Poly Network安全事件复盤：我們如何被“盜取”和找回6.1億美元資產

在過去的兩週我們也收到很多關於這個事件的詢問，在此希望從我們的角度以一個公開透明的方式對此次事件進行一次回顧，以警示我們銘記本次事件，同時也讓更多的人了解到整件事情的處理細節，在這次事件中我們也許做的並不完美，但是或許是一點寶貴的經驗。

What went down

關於事故的具體描述，多家安全機構都進行了評述：

1. 慢霧：Poly Network攻擊的分析和問答

The Analysis and Q&A Of Poly Network Being Hacked

2. Kelvinfichter關於攻擊原因的分析

https://twitter.com/kelvinfichter/status/1425290462076747777

3. 慢霧：Poly Network攻擊的總體技術陳述

https://slowmist.medium.com/the-root-cause-of-poly-network-being-hacked-ec2ee1b0c68f

事發當晚也是我們承受最大壓力的一晚，我們盡量做到目標明確，有條不紊解決核心問題：鎖定資產，減少社區猜測，建立溝通渠道。

● 嘗試與攻擊地址取得聯系；

https://etherscan.io/tx/0xf6488e1efacd9c280eb91133d04ba357beca8016df8b0b0524b9a2e207b2ad7f ,

https://twitter.com/PolyNetwork2/status/1425123153009803267

● 發現漏洞，尋找漏洞修補方案，分析資產去向和攻擊者行為；

https://twitter.com/PolyNetwork2/status/1425130017546149891 ,

https://twitter.com/SlowMist_Team/status/1425197809058254849

● 清點受影響資產，聯繫資產發行方凍結資產，減小不可控制的損失；

https://twitter.com/PolyNetwork2/status/1425073987164381196

● 通知各交易所，關注資金出金意圖;

● 呼籲礦池礦工攔截攻擊者試圖洗錢的交易；

https://twitter.com/PolyNetwork2/status/1425090228830842893

● 向用戶、社區和媒體及時傳達進展；

https://twitter.com/PolyNetwork2/status/1425130017546149891

最終進展如下：

● 通過ETH網絡與0x8a地址建立加密溝通渠道；

● Tether宣布凍結了相關的超3300萬USDT資產；

https://twitter.com/paoloardoino/status/1425090760609832978

● 幣安，Okex，火幣等發佈公告，會關注此事件資金流向； https://twitter.com/cz_binance/status/1425091869709570060 ,

https://twitter.com/JayHao8/status/1425094897976193034,

https://twitter.com/DujunX/status/1425100770588954626

● 與USDC，BSC, Polygon，Heco，wBTC，MetaMask等取得聯繫；

● Poly Network推特持續發布事件進展，減少用戶恐慌情緒，避免非屬實的流言。

https://twitter.com/PolyNetwork2/status/1425309429935710208

Decentralization has a long way to go

通過與白帽先生的溝通，雙方緩和了情緒，基本信任建立。 8月11日，攻擊者宣布「準備歸還資產」 。隨後Poly Network的收款地址部署完成，8月11日8:43:57 AM +UTC Poly團隊開始回收第一批退還資產。截止到8月13日，系統收回足夠的資產以恢復部分功能，在與白帽先生確認後，項目進入了恢復重建階段，核心目標還是兩點：促成資產收回，快速系統修復。

● 與白帽先生確認收款流程； https://etherscan.io/tx/0x910b00b2b60b76d7c29a1855f9a1ebf204356eed22498334ddd46e46d96e06c2

● 向用戶承諾將收回全部資產作為首要目標；

https://twitter.com/PolyNetwork2/status/1425785007486820368

● 修復系統漏洞，確保系統的安全性；

https://github.com/polynetwork/eth-contracts/pull/12/files

● 確認系統重啟計劃和籌備路線圖；

https://medium.com/poly-network/poly-network-roadmap-for-the-next-phase-9f84c03c2e53?source=social.tw&_branch_match_id=549963884981436182

● 開放恢復資產的項目方申請通道；

https://twitter.com/PolyNetwork2/status/1427233445185409026

● 與Tether協商凍結的USDT處理方式；

● 與社區保持溝通；

https://twitter.com/PolyNetwork2/status/1425739339820982275

最終進展如下：

● 回收BSC, Polygon資產；

https://twitter.com/PolyNetwork2/status/1425309429935710208

● 建立共管賬戶； https://etherscan.io/tx/0xf391ec8d5935d4ec11efb2c8b99ba3586cb0b0f05c5e0b9c44c74a1c40386bd7

