盜取 6 億美元卻悉數奉還,這場史上最大規模的「數字劫案」迎來大反轉

愛範兒 於 20/08/2021 發表 收藏文章

「大劫案」一直是各路警匪片、懸疑片導演最愛的話題,因為觀眾光看到劫案金額,故事的情節、矛盾就已經呼之欲出,所以歷史上著名的「大劫案」基本上都被改編成影視作品。

不過想要改編最近發生的一起「大劫案」,可能會難倒一眾名導。


它涉及的金額巨大—— 6.1 億美元;發生得讓人措手不及——從開始到結束不過半個小時;情節走向更是曲折離奇——不到一週,「小偷」將贓款幾乎盡數歸還,還被邀請擔任安全專家。

而發生的一切,都被記錄在了區塊鏈上,永久地保存下去。

有史以來規模最大的加密貨幣盜竊案


在盜竊案發生之前,很少有人會在網絡上注意到 Poly Network 平台。

Poly Network 和大多數 DeFi(Decentralized Finance,去中心化金融)交易平台一樣,為用户提供借貸、交換或交易加密貨幣的服務,目前累計貿易總額已達 109 億美元。

這裏提到的 DeFi 是一種基於區塊鏈技術的新應用。

過去放貸、借貸、儲蓄等金融服務往往需要銀行等作為中間機構作信用背書,而 DeFi 則利用區塊鏈的智能合同,取代了這些金融機構,實現用户間點對點的交易。

少了中間機構的監管,既意味着更低的中介手續費和更自由的資金流轉,也意味着更高交易風險。


就在 Poly Network 剛慶祝完自己的年貿易額突破 100 億美元不久,意想不到的事情發生了。


8 月 10 日的 17:55,Poly Network 發現有人利用智能合約轉移了價值超過 2.6 億美元的數字資產,十分鐘後攻擊並未停止,黑客繼續轉移了 8508 萬個 USDC,損失了近 3.5 億美元。

然而這一切還未結束,當日 18:08 黑客繼續轉移了價值約 2.5 億美元的數字資產,不到半個小時的時間裏沒有一絲硝煙,6.1 億美元的數字資產就此不見蹤影。

相比黃金大劫案、火車大劫案,這場速戰速決的「加密貨幣大劫案」少了一分緊張刺激,更多的是疑惑和不解——賬户上的數字瞬間消失,只在區塊鏈上留下幾段交易記錄。

▲「尊敬的黑客……」

Poly Network 在當晚急忙發佈了被盜公告,並暫停了網站的交易服務。Poly Network 稱他們已經聯繫了 USDC、USDT 等穩定貨幣發行商凍結被盜的貨幣,並且將會採取法律行動追討這批鉅款。

這是一次不同尋常的偷盜行動,根據區塊鏈複雜的加密算法,想要竊取管理者的私鑰轉移資金是一件非常困難的事。

如果用户在單一區塊鏈(比特幣、以太坊等)上進行交易,安全性還是很高的。


問題就在於,Poly Network 提供了跨區塊鏈的轉移交易,例如用户可以通過跨鏈交易將以太坊的資金轉移到萊特幣等別的區塊鏈上,這給黑客留下了可乘之機。

區塊鏈安全公司慢霧科技在盜竊案發生後給出了分析,其稱黑客利用了 Poly Network 在跨鏈交易時合約存在的函數漏洞,將正常的交易地址修改成了自己的地址,實現資金的轉移。

這就像是信件在被郵遞前,被偷偷修改了收件人的地址,「小偷」不需要劫持郵遞車便可以在家裏靜候它的到來。


按照常規「大劫案」的故事發展,接下來應該是警方夜以繼日的偵查、與歹徒鬥智鬥勇最後討回贓款,然而劇情的走向卻開始走偏。

在盜竊案發生的第二天,一位自稱是黑客的匿名人士通過以太坊的交易記錄向 Poly Network 喊話,稱他們「準備歸還」這筆史上被盜最大數額的數字贓款。

▲ 來自吃瓜羣眾的熱心提醒

這還不是他們的第一起「騷操作」,在盜竊案發生的一小時後,有位「熱心」的觀眾提醒黑客他的資產正在被凍結,隨即便收到了黑客的慷慨回禮——價值 4.2 萬美元的數字貨幣。

顯然,這個「劫匪」並不一般。

「我不在乎錢」

▲ 圖片來自:Ft.com

不管是礙於法律追查的壓力、貨幣被凍結導致難以贓款轉移,還是發自真心的「善意」,黑客表示他們只是想用這種極端的方式提醒 Poly Network 存在漏洞,並願意和他們保持溝通,逐步返還被盜的貨幣。

正所謂「浪子回頭比特幣不換」,儘管這聽起來像是鱷魚流下的一滴真摯眼淚,但信奉自由主義的加密貨幣機構還是選擇了相信他們。

Poly Network 稱呼他為「白帽先生」——和黑客相對立,是信息安全的保衞者。


基於善意的溝通也很快得到迴應,從 8 月 11 日開始,「白帽先生」陸續向 Poly Network 提供的三個錢包轉移資金,在盜竊案發生的 48 小時內,他們已經歸還了價值約 5.8 億美元的資產。

其中未歸還的 3340 萬美元是穩定貨幣 USDT(與美元直接掛鈎,採用 1:1 固定兑率),在被盜後第一時間遭到了發行公司 Tether 的凍結,具體怎麼歸還需要雙方的進一步溝通。

