LOX:一文读懂 PolyNetwork 6亿盗币案 DeFi历史金额最大_OLY

起始

PolyNetwork自称是全球领先的“轻量级”异构链跨链互操作协议，其独特设计的异构链以及跨链桥技术将通过在源链部署智能合约控制跨链，从协议层一举打通各个异构链之间甚至各个主流公链之间的通信和交易。2020年8月主网上线。PolyNetwork是由Neo、Ontology、Switcheo基金会共同作为创始成员，分布科技作为技术提供方共同发起的跨链组织。

慢雾安全团队梳理发现，黑客初始的资金来源是门罗币(XMR)，然后在交易所里换成了BNB/ETH/MATIC等币种并分别提币到3个地址，不久后在3条链上发动攻击。结合资金流向及多项指纹信息可以发现，这很可能是一次蓄谋已久的、有组织有准备的攻击行为。

攻击启动

1.8月10日晚上8点38分，跨链互操作协议PolyNetwork称遭到攻击，共计超6.1亿美元转出至3个地址。其中，转出至0x0D6e2开头币安智能链地址的资金有超2.5亿美元，转至0xC8a65开头的以太坊地址有超2.7亿美元，转至Polygon地址的有超8500万美元。

Circle将完全控制USDC的发行和治理，Coinbase和Circle将保持商业关系:金色财经报道，Coinbase发布博客文章称，Circle和Coinbase是USDC联合管理的自治联盟Center Consortium的创始公司，双方一致认为，随着美国和世界各地对稳定币的监管日益明确，不再需要像Center这样的单独治理机构，Center将不再作为独立实体存在，Circle将继续作为USDC的发行方，将中心的治理和运营职责纳入内部。新的结构将简化运营和治理，并增强Circle作为发行方的直接责任，包括持有所有智能合约密钥、遵守储备治理法规以及在新区块链上启用USDC。

作为下一发展借贷的一部分，Coinbase和Circle达成了一项新协议，Coinbase正在收购Circle的股权，这反映了Coinbase相信稳定币对更广泛的加密经济的根本重要性。 投资的性质意味着Coinbase和Circle现在将在金融体系的未来方面具有更大的战略和经济一致性。Coinbase致力于稳定币生态系统和USDC的长期成功。[2023/8/22 18:14:24]

其中：BSC资产：6613枚BNB、87,603,671枚USDC、26,629枚ETH、1,023枚BTCB、32,107,854枚BUSD

adidas GOLDEN TICKET NFT已关闭登记通道，将于5月19日起为中奖地址空投NFT:5月4日消息，据官方消息显示，adidas GOLDEN TICKET NFT目前已关闭登记通道，将于5月5日启动抽奖环节，于5月19日至20日期间为中将用户空投NFT。据悉，本次adidas GOLDEN TICKET NFT抽奖活动于4月27日开放登记，用户需在adidas CONFIRMED APP上登录账号并留下以太坊地址以参与抽奖。adidas GOLDEN TICKET NFT持有者将在后续活动中拥有诸多权限（从往年活动中来看将拥有限量款服饰的优先购买权等）。[2023/5/4 14:42:36]

Polygon资产：85,089,719枚USDC

以太坊资产：96,389,444枚USDC、1,032枚WBTC、673,227枚DAI、43,023枚UNI、14枚renBTC、33,431,197枚USDT、26,109枚WETH、616,082枚FEI

加密支付网关Alchemy Pay与ZD Group合作，共享其四张香港金融牌照:据官方公告，加密支付网关宣布，它已与全球投资基金Mouette Securities的母公司ZD Group合作。在此战略合作框架下，ZD Group向Alchemy Pay提供投资及共享其香港证券及期货事务监察委员会（SFC）和保险业监管局（IA）授权的四张金融牌照，而Alchemy Pay承诺为ZD Group的所有业务提供加密支付解决方案。

其中，ZD Group已与Alchemy Pay共享其获证监会授予的香港1类、4类和9类金融服务牌照。这三张牌照是在香港开展金融投资业务的关键和强制性牌照，分别涵盖证券交易、证券咨询和资产管理等领域。此外，Alchemy Pay还将获得香港保险业监管局颁发的ZD Group旗下Sunbright Wealth Management所持有的保险经纪公司牌照。[2023/3/13 13:00:44]

