8 月10 日,跨鏈協議Poly Network 確認被盜,使用該協議的O3 Swap 損失慘重,在以太坊、幣安智能鏈、Polygon 三條網絡上的資產幾乎被洗劫一空。據瀏覽器顯示,在34 分鐘內,黑客帶走了3.02 億枚USDT、5.5 萬枚ETH、2000 枚比特幣等等若干類資產,總價值6.1 億美金。

要知道,2020 年全年DeFi 攻擊事件共發生60 餘起,損失總和約為2.5 億美金,Poly Network 一場攻擊就超過了2020 年整年2 倍有餘。

這個量級的被盜規模,位列DeFi 歷史之首。

攻擊過程

首先,黑客通過攻擊Poly Network 以太坊跨鏈管理員合約(Ethereum Cross Chain Manager contract,合約地址:0x838bf9e95cb12dd76a54c9f9d2e3082eaf928270)。

隨後,Poly Network 以太坊資產代理合約(合約地址:0x250e76987d838a75310c34bf422ea9f1AC4Cc906)開始陸續向黑客地址轉賬(合約地址:0xc8a65fadf0e0ddaf421f28feab69bf6e2e589963)。

根據律動BlockBeats 統計,在差不多半小時的時間裡,Poly Network 以太坊資產代理合約一共向黑客地址發起了9 筆轉賬,累計價值約2.6 億美元。黑客在34 分鐘裡,從ETH、BSC、Polygon 中帶走了價值6.1 億美元代幣。

在攻擊發生後,社區發現,黑客可能通過「超級後門」提走了跨鏈池的資產。事實上,在這一切發生前三個月便有用戶發現了問題。微博用戶「昆麟玉」在5 月表示,O3 Swap 帶有一鍵rug 功能,可以一鍵轉移用戶質押資產到指定賬戶,並且合約不帶時間鎖,這意味著轉移資產無需用戶許可。

黑客的真人秀

6 億美金的損失讓策劃這起歷史罕見攻擊事件的黑客成為了絕對焦點,而黑客也似乎很享受成為焦點的感覺,三條網絡留下痕蹟的三個攻擊地址,成了他與全世界的直播頻道。

因為6.1 億美金的金額實在太引人注目,事發後各大平台和中心化資產方積極響應,試圖阻止黑客利用平台特性將贓款轉移。為此,在鏈上轉賬留言裡,黑客向全世界詢問如何使用以太坊上的匿名轉賬平台Tornado.cash 進行混幣。

試想能夠在34 分鐘盜走6 億美金的黑客,會連混幣如何使用都不知道麼?匿名轉賬這類知識黑客必定爛熟於心,慢霧在分析攻擊時就說過黑客的初始資金來自匿名鼻祖門羅幣。

顯然,黑客是在演戲,狂妄的黑客在利用這個頻道營銷自己。

隨後的兩條轉賬留言說明了一切,黑客用挑釁的語氣,先表示「自己沒有全部帶走協議裡的資產已經是手下留情」,隨後又要「發起一個DAO 組織去決定這些資產的去向」。

黑客並不是唱獨角戲,無數看客在轉賬記錄中留言,希望黑客能分一點贓款。其實每次黑客攻擊後,暴露的地址都會有類似信息,但畢竟這是6 億美金的歷史級別攻擊,無數無眠的受害者與冷淡的看客,這也是另一片「黑暗森林」。

我們能看到的是那些在O3 Swap 中資產損失的投資者,但是,對於一場數億美金級別的攻擊,行業裡所有人都是被害者,這場攻擊讓那些有準備在DeFi 市場裡試水的機構望而卻步,讓那些專業的Smart Money 不敢輕易嘗試。這場攻擊打擊的是O3 Swap 投資者的信心,同時也是傳統投資者對DeFi 的信心。這不僅是DeFi 歷史上量級最大的攻擊,也許也是DeFi 行業的轉折。

這場攻擊還沒有劃上句號,律動會及時追踪關於這場攻擊的任何消息,曾經也有2500 萬美金的DeFi 被盜案件以黑客歸還全部資產而告終,我們希望O3 Swap 的6 億美金,也能早日回到投資者手中。