Poly Network 在社交媒體上稱他們這段時間正積極地與「白帽先生」溝通漏洞,還和更多的安全機構接觸,一起對平台存在的問題進行修補。


為了「感謝」他們的幫助,Poly Network 還宣佈願意給予「白帽先生」50 萬美元的獎金,故事似乎朝着大團圓的方向發展。

對於這份「答謝禮」,「白帽先生」並沒有第一時間選擇接受,而提議將它作為技術團體的漏洞獎金,鼓勵更多的人一起維護區塊鏈交易的安全。

誰也沒想到這個由「技術」和「金融」組成的高地最終會被「道德」所佔領,翹起 6.1 億美元鉅款的,竟然是雙方的信任,這份信任並沒有任何中介擔保,沒有銀行,沒有交易所,沒有區塊鏈的加密算法。


這一絲誠信,也讓這個完全由代碼構成的金錢世界多了一點屬於人的温熱,儘管誠信的背後可能有着複雜的驅動力。

Poly Network 在 8 月 17 日迴應了「白帽先生」的提議,無論「白帽先生」選擇如何處理獎金,他們都會尊重他的決定,並且誠意邀請他擔任 Poly Network,無意追究他的法律責任。

至於是否要從黑暗走出來,接受對手拋出的橄欖枝,「白帽先生」還未給出迴應。

數字資產「易盜不易花」


儘管這場「大劫案」以近乎大團圓的結局落幕,DeFi 市場卻從未平靜。

區塊鏈公司 Clearmatics 的 Tim Swanson 表示,Poly Network 事件在 DeFi 世界裏,「只是一個普通的星期二」。

根據加密數據公司 Chainlysis 的數據顯示,在 2020 年 DeFi 交易僅佔所有加密貨幣活動的 6%,卻佔了所有數字資產盜竊案的三分之一。


《金融時報》的報道指出,由於 DeFi 用智能合同消除了人工中介,一些開發人員認為這些軟件程序創建的規則構成了「法律」,但律師團體並不認同。

被捲入這次搶劫風波的用户很難用法律保護自己的財產安全,因為 Poly Network 沒有規定任何條款來管理,也沒有提到任何一個法律主體。

温情的結局並不能掩蓋這場大規模「搶劫案」的可怕,它揭示了 DeFi 世界脆弱的數據安全,這就像是一個堆滿金子的礦場,卻只有一把生鏽的鎖頭守護着大門。

美國商品期貨交易委員會的專員稱 DeFi 就像是一個「霍布斯式的市場」,沒有監管的自由交易充斥着骯髒和野蠻。


不過這場風波暴露的也不全是壞事,Chainlysis 認為加密貨幣容易遭到盜竊,但相比實體資產卻更難實現轉移。

越來越多的加密貨幣社區正在不斷地提高加密貨幣的透明度,在攻擊發生後,Twitter 等社交平台上就充斥着各種消息追蹤黑客的資金流動。

由於每一筆交易都會記錄在區塊鏈上,黑客幾乎不可能做到悄無聲息地資產轉移,因為每一次操作都會被廣播給所有用户。


當整個市場的注意力都聚焦在這個「小偷」的身上,繼續逃跑顯然不會是最明智的選擇,但這種自發的媒體監管能代替法律與法規嗎?這是每個投資者和投機者需要思考的問題。

「白帽先生」在公開承諾退款後,曾經通過以太區塊鏈的交易留言,接受了 Elliptic 的首席研究員 TomRobinson 的採訪。


或許我們可以節選一些這場不那麼正經的明暗對話,作為這場轉瞬即逝、但被永遠記錄在區塊鏈上的風波之結束語。

引用Q:為什麼當黑客

A:好玩 🙂

Q:為什麼攻擊對象是 Poly Network

A:因為跨鏈交易最近很火

Q:為什麼這麼複雜?

A:Poly Network 是一個不錯的平台,它是黑客可以享受的最具挑戰性的攻擊之一。我必須迅速擊敗任何內部人士或黑客,我把它當作是一種獎勵 🙂

Q:為什麼要給人 4.2 萬美元的小費

A:我感受到了以太社區的温暖。

我正忙着調查 HECO 的問題和調試我的腳本,我以為網絡問題導致我不能存款,(我處在複雜的代理之後,所以我想跟這個傢伙分享我的善意。

Q:為什麼要退款?你是膽小鬼嗎?

A:隨便你怎麼想 🙂

當你評判別人時,你不是在定義他們,而是在定義你自己。

我已經享受了我最關心的事情:黑客和指導。

很少有黑客能夠理解 DeFi 的安全情況,你會看到很多黑客,但他們中的大多數並不像一個真正的黑客那樣令人愉快。一些愚蠢的代碼導致了巨大的損失,這並不具有挑戰性,而是像青春期的一次叛逆。

我承認,黑掉 Poly Network 並不像你想象的那樣花哨,但我確實從這個項目中體驗到了新的東西。

我想説的是,找出 Poly Network 結構中的盲點將是我人生中最美好的時刻之一。

隨着加密世界的發展,我已經有了足夠的資金,我有很長一段時間都在尋找生活的意義。我希望我的生活可以由獨特的冒險組成,我喜歡學習和黑客的一切,以對抗命運的考驗。

説實話,我確實有一些自私的動機,想通過利用巨大的資金來做一些很酷但不太有害的事情,就像 DAO 的想法。還是為之歡呼吧!


資料來源:愛範兒(ifanr)
標籤: 數字劫案  加密貨幣  

留言


請按此登錄後留言。未成為會員? 立即註冊
    快捷鍵:←
    快捷鍵:→