币圈史上最大盗窃案！ 偷40亿还17亿！黑客：我对钱不感兴趣

近日，跨链去中心化金融平台Poly Network宣布被黑。 短短34分钟，价值超过6.1亿美元（约合人民币40亿元）的虚拟货币被洗劫一空。 据悉，这起事件是迄今为止全球加密货币史上最大规模的盗窃案。

8月12日中午，保利网络平台在社交媒体上发布公告称，黑客已归还被盗资金2.6亿美元（约合人民币17亿元），另有3.53亿美元未归还。

超过 6 亿美元的加密货币被盗

Poly Network是去年启动的合作项目，旨在打造“异构互操作协议联盟”，将区块链融入更大的跨链生态。 目前，该协议正在多个区块链上运行，例如 Binance Smart Chain (BSC)、Ethereum 和 Polygon。 通过这个协议，用户可以使用单一资产来交易不同的货币。

此次攻击最早发生在8月10日17时55分，黑客先后从以太坊网络的Poly Network智能合约中转移了9638万美元的USDC、1032个WBTC等资产。 从 18:04 开始，黑客从 Polygon 网络的智能合约中转移了 8508 万美元的 USDC。 从18:08开始，黑客从币安智能链上的项目智能合约中转移了8760万美元的USDC、26629个ETH等资产。

Poly Network 在其官方推特上证实了此次盗窃事件，估计损失至少 6.11 亿美元，其中以太坊 2.73 亿美元，币安智能链 2.53 亿美元，Polygon 8500 万美元。 USDC 以及三个较小的区块链也遭受了损失。

此外，保利网络还同时公布了3个确认被盗资产转账地址，呼吁所有区块链和加密交易所将这些地址的代币列入黑名单。

在 Poly Network 宣布被黑后约一个小时，黑客试图通过以太坊地址将包括 USDT 在内的资产转移到流动性池 Curve Finance，但记录显示交易被拒绝。 但此前，币安智能链地址在30分钟内向流动性池Ellipsis Finance转账近1亿美元，完全无法追回。

随后，保利网络团队也在推特上致函黑客，表示希望建立沟通，并敦促归还被盗资金。

保利网络团队在信中写道：

我们是保利网络团队。

我们想与您取得联系，要求您归还被黑资产。

您非法获得的资产数量是 DeFi（去中心化金融）犯罪史上最高的之一。 各国执法部门都会把这个案子当成“重大经济犯罪”来追捕，执行汇款交易也没用。 您窃取的资金来自数以千计的加密社区用户。

您应该与我们一起寻找解决方案。

不过，对方似乎并没有这样的意愿。 在以太坊社区etherscan.io，黑客先是公开询问如何利用以太坊上的匿名转账平台Tornado.cash进行“洗币”，随后留下略带挑衅的留言称自己“手下留情”。 他写道：“如果我把所有资产都转走，那么我就成功盗取了 10 亿美元。我只是拯救了这个平台吗？我现在正在考虑归还一些代币，或者干脆保留它们。在这里。我创造一种新货币怎么样？让 DAO（去中心化自治组织）决定他们去哪里？”

更有戏剧性的是，在相关地址公开后，有网友通过社区链接警告黑客，称“您的地址已被列入黑名单，请勿转移资产”。 黑客还“慷慨解囊”了网友13个以太币，价值约4.2万美元。 随后，网友纷纷给他留言，希望“分一杯羹”。

8月12日中午，保利网络平台在社交媒体上发布消息称，黑客已归还被盗资金2.6亿美元。 对于黑客开始退钱，财经博客 Zerohedge 援引区块链分析公司 Elliptic 首席科学家 Tom Robinson 的话说：“这表明由于区块链的透明性和区块链分析技术的使用，即使加密资产可能被盗，洗钱和套现也很困难。在这种情况下，黑客认为最安全的选择是归还被盗资产。

黑客上演盗币直播

事发后，各大平台和资产方积极响应，努力阻止黑客转移赃款。

发行Tether（USDT，又称稳定币）的Tether公司表示，盗窃案中价值约3300万美元的Tether已被冻结。

币安CEO赵长鹏随后在社交媒体上表示：“我们已经获悉保利网络发生黑客事件，虽然没有人能够控制币安智能链和以太坊，但我们正在协调所有安全合作伙伴，尽最大努力提供帮助。”提供，但不能保证成功。”

慢雾科技在推特上表示，他们的研究人员“了解黑客的邮箱、IP 和设备指纹”，并且“正在追踪与保利网络黑客相关的所有身份”。

研究人员得出的结论是，这起盗窃案“很可能是一场精心策划、有组织、有准备的袭击”。

然而就在各大平台和资产都手忙脚乱之际，嚣张猖獗的黑客直接向全世界上演了一场“盗币直播”。

在8月10日晚的链转消息中，黑客甚至挑衅地表示：“我没有带走协议中的所有资产，已经是手下留情了。”

