作者|道爾吉

來源|鏈得得

電影《社交網絡》中,扎克伯格入侵了大學校園網系統,盜取了全校女生的資料後,並製作名為“Facemash”的網站供同學們對辣妹評分,這樣的瘋狂舉動一度令哈佛大學的服務器幾近崩潰。

在面對學校董事會審訊質問時,扎克伯格卻難以置信的要求學校對其預先警告了校園網絡安全設計漏洞的行為表示感謝。

而在前不久,同樣魔幻的事情再度上演。 8月10日,Poly Network平台遭遇黑客攻擊,以太坊、BSC、Polygon三條網絡上的資產被轉移。

在34分鐘的時間裡造成了超6.1億美元的虛擬貨幣被盜事件。這也是迄今為止區塊鏈歷史上最嚴重的安全事故。

整個事件在經歷了跌宕起伏的轉折之後,也在最近迎來了最終的尾聲,黑客退還了全部代幣,上演了一出“白帽黑客”的大戲,Poly Network也表示願意贈送50萬代幣以表感謝,雖然被黑客拒絕。

Poly Network也無意追究黑客法律責任,並表示為鼓勵黑客繼續與Poly Network共同為區塊鏈世界的安全進步做出貢獻,邀請白帽黑客擔任Poly Network的首席安全顧問。

8月26日,Poly Network在推特上宣布,已完成“Poly Network被盜幣事件”中受影響用戶資產的恢復。

這樣一場由頂級黑客帶來的頂級真人秀,其實也為我們帶來了一些思考,DeFi的安全性問題如何解決、跨鏈橋是否足夠安全以及我們到底應該如何面對區塊鏈的安全性問題。

就在Poly Network黑客攻擊事件後不久,日本加密貨幣交易所Liquid遭黑客入侵,被盜9400萬美元的加密資產。毫無疑問,連續不斷的黑客事件必然會對加密貨幣市場帶來技術安全問題的考驗。

Poly Network被盜幣事件:一場頂級真人秀

區塊鏈的歷史,一直就是與安全問題抗爭的歷時,著名的The DAO項目被盜事件,最終就導致了以太坊的分叉。

包括Mt.Gox事件中,就有744408枚比特幣被盜,當時總價值約4億美元。而在2018年的Coincheck案中,有當時總價值約5.34億美元的代幣被盜,每一次盜幣都是慘痛的安全事故。

交易所被盜幣事件一直是過去區塊鏈安全問題的主要戰場,而現在DeFi卻吸引了黑客更多的目光所在。

“Poly Network被盜幣事件”最終能夠完美解決,是幸運的。一方面有著多方努力推動的結果,例如Tether等公司及時對黑客錢包中3300萬USDT的凍結,例如安全審計公司的技術全力支持等。

一方面也是黑客本身自詡“白帽黑客”(Mr. White Hat)的幸運所在,最終願意全額退還代幣。

公開資料顯示,Poly Network是由Neo、Ontology、Switcheo共同推出的異構跨鏈協議,分佈科技為其技術提供方。

在2020年8月上線主網後,目前已支持包含比特幣、以太坊、Neo、Ontology、Heco、BSC、OKExChain、Polygon等11條主流區塊鍊網絡,用戶基數超過20萬。

這次的安全事故也映射出了人們對於跨鏈橋的安全性擔憂,畢竟,最近的跨鏈橋安全事故有些頻發。

據慢霧對“Poly Network被盜幣事件”的分析,慢霧認為:由於EthCrossChainManager合約中的驗證和執行交易功能可以完成某些特定的跨鏈交易。

同時EthCrossChainManager可以通過調用EthCrossChainData合約來修改合約Keeper地址,白帽/黑客用EthCrossChainManager contract 的verifyHeaderAndExecuteTx function 傳入一個編寫好的數據去改變Keeper的地址構建交易,從而將資產提到以太坊等三個網絡。

當黑客盜幣事件發生之後,就在各方開始緊張的對被盜事件進行緊急處理時,黑客開始了鏈上自問自答的直播式留言。

最開始他挑釁稱:沒有全部帶走協議裡的資產已經手下留情。如果轉移了剩餘的代幣,將是十億美金級別的攻擊。

最開始黑客一邊對代幣進行資產轉移,一邊對外聲稱對金錢不太感興趣,考慮歸還一些代幣,或者將它們留下。隨後僅相隔半天,黑客的態度開始進一步轉變,準備歸還資產,需要Poly Network團隊提供多簽錢包。

