6 億美元如何被黑客盜走，揭秘史上最大加密代幣盜竊案

圖注：6 億多美元加密代幣被黑客盜走

北京時間 8 月 13 日消息，本周二，黑客犯罪分子成功實施了史上最大一樁加密貨幣盜竊案，從代幣交換平臺 Poly Network 偷走了 6 億多美元的數(shù)字貨幣，卻又在不到 48 小時內(nèi)返還了價值 3.42 億美元的代幣。

這期間到底發(fā)生了什么？黑客是怎么做到的呢？以下是這次加密貨幣盜竊案的信息匯總：

什么是 Poly Network？

在加密貨幣世界里，Poly Network 鮮為人知。它是一個去中心化金融 (DeFi) 平臺，旨在促進 P2P 交易，重點是讓用戶在不同區(qū)塊鏈之間轉移或交換代幣。

例如，客戶可以使用 Poly Network 平臺把比特幣等代幣從以太坊區(qū)塊鏈轉移到幣安智能鏈。

Poly Network 由中國企業(yè)家達鴻飛創(chuàng)建，后者目前也是區(qū)塊鏈平臺 Neo 的 CEO。Neo 的網(wǎng)站顯示，Poly Network 在去年 8 月由 Neo、加密貨幣交易平臺 Switcheo 以及區(qū)塊鏈公司 Ontology 合作推出。

黑客是如何盜取加密代幣的？

Poly Network 的運營基于幣安智能鏈、以太坊以及 Polygon 區(qū)塊鏈。區(qū)塊鏈之間的代幣交換使用的是智能合約。智能合約是一種特殊協(xié)議，旨在提供、驗證及執(zhí)行合約，里面包含了何時向對方釋放資產(chǎn)的指令。

加密貨幣情報公司 CipherTrace 稱，Poly Network 使用的其中一項智能合約包含了大量流動性資產(chǎn)，旨在便于用戶高效地交換代幣。然而，Poly Network 周二發(fā)布推文稱，初步調查發(fā)現(xiàn)，黑客就是利用了這一智能合約中存在的漏洞。

根據(jù)以太坊程序員凱爾文?菲克特 (Kelvin Fichter) 對交易的分析，黑客似乎重寫 (Override) 了發(fā)給三大區(qū)塊鏈的合約指令，把資金轉移到了三個錢包地址中，也就是存儲代幣的數(shù)字位置。這一過程隨后被 Poly Network 追蹤到并公布。

區(qū)塊鏈取證公司 Chainalysis 稱，攻擊者盜取了 12 種以上的不同加密貨幣資金，包括以太幣和一種類型的比特幣。

Chainalysis 發(fā)布在以太坊網(wǎng)絡上的數(shù)字信息顯示，一位聲稱參與了攻擊的人士稱，他們發(fā)現(xiàn)了一個“漏洞”(沒有具體指出是何種漏洞)，想在其他人利用它之前將其曝光。路透社無法證實這些信息的真實性。

錢去哪了？

加密貨幣網(wǎng)站 Coindesk 周二報道稱，黑客一開始試圖把三大錢包之一里的部分資產(chǎn)轉移到流動性池 Curve.fi 中，但是遭拒絕。大約 1 億美元代幣從另外一個錢包中轉出，存放到了流動性池 Ellipsis Finance 中。

Curve.fi 和 Ellipsis Finance 尚無法聯(lián)系到發(fā)表評論。

然而據(jù) Poly Network 透露，黑客從周三稍早時候開始把資產(chǎn)轉回到 Poly Network。到周四早晨時，黑客已經(jīng)退還了價值 3.42 億美元的代幣，還有 2.68 億美元從以太坊區(qū)塊鏈盜取的代幣尚未歸還。Poly Network 在美國東部時間周四大約 10 點 (北京時間周四 22 點) 表示，仍在與黑客溝通，后者正逐漸退還剩余資產(chǎn)。

黑客是誰？

目前還無法確認黑客的身份，也不知道是一個人還是多人發(fā)起的攻擊。

網(wǎng)絡安全公司 SlowMist 在其網(wǎng)站上稱，它已經(jīng)發(fā)現(xiàn)了攻擊者的郵箱、互聯(lián)網(wǎng)協(xié)議地址、設備指紋 (獨特的設備標識)，但是尚未點出任何個人的名字。SlowMist 稱，這次盜竊案“很可能是一次計劃已久，有組織、有準備的攻擊”。

根據(jù)區(qū)塊鏈分析公司 Chainalysis 發(fā)布的信息，盡管實施攻擊的黑客假扮成了“白帽黑客”(會退還資金的有道德黑客)，但是一些加密貨幣專家表示懷疑。

Chainalysis 首席技術官、前美國聯(lián)邦調查局資深官員古瓦斯?格雷格 (Gurvais Grigg) 認為，白帽黑客不大可能竊取如此大規(guī)模的資金。他在周三表示，黑客之所以退還部分資金，可能是因為發(fā)現(xiàn)很難把它們轉換成現(xiàn)金。

“很難知道他們的動機…… 讓我們看看他們是否會退還全部資金吧?！彼a充稱。

廣告聲明：文內(nèi)含有的對外跳轉鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結果僅供參考，IT之家所有文章均包含本聲明。