盗取 6 亿美元却悉数奉还,这场史上最大规模的「数字劫案」迎来大反转

爱范儿
+ 关注
2022-05-17 16:41
544次阅读
盗取 6 亿美元却悉数奉还,这场史上最大规模的「数字劫案」迎来大反转
「大劫案」一直是各路警匪片、悬疑片导演最爱的话题,因为观众光看到劫案金额,故事的情节、矛盾就已经呼之欲出,所以历史上著名的「大劫案」基本上都被改编成影视作品。
不过想要改变最近发生的一起「大劫案」,可能会难倒一众名导。
盗取 6 亿美元却悉数奉还,这场史上最大规模的「数字劫案」迎来大反转
它涉及的金额巨大—— 6.1 亿美元;发生得让人措手不及——从开始到结束不过半个小时;情节走向更是曲折离奇——不到一周,「小偷」将赃款几乎尽数归还,还被邀请担任安全专家。
而发生的一切,都被记录在了区块链上,永久地保存下去。
盗取 6 亿美元却悉数奉还,这场史上最大规模的「数字劫案」迎来大反转
有史以来规模最大的加密货币盗窃案
盗取 6 亿美元却悉数奉还,这场史上最大规模的「数字劫案」迎来大反转
在盗窃案发生之前,很少有人会在网络上注意到 Poly Network 平台。
Poly Network 和大多数 DeFi(Decentralized Finance,去中心化金融)交易平台一样,为用户提供借贷、交换或交易加密货币的服务,目前累计贸易总额已达 109 亿美元。
这里提到的 DeFi 是一种基于区块链技术的新应用。
盗取 6 亿美元却悉数奉还,这场史上最大规模的「数字劫案」迎来大反转
过去放贷、借贷、储蓄等金融服务往往需要银行等作为中间机构作信用背书,而 DeFi 则利用区块链的智能合同,取代了这些金融机构,实现用户间点对点的交易。
少了中间机构的监管,既意味着更低的中介手续费和更自由的资金流转,也意味着更高交易风险。
盗取 6 亿美元却悉数奉还,这场史上最大规模的「数字劫案」迎来大反转
然而,就在 Poly Network 刚庆祝完自己的年贸易额突破 100 亿美元不久,意想不到的事情发生了。
盗取 6 亿美元却悉数奉还,这场史上最大规模的「数字劫案」迎来大反转
8 月 10 日的 17:55,Poly Network 发现有人利用智能合约转移了价值超过 2.6 亿美元的数字资产,十分钟后攻击并未停止,黑客继续转移了 8508 万个 USDC,损失了近 3.5 亿美元。
然而这一切还未结束,当日 18:08 黑客继续转移了价值约 2.5 亿美元的数字资产,不到半个小时的时间里没有一丝硝烟,6.1 亿美元的数字资产就此不见踪影。
相比黄金大劫案、火车大劫案,这场速战速决的「加密货币大劫案」少了一分紧张刺激,更多的是疑惑和不解——账户上的数字瞬间消失,只在区块链上留下几段交易记录。
盗取 6 亿美元却悉数奉还,这场史上最大规模的「数字劫案」迎来大反转
「尊敬的黑客……」
Poly Network 在当晚急忙发布了被盗公告,并暂停了网站的交易服务。Poly Network 称他们已经联系了 USDC、USDT 等稳定货币发行商冻结被盗的货币,并且将会采取法律行动追讨这批巨款。
这是一次不同寻常的偷盗行动,根据区块链复杂的加密算法,想要窃取管理者的私钥转移资金是一件非常困难的事。
如果用户在单一区块链(比特币、以太坊等)上进行交易,安全性还是很高的。
盗取 6 亿美元却悉数奉还,这场史上最大规模的「数字劫案」迎来大反转
问题就在于,Poly Network 提供了跨区块链的转移交易,例如用户可以通过跨链交易将以太坊的资金转移到 USDT 等别的区块链上,这给黑客留下了可乘之机。
区块链安全公司慢雾科技在盗窃案发生后给出了分析,其称黑客利用了 Poly Network 在跨链交易时合约存在的函数漏洞,将正常的交易地址修改成了自己的地址,实现资金的转移。
这就像是信件在被邮递前,被偷偷修改了收件人的地址,「小偷」不需要劫持邮递车便可以在家里静候它的到来。
