8月10日晚间,跨链去中心化金融平台Poly Network宣布遭黑客攻击,短短34分钟,价值超6.1亿美元(约合人民币40亿元)的虚拟货币被洗劫一空。
2 T1 I7 @8 n' W, s5 B1 Q/ x3 T; A: k( T( V' [& }' y: e
一场数十亿元的黑客攻击,一边是漏洞频出的交易平台,一边是无数受害的用户。漩涡之中,此次事件不过是虚拟货币交易乱象中的一个缩影。
- ], C+ Z# @" D8 k* r: p* @* N9 \
7 `+ i8 R2 T' ~8 {* S8月12日午间,Poly Network平台在社交媒体宣布,黑客已经归还窃取资金2.6亿美元(约合人民币17亿元),还有3.53亿美元没有偿还。3 Q$ L/ I8 g, m$ a
7 F \! Q. n5 Y9 }9 \* f
34分钟盗走近40亿元虚拟货币
: Z) J8 H5 i) L) r5 R8 {4 X6 U6 a( l/ ]- y" {
8月10日,Poly Network平台遭遇黑客攻击,在以太坊、币安智能链、Polygon三条网络上的资产几乎遭洗劫,造成包括以太坊、比特币在内共计价值超6.1亿美元的虚拟货币被盗。
6 S9 X! i, J/ G7 e" [! _6 C
2 |) W. }( W7 _5 p% @攻击最早发生于8月10日17:55,黑客在以太坊网络陆续从Poly Network智能合约转移了9638万个USDC、1032个WBTC等资产。18:04起,黑客在Polygon网络从智能合约转移了8508万USDC。18:08起,黑客在币安智能链从该项目智能合约转移了8760万个USDC、26629个ETH等资产。2 e/ S$ o; j! @& J. U
3 A0 R o0 v! K, d8 [据统计,在短短34分钟的时间里,Poly Network各类资产代理合约一共向黑客地址发起17笔转账,从以太坊、币安智能链、Polygon网路中带走了价值6.1亿美元代币。: L8 ^' d; N( u0 n* d
5 @9 O& n" o0 h( | W ]8 C9 Z据成都链安技术团队分析,本次攻击事件发生的主要原因是合约权限的管理逻辑存在漏洞,恶意用户可以通过精心构造数据异常调用部分函数,即攻击者利用合约中存在的逻辑缺陷,通过该合约调用合约中的相应函数更改用户名为自有地址,然后使用该地址对提取代币的交易进行签名,从而将合约中的大量代币套取出来。
' [5 g6 |6 D% U# \$ Y0 x# t" ^, F- O$ ?( ?3 S. r+ _& O
有业内人士表示,这可能是迄今为止全球虚拟货币史上最大规模的盗窃案,损失超过了Mt.Gox事件(744408枚比特币被盗,当时总价值约4亿美元)以及2018年的Coincheck案(5.23亿枚XEM被盗,当时总价值约5.34亿美元)。# p2 B( z) g1 Q' _4 C3 t0 t7 ^
3 t: Q2 ^1 t D3 @8 O3 W
DeFi(即跨链互操作协议,是一种去中心化金融协议,在币安智能链、以太坊和Polygon区块链上运行,可用于流动性挖矿)已成为黑客攻击重灾区。加密货币情报公司CipherTrace的数据显示,从今年年初到7月,与DeFi相关的黑客攻击造成的损失总计达到3.61亿美元,比2020年全年高出近3倍。) v2 ]7 A) S; T" Y a
$ E9 {6 |6 y) E8 R7 \9 ~, e( l黑客上演盗币直播
; [+ L, J6 j* e7 v- Q0 d; B: q
$ |! T2 o7 s g9 O* w! u% u8 {事件发生后,Poly Network的官方账号第一时间发布了遭攻击声明,并呼吁矿工和虚拟货币交易平台将黑客地址的代币列入黑名单。与此同时,他们还称将采取法律手段,敦促黑客尽快归还被盗资产。5 t ?# g4 j0 K$ A