● 完成修復系統漏洞並公佈新安全方案；

https://twitter.com/PolyNetwork2/status/1426819500263890946

● 宣布系統重啟路線圖；

https://twitter.om/PolyNetwork2/status/1426490057276280832

● 確認可恢復功能項目清單並支持功能恢復；

https://twitter.com/PolyNetwork2/status/1427839007501680640

白帽先生自己也在區塊鏈上闡述了自己此次攻擊的原因，過程和給大家的誠懇建議，我們對全文進行了記錄：

https://docs.google.com/spreadsheets/d/14hMTpPNylZG6DizU3K-fpDbfYZxenI_KtbHpWkdc7VM/edit#gid=0

期間，Poly Network團隊也在經歷著前所未有的評議與爭論，我們看到最大的爭議也同樣是白帽先生提出自己最大的顧慮- Poly Network的去中心化進程；

QUICK Q & A, PART (INCREDIBLE) SEVEN:

A: I AM FAIRLY CONFIDENT OF THEIR DESIRE AND CAPABILITY TO RECOVER AND SECURE THE PROJECT WHICH HAS BEEN DESIGNED AS A ROBUST SYSTEM. MY ONLY CONCERN IS THAT THE POLY CHAIN, THE CORE PART OF THE WHOLE NETWORK, IS _NOT VERY DECENTRALIZED_, AND THAT IS NOT SOMETHING I CAN CONTRIBUTE TO. MAYBE I AM _WRONG_. https://etherscan.io/tx/0x1f3ff47b612f2c92a8bda39ba310c38b22a32dca94a38d7073abbc9bb53c1dbc

在此，我們也想為此疑慮做出解釋，事實上項目已經在去中心化的路徑上探索許久，我們相信去中心化永遠是優秀的協議非常重要的一環，如果有興趣，大家可以關注下： https://github.com/polynetwork/Zion ， 在半年前，我們已經啟動了Poly Network的新版本的開發，我們希望未來通過完整的經濟模型和治理機制，來保證整個網絡的去中心化管理。因為跨鏈協議不同於單鏈項目，由於要實現不同特性鏈之間的互操作性，除了實現安全性要比單鏈更加複雜外，如何更有效的治理也是一個重要的部分，實現多元化世界的一致性，需要各個相關方進行更加高效的共識。

Security is everything

安全一定不是一蹴而就的事，對於網絡安全，此次事件已經凝聚了全行業最直接深刻的體會。

https://twitter.com/PolyNetwork2/status/1426197361177493511

8月15日，在確定並公佈恢復計劃後，團隊開始持續推進和落實路線圖中的工作，包括在immunefi的平台上發布了總額為50萬美金的安全賞金計劃，希望吸引全球安全機構和白帽組織為Poly Network的安全助力，當然這只是安全的第一步，系統恢復期內我們也：

● 邀請白帽先生作為Poly Network的首席安全顧問並提供160ETH安全賞金

https://twitter.com/PolyNetwork2/status/1427574236483231749

● 與PeckShield、BlockSecTeam、Beosin (Chengdu LianAn Tech)等安全機構確認修復和重啟方案

1）PeckShield：

https://peckshield.medium.com/polynetwork-bug-review-and-patch-analysis-88bde8441297

2）BlockSecTeam：

https://blocksecteam.medium.com/the-informal-security-review-of-the-patch-of-the-poly-network-1a0a532b731e

3）Beosin (Chengdu LianAn Tech)：

https://beosin.medium.com/boesins-analysis-of-the-fix-code-on-poly-network-smart-contracts-a305639ea626

https://medium.com/poly-network/latest-updates-aug-20-a12447c6d899

https://medium.com/poly-network/latest-updates-aug-19-ed7ab8e5c2f0

https://medium.com/poly-network/latest-updates-aug-17-241398d64a40

同時我們也想引用白帽先生闡述的對區塊鏈安全的一些建議，我們覺得在一定程度上是中肯客觀的。

Guys, ask yourself, is the poly team the owner of the assets? They are just the manager of the fund! Will you teach them how to trigger their 'backdoor'? In the defi world, you can trust nobody but the code and youself .To the 'victims': I don't mean the poly team is not trustworthy, but none of you have the chance to challenge their code which should be the law. Don't worry, you are not real victimes. I saved you ! https://etherscan.io/tx/0x078063e9574e1937a64b6552919b9fc0035429df1e601d79e200bf211e75f337

Q: ANYTHING ABOUT THE DEFI/BLOCKCHAIN SECURITY?