Poly Network隨後提供了一個由Poly Network控制的公開多簽錢包。黑客開始陸續歸還代幣,並在8月23日將私鑰公佈。

至此,Poly Network被盜幣事件所有被盜資產全部歸還,Poly Network也在8月26日宣布,已完成“Poly Network被盜幣事件”中受影響用戶資產的恢復。

在整個過程中,由於黑客幾乎每天都會在區塊鏈上發布“自問自答”,本次事件中的受害者反而稱呼其為黑客的“小作文”,在維權群中每天都會轉發黑客的最進動態。

黑客在“小作文”中對自己的行為進行了詳細的解釋:

很少有黑客能理解DdeFi 安全的情況。你看到很多黑客,但他們中的大多數並不像一個真正的黑客那樣令人愉快。一些愚蠢的代碼導致了大量的損失,但這並不具有挑戰性。這就像與一個青少年對抗。

我承認,Poly 黑客並不像你想像的那樣花哨,但我確實從這個項目中體驗到了新的東西。我想說的是,找出Poly network 結構中的盲點將是我人生中最美好的時刻之一。

隨著加密世界的發展,我已經有了足夠的錢。我一直在探索生命的意義,已經好一段時間了。我希望我的生活可以由獨特的冒險組成,所以我喜歡學習和破解一切,以便與命運抗爭。命運在我心中。

說實話,我確實有一些自私的動機,想通過利用巨大的基金來做一些很酷但不有害的事情,比如DAO。然後我意識到,成為道德領袖將是我可以達成的最酷的事情!

並且,黑客最後還安撫了所有的受害者,並不是說Poly 團隊不值得信任,但你們沒有機會挑戰他們的代碼,因為代碼應該是法律。別擔心,你們不是真正的受害者。

對於為什麼選擇退還虛擬貨幣的問題,他表示:“我對金錢不是很感興趣!我知道人們受到攻擊時會很痛苦,但他們不應該從這些黑客中學到一些東西嗎?”

白帽黑客也在這個過程中向外界透露了自己的一部分身份:“非英語母語者,一直從事安全行業,對錢不感興趣。

並且向全網發起挑戰:如果任何黑客能夠在一個月內找到我的社交身份,我願意把私人禮物送給他,並表示:“即使我被確認了身份,我仍然為自己的正直感到自豪。 ”

這也足夠體現黑客對於自己隱蔽性和技術的信心。

整個事件過程中,黑客一直在表達足夠的善意態度,一方面,他會對被盜幣的普通用戶表示歉意,並表示他們並不是最終的受害者,一方面他也願意積極與項目方溝通。

不過也可以看出,黑客一開始存在想做DAO的想法,退幣並非從始至終唯一的選擇。事件中,多方努力的結果也影響了黑客的最終選擇。

本次事件折射出一個很重要的安全問題:如何更安全的保護鏈上資產的安全。

不安全的跨鏈橋和DeFi:安全性任重道遠

DeFi現在已經成了黑客攻擊重災區,DeFi領域在近一個半月的時間裡發生了超過11起重大安全事件,而其中有接近一半發生在跨鏈協議中,例如AnySwap、ChainSwap、THORChain、Never Network。

而在2020年,全年DeFi行業共計發生60餘起攻擊事件,損失總和約為2.5億美元。

所以,對於鏈上資產的保護,就集中在了法律層面的保護和技術安全層面的保護兩個方向。

在相關的法律文件中,最高人民法院聯合國家發改委共同發布《關於為新時代加快完善社會主義市場經濟體制提供司法服務和保障的意見》。

在第六條中明確了要加強對數字貨幣、網絡虛擬財產、數據等新型權益的保護,充分發揮司法裁判對產權保護的價值引領作用。

隨著黑客事件的頻出,鏈上資產安全的問題日益受到考驗的當下,上海申浩律師事務所合夥人孫俊律師認為:鏈上資產是受到法律保護的,黑客無論出於何種目的,對於資產的盜取行為本身已經觸犯法律。

