行业观察 | Defi最大盗币案：PolyNetwork有惊无险，黑客先生”名垂青史“

|合规联盟原创出品 |

8月10日，跨链协议Poly Network在推特上发文称，其平台遭受黑客攻击，短短34分钟内，黑客通过Defi从Poly Network前前后后共计转出高达6.1美金的资产。其中超2.5亿美元资金转至Binance Chain, 超2.7亿美元资金转至Etherem, 剩余超过8500万美元的资金流向Polygon.

事件发生之后，这个史上金额最大的盗币案即刻吸引了全网的目光。

Poly Network接连在推特上喊话，希望黑客尽管归还所盗资金。区块链安全公司BlockSec，Slow Mist等，都试图从专业角度，还原黑客是如何实施这场“惊天大案“。吃瓜群众们，也不满足于安静吃瓜，在一位吃瓜群众因通过hanashiro.eth的地址提醒黑客USDT已被冻结而收到黑客13.37ETH的打赏之后，也都纷纷向黑客发送链上信息，表达自己的“衷心“，希望得到打赏，有一开口就叫”亲爱的爸爸“的，有说明自己悲惨身世渴望获得垂怜的。

正当大家等着看这场“大戏“如何收场时，这名黑客松口了，表示自己”其实对钱并不感兴趣“，以及自己将归还所盗的资金。

然后，黑客就真的开始还钱了。

截至UTC时间周四上午8点18分，黑客所盗的6.1亿美元资金，约3.42亿美元已经归还，包括价值460万美元的Etherem资产、2.52亿美元的Binance Chain资产和8500万美元的Polygon资产组成。而仍未归还的2.68亿美元代币属于以太坊上的资产。

而这起“惊天大案“，也在全球吃瓜群众的见证之下，慢慢落下帷幕。

但正如Poly Network最新推文所传达的意思，在钱款追回之后，他们现在最大的问题，就是如何重新获取用户的信任，毕竟6亿美金的资产说被偷就被偷，无疑暴露了其系统存在安全漏洞。

所以，黑客想要获得Poly Network的“感谢”是不可能的了。

那么，现在让我们回过头去，再梳理一下Poly Network这辗转难眠的52小时吧。

“6亿”大案的发生

8月10日， Poly Network在推特上公开发文宣告此事。

Poly Network的自救

Poly Network团队也继续在推特上呼吁，区块链和加密货币交易所的矿工能够将牵涉地址的代币列入黑名单。

并且Poly Network尝试和此次攻击事件的始作俑者做出交涉，在推特上通过公开信的方式向黑客喊话，称此次涉案金额不管在任何一个国家都将无法逃避执法部门的制裁，希望黑客尽早归还所盗资产，和Ploy Network共同商讨一个对双方都有利的解决方案。

Poly Network在推文中称黑客“ Dear Hacker”, 带着一股”先礼后兵“的味道，似乎是想暗戳戳的告诉“亲爱的黑客”，如果他老老实实的归还失窃资产，那么我们也不会为难你。但如果你让我们走投无路，那么以这次失窃资产的金额，恐怕你到哪儿都要“牢底坐穿”。

黑客“良心发现”？

而已然得逞并且“名垂青史“的黑客本人，不知道是不是真如他所说的”其实我对钱不敢兴趣“，还是突然意识到事情的严重性，在8月11日中午的一笔交易中备注表示，他将准备归还所盗资产。

这位黑客也确实如他所说，从8月10日起，就开始归还他所盗走的这笔资金。除了属以太坊资产的2.68亿美金资产，目前其他都已悉数归还。

而且，还钱之后的他，似乎还想继续“享受”这来自全世界的目光，开始向外界剖析他的心路历程，自导自演了一场得手后的“获奖感言”，自己采访起了自己：

自问：你为什么要攻击？

自答：好玩儿

自问：为什么选Poly Network

自答：跨链攻击很火

自问：你是不是已经暴露了？

自答：怎么可能。现在这个网络世界，即便我是个守法好公民我的足迹也是暴露无遗的。所以，我用的都是临时邮箱，IP还有你们说的“指纹“。我想当的是拯救世界的”无名英雄“。

吃瓜群众的“狂欢”

此次事件的围观者，也为这次事件增加了戏剧性的插曲。

一位hanashiro.eth的地址通过黑客地址提醒他USDT已被冻结，让他不要使用。黑客为了表示感谢，向该地址转入了13.37ETH。而很多人也发现了，13.37并不是黑客一高兴，随便敲出来的数字，而是Leet, 拼写为1337， 又称黑客语，似乎黑客的每一步都想彰显自己高超的黑客技术。

此事被曝光之后，很多吃瓜群众坐不住了，纷纷向黑客地址发送链上信息，表达自己的“衷心“，希望得到打赏。有一开口就叫”亲爱的爸爸“的，有说明自己悲惨身世渴望获得垂怜的。

而收到这一打赏的hanashiro.eth，似乎是害怕这“天上掉下的馅儿饼”，会给自己惹来麻烦，他将收到的ETH悉数捐赠给了Infura, Rekt, 币安慈善等机构，并在链上留下了文艺十足的诗句或者歌词，妥妥一枚当代文青。

安全机构的“案件还原”

事件发生之后，多家专业机构都对此做出了自己的分析。

区块链安全公司BlockSec给出了他们的分析，黑客行为可能是由于签署跨链信息的私钥泄漏引发的。但他们还补充道，另外还有一个可能是，Poly的签名过程中可能存在一个漏洞，被“滥用”了。

以太坊开发人员和安全研究员Mudit Gupta写道，Poly Network使用Multisig钱包进行交易。在它的配置中，有四个人可以访问用于签署交易的密钥，三个人必须签名，他表示：“攻击者至少获得了三个保管人，然后使用他们将保管人更改为单个保管人。”

区块链安全团队Slow Mist认为，事实并非如此。相反，它更相信，攻击者利用智能合约功能中的一个缺陷更改其保管人，将资金流转到攻击者自己的地址。他们认为事件并不是因为保管人的私钥泄露而发生的。并表示 “已经通过链上和链外跟踪掌握了攻击者的邮箱、IP和设备指纹，并正在跟踪可能与Poly网络攻击者有关的身份线索。”

在这52小时里，PolyNetwork有惊无险，黑客先生”名垂青史“，吃瓜群众也看了一场一波三折的“好戏”。

Defi，Decentralized Finance, 即去中心化的金融市场，本质上也是一种智能合约，包括借贷，抵押和其他金融衍生品。

此次并非Defi平台首次遭受攻击，黑客们似乎总是对新兴事物特别感兴趣，除了金钱的诱惑，或许都想通过这种戏剧化的情节在Defi发展史上留下自己的“足迹”。黑客得手后可以潇洒一转身，也可以像开个玩笑一样，得手后又归还，再向全世界宣告自己“其实对钱并不感兴趣”。但却给这个发展中的新兴行业笼罩上了一层阴霾，此举并不光彩。

Deifi平台潜在的漏洞，也引发了很多人对Defi的担忧，毕竟一个没有政府监管，没有政府审查，完全依赖于计算机技术的金融平台，不单是普通的币民不放心，就算是资产雄厚的大庄家们，也是“我左看右看，我上看下看“的摸着石头过河。

全球区块链合规联盟

“设立区块链行业标准，加强行业自律，共同维护良好的市场秩序和行业环境，为行业健康发展提供理论指导，推动行业健康可持续发展”。

全球区块链合规联盟提供相关企业业务合规资质服务，欢迎通过邮箱[email protected]或公众号BC_ComplianceUnion与我们进行更详细的业务沟通。