8月12日，PolyNetwork黑客还发布了一份关于区块链的“问答”。 攻击者表示之所以选择Poly Networ，是因为跨链攻击非常流行。 转移令牌是为了安全。 攻击者说：“当发现一个错误时，我的心情很复杂。问问自己，面对这么多财富，你该怎么办？礼貌地询问项目团队，以便他们解决问题？面对 100 亿，任何人可能是叛徒，我不能相信任何人。我能想出的唯一解决办法是将它保存在受信任的帐户中，同时保持自己的匿名和安全。现在每个人都闻到了阴谋的味道。内幕？我不是洗usdt币，但是谁知道呢？我有责任在任何内部人员隐藏和利用它之前揭露这个漏洞。”

此外，关于他为什么要入侵交易平台的问题，他说：“为了好玩。这是黑客可以享受的最具挑战性的攻击之一。我必须快速击败任何内部人员或黑客，我将其视为奖励挑战。”我明白即使我不作恶也会暴露自己的风险。所以我使用临时的电子邮件、IP或指纹，这是无法追踪的。我宁愿留在黑暗中拯救世界。”

至于部分虚拟货币为何被退回，他说：“我对钱不是很感兴趣！我知道人们在受到攻击时会很痛苦，但他们不应该向这些黑客学习一些东西吗？”

DeFi成为黑客重灾区

跨链去中心化金融（DeFi）在过去几年越来越受欢迎，吸引了数十亿美元的投资，因为“去中心化”的交易、借贷相关应用迎来了资金热潮，但这也让他们黑客的目标。

今年 5 月，另一家跨链 DeFi 协议 Rari Capital 也因黑客攻击损失了价值近 1100 万美元的以太币。

今年7月，跨链流动性协议Thorchain在两周内遭遇两次黑客攻击。

根据加密货币情报公司 CipherTrace 近期发布的一份报告，今年前 7 个月，整体加密货币欺诈和犯罪明显下降，但 DeFi 黑客造成的损失比去年高出 270%。

今年前 7 个月的 DeFi 犯罪活动大部分来自外部黑客攻击，造成 3.61 亿美元的损失，占所有 DeFi 相关犯罪活动的 76%。 剩下的 24% 是“Rug-Pulls”（即当加密货币创始人放弃项目并卷走投资者的资金时），截至 7 月底总计超过 1.13 亿美元。

“随着 DeFi 生态系统的扩展，围绕 DeFi 开展犯罪活动也就不足为奇了，”CipherTrace 首席执行官 Dave Jevans 在给媒体的一封电子邮件中表示。

“2021 年短短八个月，DeFi 行业的黑客、盗窃和欺诈活动已经超过了 2020 年该行业的犯罪活动总量。全球监管机构都特别关注 DeFi。”

交易平台受到攻击

用户自担风险

这起事件中被盗的钱数额之大，受害者不在少数。 目前，受此次盗窃影响的主要群体是通过跨链聚合器O3 Swap挖矿的用户。 那么，这些用户能否顺利追回资产呢？

链律师团队负责人郭亚涛表示，实践中，在现有的法律框架下，普通投资者几乎不可能就智能合约漏洞和黑客攻击造成的用户损失获得法律救济。

区块链安全公司Ambi Labs的郭宇表示，从安全的角度来看，当一个系统足够复杂，承载大量资金时，黑客肯定会针对它，试图对其进行攻击以牟利。 虚拟货币交易平台是吸引黑客的宝库，复杂的黑匣子系统难以牢不可破。

加密货币“安全神话”彻底破灭

安全专家：值得警惕

据了解，此次黑客利用不同合约（智能合约）之间的协议漏洞发起攻击。 外媒报道称，此次黑客事件表明，新生的“跨链协议”平台频频遭到黑客攻击，损失惨重，让人质疑所谓“去中心化金融”的安全性。

其实币圈最著名的盗窃事件就是当年的“门头沟事件（MT.Gox）”，丢失的比特币还没有消失。 MT.Gox 是位于日本东京的比特币交易所。 它早在2010年就开始了比特币交易业务，由于参与时间早，竞争对手少，一度成为全球最大的比特币交易所。 其交易量占全球的80%之多。 2014 年 2 月，MT.Gox 声称丢失了大约 750,000 个属于客户的比特币和 100,000 个平台本身的比特币。 MT.Gox交易所因此宣布关闭并申请破产。

区块链数据公司 Messari 的研究分析师 Ryan Watkins 表示：“正如我们所看到的，所有的漏洞都证明，与其他区块链及其特性相比，跨链金融是一个非常困难的领域。连接增加了它的复杂性。”

币安智能链的一位发言人告诉 CoinDesk，作为一个“去中心化”的区块链，BSC 上的协议和用户需要“非常认真地”采取安全措施。 BSC 目前正在与安全合作伙伴合作，为正在进行的调查提供尽可能多的支持。 发言人表示：“我们知道影响以太坊、Polygon 和 BSC 用户的 Poly 漏洞。 最近，一些不受信任的桥梁成为黑客攻击的受害者，我们建议进行安全审计和必要的尽职调查。”

区块链分析公司 Elliptic 的联合创始人汤姆罗宾逊在接受采访时也表示，这种现象值得警惕，因为黑客已经开始利用去中心化交易所将被盗资产转换为其他资产。 他指出，某些代币，例如稳定币洗usdt币，理论上可以被其发行人没收，并将其归还给其合法所有者。 然而，这对于被盗的以太币来说是不可能的。

资料来源：中国经营报整理自中国证券报（郑亚硕）、红星报、财联社、华尔街报等。