1 b6 f, o9 u4 {5 B/ P
事发后,各大平台和资产方积极响应,试图阻止黑客将赃款转移。5 E3 \: @. b$ _& k/ { l n
8 J! y$ i$ a5 S/ ]4 N' e* i8 f, @1 C币安CEO赵长鹏随后在社交媒体上称:“已获悉Poly Network发生的黑客事件,虽然没有人能够控制币安智能链和以太坊,但我们正在与所有安全合作伙伴进行协调,以尽其所能提供帮助。” T' k$ x( D/ C3 ?4 E4 N7 r7 _7 x& x
4 I4 F2 T6 t: W5 Z% N3 H* t泰达币的发行方Tether也快速响应,直接冻结黑客以太坊地址中的3300万泰达币。1 h- i' ]& u5 I. V! i
* e! C5 {. _3 X) Z: C然而,狂妄猖獗的黑客,直接给全世界上演了一场“盗币直播”。5 G7 m7 ^8 ~. V; p# A4 S
' M% V& O" W' N: K& z' @在8月10日晚的链上转账留言里,黑客更是挑衅称:“自己没有全部带走协议里的资产已经是手下留情。”7 t6 y2 J) U* r! U; K" ^1 D
( B {$ C, _ n8 r. F
8月12日凌晨,PolyNetwork黑客还在区块链上发布了“自问自答”。对于为什么攻击交易平台这一问题,他表示:“为了好玩。Poly Network是一个不错的系统,是黑客可以享受的最具挑战性的攻击之一。我必须快速击败任何内部人员或黑客,我把它当作奖励挑战。”& r+ E3 E6 ]5 O* A: R9 F3 y- k2 i
, F2 H8 {/ S% T8 B" ^' B# Y. |$ f对于为什么退还部分虚拟货币的问题,他表示:“我对金钱不是很感兴趣!我知道人们受到攻击时会很痛苦,但他们不应该从这些黑客中学到一些东西吗?”
: q, v" ]8 w/ D; z4 T
8 G) X6 F9 G3 N交易平台遇攻击 用户自担风险
1 D0 g3 |. @* [' W7 @: N. _& e
" E% z/ ?! v( I# |; o失窃金额如此之大,受害者数量不在少数。目前,受此次被盗事件影响的主要群体,是通过跨链聚合器O3 Swap进行挖矿的用户。那么,这些用户能成功追回资产吗?
* [# C; X4 i. M
$ h8 l$ n9 M; [/ Y6 E链法律师团队负责人郭亚涛对中证君表示,结合实践来看,因智能合约漏洞加之黑客攻击导致用户损失的,在现有法律框架下,普通投资者几乎无法得到法律救济。+ g) m, N9 b+ ~4 S# Q f
0 S q5 |/ p+ t( {9 T: |$ s区块链安全公司安比实验室的郭宇表示,从安全角度来说,当一个系统足够复杂又承载了大量资金时,一定会有黑客盯上,尝试攻击获利。虚拟货币交易平台对于黑客而言就是一个充满吸引力的金库,而复杂的黑盒系统很难做到不可攻破。
: `( Q5 K* ?% Z7 v7 m, M j( S1 L$ g5 k6 E
今年以来,监管部门对于虚拟货币交易和挖矿的清理整治大幕已拉开。投资者需应理性看待虚拟货币投资,树立正确的投资理念,切实提高风险意识。
% Q, s- p- o; m1 S
$ h! @2 b5 r4 _* [% Y. U(原题为《盗走40亿归还17亿!币圈现惊天盗案,黑客:我对钱没兴趣》)
4 A4 x2 O( ?( |3 H; w7 P' P( [' V, ^: s9 i" X
来源:中国证券报 |
提升卡
置顶卡(30天)
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