• Crypto News

DeFi 史上最大|Poly Network 遭駭 6 億美元近全數歸還,駭客自述:只是「為了好玩」!


► DeFi 跨鏈協議 Poly Network 週二遭駭近 6.1 億美元,創下 DeFi 史上最大規模駭客攻擊。

► 駭客已於週四陸續歸還近全數竊盜資金,並表示只是希望項目方提醒,讓他們能更謹慎處理用戶資產。

DeFi 跨鏈協議 Poly Network 週二(8/10)遭駭客攻擊,在不到半小時的時間內,以太坊、幣安智能鏈(BSC)、Polygon 分別遭盜 2.5 億、2.7 億及 8,500 萬美元的加密資產,損失共計 6.1 億美元資金,比 2020 年所有 DeFi 攻擊事件損失金額總額還要多,是 DeFi 迄今規模最大的駭客事件。


根據區塊鏈資安團隊漫霧科技分析,駭客透過一筆精心構造數據修改了以太坊跨鏈合約中的目標鏈(Keeper)為駭客指定的地址。簡而言之,駭客發現了該協議中的一項代碼錯誤,使得他們能夠修改並將資金轉出。項目方顯然沒有預料到,協議的一個缺陷竟差點葬送整個項目。


但令人意想不到的是,這名駭客卻在週三(8/11)透過以太坊轉帳訊息,承諾將「歸還全數資金」,並隨後發佈了一份 Q&A,向大眾解釋這場駭客攻擊的幕後真相。


這名駭客透過嚴格的加密方式將所有內容保存在鏈上,裡面包含了 12 個駭客自己準備的問答,他在首個問題中便開宗明義的表示,之所以發起這場攻擊,純粹「只是為了好玩」而已。而選擇 PolyNetwork 攻擊的原因,是因為「跨鏈協議是近期最常被駭客盯上的項目」。


至於為何決定歸還竊盜資金,他寫道:

這一直都是計劃的一部分!我對金錢不是很感興趣!我知道用戶受到攻擊時會很痛苦,但他們不應該從這些駭客身上學到一些東西嗎? 我在午夜之前就宣布了退還資金的決定,所以相信我的人應該都能好好地睡上一覺。

他接著表示,他並不想引起加密世界的恐慌,也不希望無辜用戶因此陷入資產歸零的下場,但他覺得自己有責任在該協議漏洞遭任何內部人員隱藏或利用之前先行揭發。


最後,這位駭客表示,Poly Network 是一個設計良好的系統,未來還將處理更多資產,但他希望他們能更專注於保護用戶資產,這樣才有資格成為管理 10 億美金級別的項目方。


他同時向 DeFi 用戶們提出建議,告訴他們「在 DeFi 世界中,除了代碼和你自己,你不能相信任何人」。


駭客回絕 Poly Network「50 萬美元抓漏獎金」


在 Poly Network 遭駭期間,該名駭客全程透過以太坊轉帳訊息與 Poly Network 團隊保持溝通。


在了解到駭客本意只為自我挑戰後,Poly Network 團隊決定在遭竊金額全額歸還後,提供「50 萬美元的抓漏獎金」給這名駭客,同時還為他取上「白帽駭客」的美名,表示團隊感謝他的經驗分享,且不打算追究任何責任。


Poly Network 團隊在以太坊轉帳訊息中寫道:

我們感謝您的經驗分享,並相信您已經構成了白帽行為。[……]由於我們認為您此次的行動更像是「白帽駭客」,我們計畫在您完成全額退款後,提供您 50 萬美元的抓漏獎金。我們也將確保您不用為此次事件負責。

這位駭客隨後回覆,表示對這筆 50 萬美元獎金並無興趣,也不打算回應 Poly Network 團隊,並再次強調會將竊取資金全數歸還。


在規模數十億美元的去中心化金融(DeFi)生態系中,駭客攻擊和漏洞利用並不罕見,Poly Network 就是其中之一。駭客攻擊通常是來自匆忙設計的腳本,或是協議漏洞等缺陷,但這同時也是讓任何電腦網路變得更安全的重要組成部分,這在區塊鏈的世界裡更是如此。


區塊鏈技術才問世十多年,與之相比 DeFi 又更年輕。我們正處於採用的開始階段,在此過程中可能會出現更多錯誤。但隨著越來越多的資金湧入智能合約,這類像以太坊共同創辦人布特林(Vitalik Buterin)所形容的,如「獵殺狼群」(hunt the wolves)般的駭客行為,將變得越來越困難,因為整個社群共同學習什麼是應該及不應該重複的。而隨著時間的推移,這終將能導致更可靠的代碼,並引領 DeFi 世界邁向更穩健的未來。


[編者按]:本文僅供參考之用,並不構成任何投資產品、證券、金融產品或工具的邀約、招攬、推介、建議、意見或任何保證,亦不應視作為專業意見或任何投資決定或行動的基礎。

39 views0 comments

Related Posts

See All

KIKITRADE GAMEFI體驗日

作為一條毒L,基本上都不太習慣出席各種應酬式的公開場合,但今次KIKITRADE搞GAMEFI體驗日我卻終於打破慣例主動報名出席,原因是過去一直對於這個範疇一直只停留於基本認識,因此也厚著面皮前去「見學」一下。 今次KIKITRADE的GAMEFI DAY其實只是一個小型EVENT,展出的遊戲也只有四個,然而多得在場職員熱心解說,我也對幾個Project了解一個大概: 第一款是他們重點開發的Pro