盗取 6 亿美元却悉数奉还,这场史上最大规模的「数字劫案」迎来大反转
按照常规「大劫案」的故事发展,接下来应该是警方夜以继日的侦查、与歹徒斗智斗勇最后讨回赃款,然而剧情的走向却开始走偏。
在盗窃案发生的第二天,一位自称是黑客的匿名人士通过以太坊的交易记录向 Poly Network 喊话,称他们「准备归还」这笔史上被盗最大数额的数字赃款。
盗取 6 亿美元却悉数奉还,这场史上最大规模的「数字劫案」迎来大反转
来自吃瓜群众的热心提醒
这还不是他们的第一起「骚操作」,在盗窃案发生的一小时后,有位「热心」的观众提醒黑客他的资产正在被冻结,随即便收到了黑客的慷慨回礼——价值 4.2 万美元的数字货币。
显然,这个「劫匪」并不一般。
盗取 6 亿美元却悉数奉还,这场史上最大规模的「数字劫案」迎来大反转
「我不在乎钱」
盗取 6 亿美元却悉数奉还,这场史上最大规模的「数字劫案」迎来大反转
图片来自:Ft.com
不管是碍于法律追查的压力、货币被冻结导致难以赃款转移,还是发自真心的「善意」,黑客表示他们只是想用这种极端的方式提醒 Poly Network 存在漏洞,并愿意和他们保持沟通,逐步返还被盗的货币。
正所谓「浪子回头比特币不换」,尽管这听起来像是鳄鱼流下的一滴真挚眼泪,但信奉自由主义的加密货币机构还是选择了相信他们。
Poly Network 称呼他为「白帽先生」——和黑客相对立,是信息安全的保卫者。
盗取 6 亿美元却悉数奉还,这场史上最大规模的「数字劫案」迎来大反转
基于善意的沟通也很快得到回应,从 8 月 11 日开始,「白帽先生」陆续向 Poly Network 提供的三个钱包转移资金,在盗窃案发生的 48 小时内,他们已经归还了价值约 5.8 亿美元的资产。
其中未归还的 3340 万美元是稳定货币 USDT(与美元直接挂钩,采用 1:1 固定兑率),在被盗后第一时间遭到了发行公司 Tether 的冻结,具体怎么归还需要双方的进一步沟通。
Poly Network 在社交媒体上称他们这段时间正积极地与「白帽先生」沟通漏洞,还和更多的安全机构接触,一起对平台存在的问题进行修补。
盗取 6 亿美元却悉数奉还,这场史上最大规模的「数字劫案」迎来大反转
为了「感谢」他们的帮助,Poly Network 还宣布愿意给予「白帽先生」50 万美元的奖金,故事似乎朝着大团圆的方向发展。
对于这份「答谢礼」,「白帽先生」并没有第一时间选择接受,而提议将它作为技术团体的漏洞奖金,鼓励更多的人一起维护区块链交易的安全。
谁也没想到这个由「技术」和「金融」组成的高地最终会被「道德」所占领,翘起 6.1 亿美元巨款的,竟然是双方的信任,这份信任并没有任何中介担保,没有银行,没有交易所,没有区块链的加密算法。
盗取 6 亿美元却悉数奉还,这场史上最大规模的「数字劫案」迎来大反转
这一丝诚信,也让这个完全由代码构成的金钱世界多了一点属于人的温热,尽管诚信的背后可能有着复杂的驱动力。
Poly Network 在 8 月 17 日回应了「白帽先生」的提议,无论「白帽先生」选择如何处理奖金,他们都会尊重他的决定,并且诚意邀请他担任 Poly Network,无意追究他的法律责任。
至于是否要从黑暗走出来,接受对手抛出的橄榄枝,「白帽先生」还未给出回应。
盗取 6 亿美元却悉数奉还,这场史上最大规模的「数字劫案」迎来大反转
数字资产「易盗不易花」
盗取 6 亿美元却悉数奉还,这场史上最大规模的「数字劫案」迎来大反转
尽管这场「大劫案」以近乎大团圆的结局落幕,DeFi 市场却从未平静。
区块链公司 Clearmatics 的 Tim Swanson 表示,Poly Network 事件在 DeFi 世界里,「只是一个普通的星期二」。
