区块链安全事件丨Poly Network跨链协议遭黑客攻击 超6亿美元被转移

首页 / 业界 / 资讯 /  正文
作者:藏青
来源:安全419
发布于:1个月前
据区块链媒体报道,8月10日晚间,跨链互操作协议 Poly Network 突遭黑客攻击,使用该协议的 O3 Swap 跨链池受到重大影响,在不到一个小时内,O3 Swap在以太坊、币安智能链、Polygon 三条网络上的共计超 6.1 亿美元转出至 3 个地址,其中,转出至 0x0D6e2 开头币安智能链地址的资金有超 2.5 亿美元,转至 0xC8a65 开头的以太坊地址有超 2.7 亿美元,转至 Polygon 地址的有超 8500 万美元。损失总额高达 6.1 亿美元,受害者波及数以万计的投资者。
 
 
据悉,Poly Network 自称是全球领先的“轻量级”异构链跨链互操作协议,其独特设计的异构链以及跨链桥技术将通过在源链部署智能合约控制跨链,从协议层一举打通各个异构链之间甚至各个主流公链之间的通信和交易。2020 年 8 月主网上线 。Poly Network 是由Neo、Ontology、Switcheo 基金会共同作为创始成员,分布科技作为技术提供方共同发起的跨链组织。
 
O3 与 PolyNetwork 都属于 NEO 生态,也属于中文地区最大的加密公链之一。O3 作为锁仓量最大的跨链协议之一,早先就已经发生多起有组织的攻击事件,但似乎此前的安全事件并没有引起 PolyNetwork 与 O3的警惕。
 
有业内人士表示,本次Poly Network被盗资金规模过大,堪称 DeFi 安全事件历史之首。
 
针对此次安全事件,慢雾安全团队表示,已经通过链上及链下信息追踪发现 Poly Network 攻击者的邮箱、IP 及设备指纹(指可以用于唯一标识出该设备的设备特征或者独特的设备标识)等信息,正在追踪 Poly Network 攻击者相关的可能身份线索。
 
通过慢雾合作伙伴 Hoo 虎符及多家交易所的技术支持下,慢雾安全团队发现,黑客初始的资金来源是门罗币 (XMR),然后在交易所里换成了 BNB、ETH、MATIC 等币种,分别提币到 3 个地址,不久后在 3 条链上发动攻击。慢雾安全团队称,「结合资金流向及多项指纹信息可以发现,这很可能是一次蓄谋已久的、有组织有准备的攻击行为」。
 
在8月10日晚有分析称,本次攻击事件或为项目方团队成员坚守自盗,或者是项目方的“超级后门”私钥被黑客窃取。
 
但慢雾安全团队似乎对此持不同意见,慢雾安全团队表示,本次攻击主要在于 EthCrossChainData 合约的 keeper 可由 EthCrossChainManager 合约进行修改,而 EthCrossChainManager 合约的 verifyHeaderAndExecuteTx 函数又可以通过 _executeCrossChainTx 函数执行用户传入的数据。因此攻击者通过此函数传入精心构造的数据修改了 EthCrossChainData 合约的 keeper 为攻击者指定的地址,因此并非网传的是由于 keeper 私钥泄漏导致。 
 
另一区块链安全团队零时科技也发文称,正在与整个社区一同帮助Poly Network官方以及受害用户找回资产。由于被攻击合约并未开源合约代码,是否由于私钥被盗,还是合约漏洞,还是签名绕过,此次被盗原因还在进一步分析中,零时科技安全团队也会持续跟进分析。目前零时科技安全团队已经将黑客地址加入监控系统,实时跟踪资产转移情况,任何有帮助的情报信息都可以联系我们,提供帮助。
 
据最新消息,Poly Network官方于11日凌晨已经获取到黑客在这些中心化交易平台的邮箱,并发送邮件寻求与黑客之间进行对话。Poly Network提出,“我们希望与你建立联系,并希望你归还被盗的资产。你盗取的金额在DeFi历史上是最大的一次,任何国家的法律都会把它视为一次重要的经济犯罪,你会遭到追捕。再进行任何的交易(转移)对你来说是不明智的。你盗取的资金是成千上万社区成员的财产。你应该与我们对话寻求一个解决方案。”
 
黑客回应称,自己对金钱并不太感兴趣,目前考虑归还一些Token,或者将他们留在当前的地址中,或者制作一个新的代币让DAO 决定这个代币的去向。
 
随后在8月11日午间,黑客竟然表示将要归还所有资产,其通过链上交易备注表示准备归还盗取的资产,但因为无法联系Poly Network项目方,希望Poly Network提供一个多签钱包。黑客还称“获取这么多财富已经是一个传奇,而拯救世界更是永恒的传奇,我做出了决定,不再使用DAO。”
 
Poly Network官方也立即回应,在以太坊区块高度13001657向黑客的转账中表示,正在准备一个由Poly Network控制的公开多签钱包。
 
至此,这次史无前例的攻击事件似乎在历经16个小时后,将以黑客归还资金而惊险收尾,但这次攻击事件注定会被记入DeFi安全史。
 
据行业人士分析,目前美国金融监管层对 DeFi 非常关注,中国相关部门也开始予以关注。日前美国 SEC 指控了首起 DeFi 案件。此次历史金额最大的 DeFi 盗币案如果无法善终,一方面可能影响行业对 DeFi 的信心,另一面可能诱发全球监管对 DeFi 的打压。