合约|DeFi史上最惨一夜,区块链智能合约被黑客攻击损失6亿美金


合约|DeFi史上最惨一夜,区块链智能合约被黑客攻击损失6亿美金
文章图片

图片来源:视觉中国

撰文 | 律动 0x29 0x49
来源 | 律动BlockBeats
当行业的热情聚集在 NFT 的时候 , DeFi 协议再次发生被盗事件 , 而这次规模远超想象 。
8 月 10 日 , 跨链协议 Poly Network 确认被盗 , 使用该协议的 O3 Swap 损失惨重 , 在以太坊、币安智能链、Polygon 三条网络上的资产几乎被洗劫一空 。 据浏览器显示 , 在 34 分钟内 , 黑客带走了 3.02 亿枚 USDT、5.5 万枚 ETH、2000 枚比特币等等若干类资产 , 总价值 6.1 亿美金 。
要知道 , 2020 年全年 DeFi 攻击事件共发生 60 余起 , 损失总和约为 2.5 亿美金 , Poly Network 一场攻击就超过了 2020 年整年 2 倍有余 。
【合约|DeFi史上最惨一夜,区块链智能合约被黑客攻击损失6亿美金】这个量级的被盗规模 , 位列 DeFi 历史之首 。
攻击过程
首先 , 黑客通过攻击 Poly Network 以太坊跨链管理员合约(Ethereum Cross Chain Manager contract , 合约地址:0x838bf9e95cb12dd76a54c9f9d2e3082eaf928270) 。
随后 , Poly Network 以太坊资产代理合约(Ethereum Asset Proxy contract , 合约地址:0x250e76987d838a75310c34bf422ea9f1AC4Cc906)开始陆续向黑客地址转账(合约地址:0xc8a65fadf0e0ddaf421f28feab69bf6e2e589963) 。
根据律动 BlockBeats 统计 , 在差不多半小时的时间里 , Poly Network 以太坊资产代理合约一共向黑客地址发起了 9 笔转账 , 累计价值约 2.6 亿美元 。 黑客在 34 分钟里 , 从 ETH、BSC、Polygon 中带走了价值 6.1 亿美元代币 。

合约|DeFi史上最惨一夜,区块链智能合约被黑客攻击损失6亿美金
文章图片

图源:律动BlockBeats
在攻击发生后 , 社区发现 , 黑客可能通过「超级后门」提走了跨链池的资产 。 事实上 , 在这一切发生前三个月便有用户发现了问题 。 微博用户“昆麟玉”在 5 月表示 , O3 Swap 带有一键 rug 功能 , 可以一键转移用户质押资产到指定账户 , 并且合约不带时间锁 , 这意味着转移资产无需用户许可 。

合约|DeFi史上最惨一夜,区块链智能合约被黑客攻击损失6亿美金
文章图片

图源:律动BlockBeats 黑客的真人秀
6 亿美金的损失让策划这起历史罕见攻击事件的黑客成为了绝对焦点 , 而黑客也似乎很享受成为焦点的感觉 , 三条网络留下痕迹的三个攻击地址 , 成了他与全世界的直播频道 。
因为 6.1 亿美金的金额实在太引人注目 , 事发后各大平台和中心化资产方积极响应 , 试图阻止黑客利用平台特性将赃款转移 。 为此 , 在链上转账留言里 , 黑客向全世界询问如何使用以太坊上的匿名转账平台 Tornado.cash 进行混币 。
试想能够在 34 分钟盗走 6 亿美金的黑客 , 会连混币如何使用都不知道么?匿名转账这类知识黑客必定烂熟于心 , 慢雾在分析攻击时就说过黑客的初始资金来自匿名鼻祖门罗币 。
显然 , 黑客是在演戏 , 狂妄的黑客在利用这个频道营销自己 。

合约|DeFi史上最惨一夜,区块链智能合约被黑客攻击损失6亿美金
文章图片

图源:律动BlockBeats
随后的两条转账留言说明了一切 , 黑客用挑衅的语气 , 先表示“自己没有全部带走协议里的资产已经是手下留情” , 随后又要“发起一个 DAO 组织去决定这些资产的去向” 。

合约|DeFi史上最惨一夜,区块链智能合约被黑客攻击损失6亿美金
文章图片

图源:律动BlockBeats

合约|DeFi史上最惨一夜,区块链智能合约被黑客攻击损失6亿美金
文章图片

图源:律动BlockBeats
黑客并不是唱独角戏 , 无数看客在转账记录中留言 , 希望黑客能分一点赃款 。 其实每次黑客攻击后 , 暴露的地址都会有类似信息 , 但毕竟这是 6 亿美金的历史级别攻击 , 无数无眠的受害者与冷淡的看客 , 这也是另一片“黑暗森林” 。
我们能看到的是那些在 O3 Swap 中资产损失的投资者 , 但是 , 对于一场数亿美金级别的攻击 , 行业里所有人都是被害者 , 这场攻击让那些有准备在 DeFi 市场里试水的机构望而却步 , 让那些专业的 Smart Money 不敢轻易尝试 。 这场攻击打击的是 O3 Swap 投资者的信心 , 同时也是传统投资者对 DeFi 的信心 。 这不仅是 DeFi 历史上量级最大的攻击 , 也许也是 DeFi 行业的转折 。
这场攻击还没有划上句号 , 律动会及时追踪关于这场攻击的任何消息 , 曾经也有 2500 万美金的 DeFi 被盗案件以黑客归还全部资产而告终 , 我们希望 O3 Swap 的 6 亿美金 , 也能早日回到投资者手中 。
来源:区块律动
_原题34分钟抢走6.1亿美金 , DeFi史上最大盗窃案

    推荐阅读