DeFi 史上最大盗窃案:一个漏洞盗走价值 6 亿美元资产?现已归还近一半

百家 作者:程序人生 2021-08-12 20:59:00

作者 | Carol

出品 | CSDN(ID:CSDNnews)

周二,一家区块链网站Poly Network发布公告表示,黑客利用了其系统中的一个漏洞盗走数千枚数字代币。其中包括以太坊等,总价值约6亿美元。

在要求与黑客取得联系并敦促他们“归还被攻击的资产”后,本周三,黑客返还了他们盗取的近一半资金。

据悉,黑客向Poly Network发送了一条嵌入加密货币交易的信息,称他们“准备归还”资金。DeFi平台对此回应称,要求将钱发送到三个加密地址。

截止周三上午,有480多万美元被返还到Poly Network。

Poly Network是用于与去中心化交易所(DEX)交易的跨链操作协议,可以用于借贷和提供基于稳定币的服务,集成了比特币、以太坊BSC、Ontology、Elrond、Ziliqa等代币。据悉,这是Poly Nerwork成立以来受到的最严重的攻击,也是历史上最大的去中心化金融安全漏洞。 

事件发生后,Poly Network通过推特发表了一系列推文表示“我们很遗憾地宣布#PolyNetwork 遭到攻击”。据行业安全公司慢雾的研究人员表示,黑客盗窃后有总共价值超过6.1亿美元的资产被转移到了Polygon、以太坊和币安智能链(BSC)这三个不同的地址上。

Poly Network被盗后连发推文公告


黑客得手后迅速将资金转移

 

根据目前统计,此次黑客盗窃事件的被盗资产包括Binance Smart Chain上的价值2.53亿美元的代币、以太坊上价值2.66亿美元的代币及Polygon上价值8500万美元的USDC。

这次攻击发生在一个和O3 Labs建立的客户操作的区块链不可交易池中,有网友质疑,该事件是否因为管理员操作不当所造成?对此,Poly Network表示:“经过初步调查,我们找出了漏洞所在,黑客利用了智能合约调用之间的漏洞,并非像外界传闻一样由单个管理员造成的。”

同时,Poly Network也呼吁矿商、加密交易所等机构配合,将这些被盗取的资金列入黑名单,包括WBTC、WETH、RenBTC、DAI、UNI、SHIB、FEI、USDC、USDT等。

随后,币安交易所CEO赵长鹏、Tether CTO Paolo Ardoino、OKEX CEO Jay Hao纷纷转发推特表示知晓此事并积极配合采取措施,但正如赵长鹏所言:“我们正在与所有安全合作伙伴协调,积极提供帮助,但不能完全保证结果。”

果不其然,在Poly Network官方宣布黑客入侵的一小时后,黑客就试图用Curve和其他DeFi协议“清洗”这部分赃款,但由于其资产已经被交易所拉进黑名单,导致其中一部分交易失败了。

但事情的发展却有点不受控制。在黑客继续尝试了大约半小时后,一位匿名用户通过交易消息告知黑客不要使用USDT,因为已经被拉入黑名单了,并建议黑客尝试不要使用Tether的情况下存储盗取的代币,黑客也相信了该用户,并成功地将所有资金存入了Curve。随后,黑客向该用户发送了13.37枚以太币作为奖励,价值42000美元。这个操作一出现,更是让许多网友纷纷效仿,试图通过帮助黑客来获得奖励。

帮助黑客成功存储赃款的匿名用户收到了13.37枚以太币

 

官方给黑客的一封信


这样一来,Poly Network官方更是坐不住了。一边紧急寻求安全合作伙伴和交易所的帮助,一边还要忙着想办法与黑客联系。

被盗约10小时后,Poly Network再次通过推特发布了给黑客的一封信,表示将采取法律行动,敦促黑客归还被盗的资产或与其建立沟通。该信具体内容如下:

“亲爱的黑客,我们是Poly Network团队。我们希望能与你建立沟通,同时,也敦促您归还盗取的资产。您盗窃的是该领域有史以来最大的金额,任何国家的执法部门都会认定这是重大的经济犯罪。你们再继续做交易是很不明智的。你偷的钱来自成千上万的加密社区成员。你应该跟我们谈谈谈,想个解决的办法。Poly Network团队,contact@poly.network”


在这封信发出后,Poly Network检索到了黑客的部分DeFi通证,不久之后,安全公司慢雾也发布了一份报告称他们已经识别了攻击者的邮箱、IP和设备指纹。

通过在合作伙伴和交易平台的帮助下,Poly Network利用链上和链下数据来跟踪黑客。随后,黑客也通过交易消息表示:“你们的漏洞还不止于此,如果我把其他的漏洞导致的可流出的资金全部转移,将达到10亿美元,难道你以为我是在拯救这个项目吗?我对钱不太感兴趣,现在考虑归还一些资产,或者把它们留在现在存储的地方。”

同时,Poly Network也在推特上发布了一个地址,希望黑客主动将资产归还。

也有研究人员表示,这次盗窃“很可能是一次蓄谋已久、有组织、有准备的袭击”。因为根据行业数据,从今年年初到7月,与DeFi有关的黑客攻击总额已达3.61亿美元,比2020年全年增长了将近3倍。与DeFi相关的交易诈骗案件也在增加,截止至今年7月,光是DeFi相关的欺诈案件就达加密欺诈总量54%,而去年全年为3%。DeFi似乎成为了攻击者的主要目标,交易安全或许是目前DeFi最需要重视的问题。

国内首家!携程每周两天可在家“躺平”,76% 的员工主动报名

苹果新功能惹众怒,4000 多家组织和个人签署公开信,敦促苹果放弃“儿童安全”功能

Windows 11 再惹“众怒”!网友:微软就是逼我去买新电脑!

程序员因开发速度太慢而遭公司起诉,索赔金额高达90万!

从学术界到产业界,阿里云李飞飞谈数据库为何要开源?| 《新程序员》

关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接