2.9点44分，Tether首席技术官PaoloArdoino发推称，Tether已经冻结攻击PolyNetwork的黑客地址3300万USDT。

数据：某地址从Immutable X跨链接收144万枚IMX并转入币安:2月17日消息，据推特用户Bit余烬监测，0x6eF2376fA6e12Dabb3a3ED0Fb44E4ff29847Af68地址在4小时前从Immutable X跨链接收144万枚IMX （约合165万美元），随后转入币安。

这应该是解锁的分配，该地址在49天前从IMX基金会国库解锁地址接收过 IMX。[2023/2/17 12:13:01]

外界不解的是，币安与Circle没有冻结BUSD与USDC，这也直接导致后续1.2亿美金的稳定币被转出。CZ回应没有人能控制BSC，Circle对此没有回应。

币安CEO赵长鹏表示，我们都知道的PolyNetwork盗币案今天发生。虽然没有人控制BSC，但我们正在与所有安全合作伙伴进行协调，以主动提供帮助。无法给出任何，但我们将尽我们所能。

3.9点56分，涉事以太坊地址开头0xC8a65开始尝试将资金存入Curve.fi，开始的几笔交易尝试由于USDT被冻结导致交易失败，随后便只存入DAI和USDC，共存入近一亿的稳定币。

4.10点03分，涉事币安智能链地址开头0x0d6e2又将近1.2亿美元的稳定币转入Curve分叉项目EllipsisFinance。

5.0点27分，涉事以太坊地址开头0xC8a65将此前存入稳定币获得的3CrvLP份额再次兑换为约96,942,061枚DAI。

双方沟通

11日凌晨，PolyNetwork发出对黑客的信，表示我们希望与你建立联系，并希望你归还被盗的资产。你盗取的金额在DeFi历史上是最大的一次，任何国家的法律都会把它视为一次重要的经济犯罪，你会遭到追捕。再进行任何的交易对你来说是不明智的。你盗取的资金是成千上万社区成员的财产。你应该与我们对话寻求一个解决方案。

随后黑客回应：如果我转移了剩余的币，那将是十亿美金级别，我难道不是拯救了这个项目？我对金钱不太感兴趣，现在考虑归还一些Token，或者将它们留在此处；如果我制作一个新的代币并让DAO决定代币的去向会怎样。

截止到8月11日上午9点40分，仍没有最新的进展。

原因

安全公司BlockSec发布了最新的分析报告，针对PolyNetwork被攻击事件，BlockSec安全团队初步分析认为，导致攻击发生的原因可能为用于跨链签名的私钥被泄漏或者签名程序有逻辑漏洞导致签署出攻击交易。BlockSec认为，攻击者可能拥有对消息进行签名的合法密钥，这表明签名密钥可能已泄露，或者PolyNetwork的签名过程中存在一个bug，被滥用于对精心制作的消息进行签名。慢雾安全团队分析称是由于跨链合约keeper被修改为黑客制定地址，从而使黑客可以随意构造交易从合约中取出任意数量的资金

其他

O3作为锁仓量最大的跨链协议之一，早先就已经发生多起有组织的攻击事件，但似乎没有引起PolyNetwork与O3的警惕。O3与PolyNetwork都属于NEO生态，也属于中文地区最大的加密公链之一，近年来往DeFi领域发力。

7月14日巴比特文章指出，在此之前，跨链攻击事件寥寥无几。但在短短半个月内，已出现5起安全事件，损失超过1700万美元。跨链攻击明显增多，这是否意味着黑客正在瞄准跨链协议生态？

TheBlock研究分析师IgorIgamberdiev曾表示，DeFi协议之间的互操作性变得越来越复杂，因此开辟了新的攻击媒介，并且将来会变得更加频繁。”此外，攻击者成功得手后也会通过跨链桥将资产快速转移，再结合混币服务将资产洗白。

10日晚间谣传甚广的官方私留超级控制权导致监守自盗，可能性并不大。NEO集团实力极为雄厚，并无需要进行如此操作；而如果是内鬼或合作伙伴操作，又会过于容易暴露。

公开资料显示，PolyNetwork的审计由NCCGroup完成，以太坊智能合约审计由Certik完成。

行业人士指出，目前美国金融监管层对DeFi非常关注，中国相关部门也开始予以关注。日前美国SEC指控了首起DeFi案件。此次历史金融最大的DeFi盗币案如果无法善终，一方面可能影响行业对DeFi的信心，另一面可能诱发全球监管对DeFi的打压。

吴说作者：ColinWu、平兄

标签：LOXOLYPOLYPOLSocialBloxPOLYDOGE币2023年polydoge币被下架啦poloniex是什么交易所

BNB热门资讯