根据加密数据公司 Chainlysis 的数据显示,在 2020 年 DeFi 交易仅占所有加密货币活动的 6%,却占了所有数字资产盗窃案的三分之一。
盗取 6 亿美元却悉数奉还,这场史上最大规模的「数字劫案」迎来大反转
《金融时报》的报道指出,由于 DeFi 用智能合同消除了人工中介,一些开发人员认为这些软件程序创建的规则构成了「法律」,但律师团体并不认同。
被卷入这次抢劫风波的用户很难用法律保护自己的财产安全,因为 Poly Network 没有规定任何条款来管理,也没有提到任何一个法律主体。
温情的结局并不能掩盖这场大规模「抢劫案」的可怕,它揭示了 DeFi 世界脆弱的数据安全,这就像是一个堆满金子的矿场,却只有一把生锈的锁头守护着大门。
美国商品期货交易委员会的专员称 DeFi 就像是一个「霍布斯式的市场」,没有监管的自由交易充斥着肮脏和野蛮。
盗取 6 亿美元却悉数奉还,这场史上最大规模的「数字劫案」迎来大反转
不过这场风波暴露的也不全是坏事,Chainlysis 认为加密货币容易遭到盗窃,但相比实体资产却更难实现转移。
越来越多的加密货币社区正在不断地提高加密货币的透明度,在攻击发生后,Twitter 等社交平台上就充斥着各种消息追踪黑客的资金流动。
由于每一笔交易都会记录在区块链上,黑客几乎不可能做到悄无声息地资产转移,因为每一次操作都会被广播给所有用户。
盗取 6 亿美元却悉数奉还,这场史上最大规模的「数字劫案」迎来大反转
当整个市场的注意力都聚焦在这个「小偷」的身上,继续逃跑显然不会是最明智的选择,但这种自发的媒体监管能代替法律与法规吗?这是每个投资者和投机者需要思考的问题。
「白帽先生」在公开承诺退款后,曾经通过以太区块链的交易留言,接受了 Elliptic 的首席研究员 TomRobinson 的采访。
盗取 6 亿美元却悉数奉还,这场史上最大规模的「数字劫案」迎来大反转
或许我们可以节选一些这场不那么正经的明暗对话,作为这场转瞬即逝、但被永远记录在区块链上的风波之结束语。
盗取 6 亿美元却悉数奉还,这场史上最大规模的「数字劫案」迎来大反转
Q:为什么当黑客
A:好玩 :)Q:为什么攻击对象是 Poly Network
A:因为跨链交易最近很火Q:为什么这么复杂?
A:Poly Network 是一个不错的平台,它是黑客可以享受的最具挑战性的攻击之一。我必须迅速击败任何内部人士或黑客,我把它当作是一种奖励 :)Q:为什么要给人 4.2 万美元的小费
A:我感受到了以太社区的温暖。当时我正忙着调查 HECO 的问题和调试我的脚本,我认为网络问题导致我不能存款,(我处在复杂的代理之后,所以我想跟这个家伙分享我的善意。Q:为什么要退款?你是胆小鬼吗?
A:随便你怎么想 :)当你评判别人时,你不是在定义他们,而是在定义你自己。我已经享受了我最关心的事情:黑客和指导。很少有黑客能够理解 DeFi 的安全情况,你会看到很多黑客,但他们中的大多数并不像一个真正的黑客那样令人愉快。一些愚蠢的代码导致了巨大的损失,这并不具有挑战性,而是像青春期的一次叛逆。我承认,黑掉 Poly Network 并不像你想象的那样花哨,但我确实从这个项目中体验到了新的东西。我想说的是,找出 Poly Network 结构中的盲点将是我人生中最美好的时刻之一。随着加密世界的发展,我已经有了足够的资金,我有很长一段时间都在寻找生活的意义。我希望我的生活可以由独特的冒险组成,我喜欢学习和黑客的一切,以对抗命运的考验。说实话,我确实有一些自私的动机,想通过利用巨大的资金来做一些很酷但不会有害的事情,就像 DAO 的想法。还是为之欢呼吧!

本文来自微信公众号 “爱范儿”(ID:ifanr),作者:黄智健,36氪经授权发布。

资深作者爱范儿
0
相关文章
最新文章
查看更多
关注 36氪企服点评 公众号
打开微信扫一扫
为您推送企服点评最新内容
消息通知
咨询入驻
商务合作