速覽DeFi史上最大盜竊案:復盤Poly Network 6億美元盜幣過程
8 月 10 日,跨鏈協議 Poly Network 確認被盜,使用該協議的 O3 Swap 損失慘重,在以太坊、幣安智能鏈、Polygon 三條網絡上的資產幾乎被洗劫一空。據瀏覽器顯示,在 34 分鐘內,黑客帶走了 3.02 億枚 USDT、5.5 萬枚 ETH、2000 枚比特幣等等若干類資產,總價值 6.1 億美金。
要知道,2020 年全年 DeFi 攻擊事件共發生 60 余起,損失總和約為 2.5 億美金,Poly Network 一場攻擊就超過了 2020 年整年 2 倍有余。
這個量級的被盜規模,位列 DeFi 歷史之首。
攻擊啟動
1、8 月 10 日晚上 8 點 38 分,跨鏈互操作協議 Poly Network 稱遭到攻擊(跨鏈聚合協議 O3 基于 Poly Network 構建,也牽連其中 ),共計超 6.1 億美元轉出至 3 個地址。其中,轉出至 0x0D6e2 開頭幣安智能鏈地址的資金有超 2.5 億美元,轉至 0xC8a65 開頭的以太坊地址有超 2.7 億美元,轉至 Polygon 地址的有超 8500 萬美元。
其中:
BSC 資產:6613 枚 BNB、87,603,671 枚 USDC、26,629 枚 ETH、1,023 枚 BTCB、32,107,854 枚 BUSD
Polygon 資產:85,089,719 枚 USDC
以太坊資產:96,389,444 枚 USDC、1,032 枚 WBTC、673,227 枚 DAI、43,023 枚 UNI、14 枚 renBTC、33,431,197 枚 USDT、26,109 枚 WETH、616,082 枚 FEI
2、9 點 44 分,Tether 首席技術官 Paolo Ardoino 發推稱,Tether 已經凍結攻擊 Poly Network 的黑客地址 3300 萬 USDT。
外界不解的是,幣安與 Circle 沒有凍結 BUSD 與 USDC,這也直接導致后續 1.2 億美金的穩定幣被轉出。CZ 回應沒有人能控制 BSC,Circle 對此沒有回應。
幣安 CEO 趙長鵬表示,我們都知道的 PolyNetwork 盜幣案今天發生。雖然沒有人控制 BSC (或 ETH),但我們正在與所有安全合作伙伴進行協調,以主動提供幫助。無法給出任何,但我們將盡我們所能。
3、9 點 56 分,涉事以太坊地址開頭 0xC8a65 開始嘗試將資金存入 Curve.fi 洗錢,開始的幾筆交易嘗試由于 USDT 被凍結導致交易失敗,隨后便只存入 DAI 和 USDC,共存入近 一億的穩定幣(包括 673,227 枚 DAI、96,389,444 枚 USDC)。
4、10 點 03 分,涉事幣安智能鏈地址開頭 0x0d6e2 又將近 1.2 億美元的穩定幣(包括 32,107,854 枚 BUSD 和 87,603,672 枚 USDC)轉入 Curve 分叉項目 Ellipsis Finance。
5、10 點 27 分,涉事以太坊地址開頭 0xC8a65 將此前存入穩定幣獲得的 3Crv LP 份額再次兌換為約 96,942,061 枚 DAI。
雙方溝通
11 日凌晨,Poly Network 發出對黑客的信,表示我們希望與你建立聯系,并希望你歸還被盜的資產。你盜取的金額在 DeFi 歷史上是最大的一次,任何國家的法律都會把它視為一次重要的經濟犯罪,你會遭到追捕。再進行任何的交易(轉移)對你來說是不明智的。你盜取的資金是成千上萬社區成員的財產。你應該與我們對話尋求一個解決方案。
隨后黑客回應:如果我轉移了剩余的幣,那將是十億美金級別,我難道不是拯救了這個項目?我對金錢不太感興趣,現在考慮歸還一些 Token,或者將它們留在此處;如果我制作一個新的代幣并讓 DAO 決定代幣的去向會怎樣。