而在用戶維權的時候,項目方應該承擔相應的法律責任,來保障用戶資產的安全。

在查閱過往案例的的審判內容中作者發現,例如在國內首例比特幣侵權糾紛案件中,法院認定比特幣具有財產作為權利客體需具備的價值性、稀缺性、可支配性,應認定其虛擬財產屬性。

所以,在面對鏈上資產收到侵害的問題時,即使尋求法律援助和報案,是保護資產安全最有效的途徑,畢竟,不能指望每一位黑客都是白帽黑客。

當然,因為技術手段的問題,交易的全球化市場問題,以及黑客的隱秘性的手段,加密貨幣被盜背後的追迴路徑必然比普通事件的路徑要漫長,所以技術手段上的防禦肯定是更加重要的選擇。

在跨鏈橋的安全問題到底是單一項目方的問題還是具備普遍性問題上,鏈得得採訪了歐科雲鏈研究院高級研究員王海峰,他認為目前還很難下定論,但跨鏈橋技術的早期確實具有不確定性。

根據歐科雲鍊鍊上大師半年報的數據,今年上半年,DeFi領域至少發生了50起安全事件,平均每3.6天就有一起。

Poly盜幣事件,因為涉及資金巨大,引起了行業的重視,更能暴露DeFi世界的共性問題,引起我們一些思考。

鏈得得採訪慢霧安全團隊也表示,目前來看這是單一項目方的合約代碼的問題,但不排除其它項目方有類似被攻擊的可能。

隨著DeFi世界的持續繁榮,合約協議和機制設計越來越複雜,無可避免會出現更多的安全漏洞,一旦發生Poly類的盜幣事件,雖然對項目方帶來打擊,但直接受害者是廣大的用戶。

所以歐科雲鏈研究院高級研究員王海峰建議:在篩選DeFi項目時,需要認真了解項目白皮書,注意智能合約是否通過權威機構的審計。

而一旦發生了盜幣事件,歐科雲鏈具有處理區塊鏈安全案件的專業研判團隊,可以協助警方偵破、追回被盜資產。

隨著DeFi世界的持續繁榮,合約協議和機制設計必然越來越複雜,無可避免會出現更多的安全漏洞,而從頻發的安全事故之中,想要避免類似的攻擊性事件,提高行業安全性,需要全行業的共同努力。社區和團隊需要分配更多精力在前期的合約開發搭建上,搭建好“地基”。

王海峰表示歐科雲鏈也一直在思考,如何提高行業的對區塊鏈安全事件的反制能力,並推出了歐科雲鍊鍊上大師、鏈上天眼等區塊鏈大數據產品。

鏈上大師來幫組DeFi參與者藉助數據指標,更理智和量化的評估DeFi協議,鏈上天眼幫助用戶規避洗錢、盜幣等安全風險。

慢霧安全團隊對於下一步提高行業的安全性問題的建議是:

1. 需要項目方在技術層面保證代碼的可用性和完整性,需要在上線前做好測試,包含單元測試及回歸測試等;

2. 在上線前,做好安全審計工作,包括但不限於合約安全審計、前端安全審計、服務端安全測試等。

Poly Network事件對於被盜幣事件反應速度較慢,這給到了我們一個很好的安全預警機制問題。

慢霧安全團隊認為:針對目標項目的智能合約做異常監測目前個很成熟的技術,尤其是涉及資金安全的操作。

但很多時候監測到應急響應會有時間差,這個時間差很多時候很絕望,等反應過來資金可能已經被盜走了,如果要做到完全自動化來阻攔,又會涉及到智能合約權限過大問題,這是一個需要權衡的點。

所以慢霧安全團隊認為,更現實的辦法是:監控及時預警,然後人工盡快介入來動用各種“受限權限”進行止損,並啟動攻擊/漏洞原因分析,及後續的追踪溯源分析工作。

攻擊/漏洞原因分析是為了明確問題點,追踪溯源分析是為了描繪黑客畫像,為之後定位黑客並聯繫黑客提供足夠依據。

毫無疑問,在未來的一段時間之內,黑客的目光肯定會鎖定在DeFi和跨鏈橋之上,而安全性問題也將在不短的時間範圍內一直影響區塊鏈的安全問題。

而人類進步的階梯,就是我們對於過往經驗的總結和思考。