THE SECURITY IS A TOUGH JOB, NO MATTER IF IT'S IN CLASSIC OR CRYPTO WORLD. IN MOST CASES, WE SECURITY EXPERTS ARE ONLY SUMMONED AS THE MEDICAL EXAMINERS AFTER THE INCIDENTS. WHAT WE DO IS JUST WRITING POSTMORTEMS, SOMETIMES TRACING THE BAD GUYS. IT'S ALMOST THE SAME IN THE CRYPTO WORLD, EXCEPT THAT SOME PROJECT ARE NOT VERY URGENT GETTING THE MONEY BACK SINCE IT'S NOT THEIR MONEY, THEY WOULD JUST TELL THE REAL VICTIMS THAT 'SORRY WE TRIED BUT NEVER GURANTEED THE EXTREME SECURITY'. https:// etherscan.io/tx/0x42446ccc66bb48eac7bd905ae7d79708f303849802b280eb4d65770c1bfc0997

我們相信協議的安全始終是重要的一環，但是我們也相信在crypto的世界裡，代碼之上仍有更廣袤和豐富的存在，或許大家有著不同的價值觀和知識儲備，但是依舊可以公平的參與到這個世界建設和治理裡，我們在未來想建立的不僅僅是一個安全的協議，更是一個對所有人公平透明的協議。

All your tokens have returned to you

所有的故事都會有一個尾聲，很欣慰，這次的故事是一個Happy Ending。

● 8月19日，白帽先生歸還了Ethereum上的96,942,063 個DAI。

● 8月22日，除wBTC和ETH資產已盡數歸還。 Poly Network開始進行穩定幣的資產清點和復原，以協助O3 Hub的功能恢復。

● 8月23日完成了白帽先生返回的96,942,063個DAI與USDC之間的轉換，同時將BSC上的87,557,051個BUSD轉換為USDC(BEP-20)。對於在交易中產生的滑點損耗和手續費，Poly Network團隊用自有資金進行補償。

https://etherscan.io/tx/0x814e6a21c8eb34b62a05c1d0b14ee932873c62ef3c8575dc49bcf12004714eda

● 8月23日白帽先生公佈了多簽錢包的私鑰。

https://twitter.com/PolyNetwork2/status/1429738587046563841

● 8月25日，此次攻擊事件受影響的WBTC 和ETH資產全部恢復。

https://twitter.com/PolyNetwork2/status/1430485302527741954

● 同日，Tether將此前凍結的33,431,200 USDT資產全數釋放至Poly Network接收資產的多簽錢包。

https://twitter.com/Tether_to/status/1430510652582416387

● 8月26日，Poly Network完成USDT資產的複原工作。至此，所有受此次攻擊事件影響的資產恢復完畢。

https://medium.com/poly-network/poly-network-asset-recovery-complete-a7ba33c2f2e4

Thank you all for standing with us

這個故事到了一個尾聲，但是對於我們來說卻是下一個征程的開始，在新的征程開始之前，我們想對所有使用Poly Network的項目和用戶，表示誠摯的感謝和深切的歉意。很抱歉由於系統漏洞給所有用戶帶來的困擾。感謝你們對項目的信任，雖然我們有可能會失去了一部分曾經相信我們的人，但我們會用之後的行動重新建立大家對項目的信心。同時，我們也將會用我們的方式去感謝所有使用過，支持過，一起經歷過這次事件的每個人，後續具體的細則我們將在系統完全恢復後在官方渠道公佈，請大家保持關注。

最後我們想說，項目安全始終是Poly Network以及整個行業永恆的主題，希望Poly Network事件不僅能幫助我們建設一個更健壯的項目，還能給整個行業帶來足夠深刻和持久的警示。對於我們來說，這段經歷將成為我們永不會忘卻的記憶，它不僅僅代表了一個協議的安全，更有關對信任、權力、慾望、責任、信仰新的理解。