截止到 8 月 11 日上午 9 點 40 分,仍沒有最新的進展。
黑客的真人秀
6 億美金的損失讓策劃這起歷史罕見攻擊事件的黑客成為了絕對焦點,而黑客也似乎很享受成為焦點的感覺,三條網絡留下痕跡的三個攻擊地址,成了他與全世界的直播頻道。
因為 6.1 億美金的金額實在太引人注目,事發后各大平臺和中心化資產方積極響應,試圖阻止黑客利用平臺特性將贓款轉移。為此,在鏈上轉賬留言里,黑客向全世界詢問如何使用以太坊上的匿名轉賬平臺 Tornado.cash 進行混幣。
試想能夠在 34 分鐘盜走 6 億美金的黑客,會連混幣如何使用都不知道么?匿名轉賬這類知識黑客必定爛熟于心,慢霧在分析攻擊時就說過黑客的初始資金來自匿名鼻祖門羅幣。
顯然,黑客是在演戲,狂妄的黑客在利用這個頻道營銷自己。
隨后的兩條轉賬留言說明了一切,黑客用挑釁的語氣,先表示「自己沒有全部帶走協議里的資產已經是手下留情」,隨后又要「發起一個 DAO 組織去決定這些資產的去向」。
黑客并不是唱獨角戲,無數看客在轉賬記錄中留言,希望黑客能分一點贓款。其實每次黑客攻擊后,暴露的地址都會有類似信息,但畢竟這是 6 億美金的歷史級別攻擊,無數無眠的受害者與冷淡的看客,這也是另一片「黑暗森林」。
追回資金,還有希望嗎?
撇開種種鬧劇,事件既已發生,各方最為關心的事情莫過于能否成功追回資產。
結合此前 DeFi 世界內曾發生過的多起安全事件來看,追贓并非毫無可能,比如去年的 dForce 及 EMD 事件,最終都成功追回了失竊資金。整體來看,此類事件基本上都有一個共同點——通過追蹤,黑客在現實世界的身份暴露,面臨著來自項目方及受損用戶的起訴和追責,而最終選擇主動歸還資金。
過往案例告訴我們,盡管 DeFi 在交互層面上已實現了去中心化,但一個個受法律保護及約束的人類才是參與 DeFi 的主體,因此 DeFi 也絕不是什么無法之地,在鏈上資產意外遭遇損失時,鏈下的法律是最有效的解決措施。
目前較好的一個消息是,慢霧安全團隊已通過鏈上及鏈下追蹤已關聯發現攻擊者的郵箱、IP 及設備指紋等信息,正在追蹤 Poly Network 攻擊者相關的可能身份線索。通過慢霧合作伙伴虎符(Hoo)及多家交易所的技術支持下,慢霧安全團隊梳理發現,黑客初始的資金來源是門羅幣(XMR),然后在交易所里換成了 BNB/ETH/MATIC 等幣種并分別提幣到 3 個地址,不久后在 3 條鏈上發動攻擊。
黑客也在 8 月 11 日 00:39 通過一筆交易公開表示有意歸還部分資金。與此同時,黑客還提出了一個新的可能,即利用這筆資金發行一個全新代幣,并通過 DAO 的形式進行運作。
不過,慢霧提到的關鍵合作伙伴虎符(Hoo)隨后在社群內進一步回應稱,黑客只是在虎符注冊了一個沒有 KYC 的賬號,并轉出了少量 ETH 作為 gas 費用,并沒有資金流入虎符。最為關鍵的是 ,黑客在虎符的賬戶并沒有實名認證,所以能否通過其他信息(慢霧提到的郵箱、IP 等等)成功定位黑客身份暫時仍無法確定。
稍早前,Poly Network 官方再次通過公開信的形式向黑客喊話,強調數億美元的資金在任何司法轄區都會是特大案件,希望借此向黑客施壓,獲得與黑客溝通的機會。但截至發文,Poly Network 仍沒有披露其他任何實質性的進展。
隨著多鏈格局的日漸穩固,跨鏈橋作為不同生態之間流動性往來的渠道,其所承擔的價值正快速膨脹。從前不久的 Chainswap、Anyswap,再到今天的 Poly Network,這一賽道已成為了黑客眼中的“香饃饃”,安全形勢日趨嚴峻,項目方、審計公司、用戶均需提高警惕。
Poly Network 事件仍在持續發展中,后續的任何進展,還請大家保持關注。
