告诉Cointelegraph，PolyNetwork的子系统之一——旨在能够在不同区块链之间转发用户的智能合约交互——结果证明是错误，补充：“黑客在一条链上桥接虚假交易交互，使系统在另一条链上签约，将资产金库的所有权转移给黑客的公钥。PolyNetwork的开发人员和审计人员没有注意到该漏洞，允许通过具有许多权限的智能合约进行多个任意用户调用。”

戴上白帽子

CipherTrace的首席财务分析师JohnJefferies提供了他对此事的看法，他告诉Cointelegraph，与过去的任何DeFi黑客攻击相比，这次事件特别有趣，过去的任何DeFi黑客攻击通常使用一种形式的闪电贷款和套利来利用智能合约和窃取资金，并补充说：“黑客基本上发现了一个漏洞，允许他绕过私钥并让合同将资金发送给自己。在黑客为了混淆他们的踪迹所做的所有交换中，黑客似乎曾经重复使用了一个钱包，该钱包之前已经与一些知名交易所进行过交易，这些交易所可以识别他的KYC信息。”

此外，Jefferies并不完全相信黑客的意图，即使所有被盗资金现在都回到了它们所属的地方。“如果他们一直打算退还资金，那么白帽子不太可能采取措施试图混淆资金轨迹，”他认为。

在一次奇怪但有趣的事件中，在违规后不久，PolyNetwork黑客使用以太坊交易中的嵌入式消息进行了“AskMeAnything”式的自我采访。当被问及为什么选择PolyNetwork作为目标时，黑客回答“跨链黑客攻击很热门”，并补充说他们花了大量时间试图识别网络上的漏洞以进行利用。

不仅如此，黑客还声称，该计划永远不会保留这6.1亿美元，而是在PolyNetwork的开发人员秘密修复漏洞之前将漏洞暴露给大众。“我想向他们[PolyNetwork]提供有关如何保护其网络的提示，以便他们将来有资格管理10亿[美元]的项目。”他继续补充说：“当发现错误时，我的心情很复杂。问问自己，如果你面对这样的财富，你会怎么做。礼貌地询问项目团队，以便他们解决问题？任何人都可能成为10亿的叛徒。我不能相信任何人！我能想出的唯一解决方案是将其保存在受信任的帐户中。”

资金回来了

PolyNetwork周四发表声明，宣布所有6.1亿美元的资金已与黑客一起转移到其权限范围内的多重签名钱包中。唯一剩余的代币包括价值3300万美元的Tether（USDT），在袭击消息传出后立即被冻结。

PolyNetwork黑客首先将大部分被盗资金返还给跨链DeFi协议。事实上，在事件发生一天多一点后，CipherTrace确认至少2.65亿美元已以100万美元的USDC形式退还给PolyNetwork；2.562亿美元，主要通过比特币BEP-2(BTCB)、币安挂钩以太币和币安美元(BUSD)；263.7万美元的币安币(BNB)；以及ShibaInu(SHIB)、renBTC和Fei的340万美元。

从一开始，攻击者就声称愿意归还全部被盗资金——这一承诺是在上周四兑现的——声称其目的是向Poly上一堂关于其安全漏洞的昂贵课程。

然而，区块链分析公司Elliptic的首席科学家TomRobinson认为，改变主意可能是由于黑客发现洗钱/兑现被盗资产极其困难，因为它是透明的。区块链。

基于以太坊的数据隐私协议HOPR的创始人SebastianBürgel告诉Cointelegraph，虽然盗窃从来都不是一件好事，但他认为DeFi社区能够走到一起令人印象深刻——从Tether冻结价值3300万美元的USDT到OKEx和币安在监控被抽走的资金方面伸出援助之手——以防止黑客提取或交换任何涉及的资产，并补充说：“希望这将鼓励人们更加关注安全和审计。DeFi的热情具有感染力，但重要的是要记住，这存在巨大的风险。快速行动的愿望不能胜过安全。”

“不，谢谢你，”说，“先生。白帽”

在确定黑客完全清白的动机后，保利网络的一位发言人表示，该公司愿意提供个人——公司称其为“先生”。白帽子”-通过一个消息$500,000奖金读，‘我们会向您发送50万赏金的时候，但冷冻USDT返回剩余资金’。

令人惊讶的是，黑客礼貌地拒绝了，称他从未回应过这个提议。“我会把他们所有的钱都退还，”他说，然后签字。

随着所有资金都到位——除了前面提到的冻结的USDT——似乎去中心化金融历史上最大的黑客攻击终于结束了。尽管黑客的身份仍然是个谜，但中国网络安全公司慢雾最近发布了一个更新，声称其安全团队已经能够识别攻击者的电子邮件地址、IP地址和设备指纹。

希望这一集能够严肃地提醒人们，在奠定任何项目的基础时，无论其技术命题如何，安全性始终是最重要的。因此，看看在DeFi中运营的初创公司和其他公司如何继续发展和升级他们现有的安全设置将会很有趣，因为下一次，黑客可能不愿意退还钱。