跨鏈協議 Poly Network 昨日遭駭攻擊,官方於晚間證實消息,據統計,至少有 6.1 億美元遭駭。是 2020 年整年被駭的 2 倍之多,位居 DeFi 歷史之首。
(前情提要:史上最大!Poly Network「遭駭6億美元」波及以太 幣安…群眾卻教駭客洗錢換打賞?)
8月10 日,跨鏈協議 Poly Network 驚傳被盜,使用該協議的 O3 Swap 損失慘重,在以太坊、幣安智能鏈、Polygon 三條網路上的資產幾乎被洗劫一空。據瀏覽器顯示,在 34 分鐘內,駭客帶走了 3.02 億枚 USDT、5.5 萬枚 ETH、2,000 枚比特幣等其他資產,總價值 6.1 億美元。
要知道,2020 全年 DeFi 攻擊事件共發生 60 餘起,損失總和約為 2.5 億美元,Poly Network 一場攻擊就超過了2020 年整年 2 倍之多。
這個級別的竊盜規模,位居 DeFi 歷史之首。
攻擊過程
首先,駭客透過攻擊 Poly Network 以太坊跨鏈管理員合約(Ethereum Cross Chain Manager contract,合約地址:0x838bf9e95cb12dd76a54c9f9d2e3082eaf928270)。
隨後,Poly Network 以太坊資產代理合約 (合約地址:0x250e76987d838a75310c34bf422ea9f1AC4Cc906),開始陸續向駭客地址轉帳(合約地址:0xc8a65fadf0e0ddaf421f28feab69bf6e2e589963)。
根據筆者統計,差不多半小時的時間,Poly Network 以太坊資產代理合約一共向駭客地址發出了 9 筆轉帳,累計價值約 2.6 億美元。駭客在 34 分鐘裡,從 ETH、BSC、Polygon 中領走了價值 6.1 億美元代幣。
在攻擊發生後,社群發現,駭客可能透過「超級後門」提走了跨鏈池的資產。事實上,在事發前三個月便有用戶發現了問題。微博用戶「昆麟玉」在 5 月表示,O3 Swap 帶有一鍵 rug 功能,可以一鍵轉移用戶質押資產到指定帳戶,並且合約不帶時間鎖,這意味著轉移資產無需用戶許可。
駭客實境秀
6 億美元的損失讓策劃這起歷史罕見攻擊事件的駭客成爲了萬眾焦點,而駭客似乎也很享受這種感覺,分別在三條網路留下三個攻擊地址的痕跡,成了他與全世界的直播頻道。
因爲 6.1 億美元的金額實在太引人注目,事發後各大平台和中心化資產方積極響應,試圖阻止駭客利用其平臺特性將贓款轉移。爲此,在鏈上轉帳留言裡,駭客向全世界詢問如何使用以太坊上的匿名轉帳平臺 Tornado.cash 進行混幣。
試想能夠在 34 分鐘盜走 6 億美元的駭客,會連混幣如何使用都不知道嗎?匿名轉帳這類知識駭客必定滾瓜爛熟 ,慢霧在分析攻擊時就說過駭客的初始資金來自匿名始祖門羅幣。
顯然,駭客是在演戲,狂妄的駭客在利用這個頻道行銷自己。
隨後的兩條轉帳留言說明了一切,駭客用挑釁的語氣,先表示「自己沒有全部帶走協議裡的資產已經是手下留情」,隨後又要「發起一個 DAO 組織去決定這些資產的去向」。
駭客並不是唱獨角戲,無數觀眾在轉帳記錄中留言,希望駭客能分一點贓款。其實每次駭客攻擊後,暴露的地址都會有類似訊息,但畢竟這是 6 億美元的歷史級別攻擊,無數受害者與冷淡的觀眾,這也是另一片「黑暗森林」。
我們能看到的是那些在 O3 Swap 中資產損失的投資者,但是,對於一場數億美元級別的攻擊,行業裡所有人都是被害者,這場攻擊讓那些有準備在 DeFi 市場裡試水溫的機構望而卻步,讓那些專業的 Smart Money 不敢輕易嘗試。這場攻擊打擊的是 O3 Swap 投資者的信心,同時也是傳統投資者對 DeFi 的信心。這不僅是 DeFi 歷史上級別最大的攻擊,也許也是 DeFi 行業的轉折。
這場攻擊還沒有劃上句號,曾經也有 2,500 萬美元的 DeFi 被盜案件以駭客歸還全部資產而告終,我們希望 O3 Swap 的 6 億美元,也能早日回到投資者手中。
📍相關報導📍
插曲》駭客留言:準備歸還6億美元Poly Network被盜資金
DeFi 新型詐騙湧現!放棄項目倒貨,幣安智能鏈、Polygon 驚傳多起「軟地毯」騙局
PancakeBunny又被駭!Polygon版本遭閃電貸攻擊,幣價一小時失血75%
讓動區 Telegram 新聞頻道再次強大!!立即加入獲得第一手區塊鏈、加密貨幣新聞報導。
LINE 與 Messenger 不定期為大家服務
