「大劫案」一直是各路警匪片、懸疑片導演最愛的話題,因為觀眾光看到劫案金額,故事的情節、矛盾就已經呼之欲出,所以歷史上著名的「大劫案」基本上都被改編成影視作品。
不過想要改編最近發生的一起「大劫案」,可能會難倒一票名導。
它涉及的金額巨大—— 6.1億美元;發生得讓人措手不及——從開始到結束不過半個小時;情節走向更是曲折離奇——不到一週,「小偷」將贓款幾乎盡數歸還,還被邀請擔任安全專家。
而發生的一切,都被記錄在了區塊鏈上,永久的保存下去。
有史以來規模最大的加密貨幣竊盜案
在竊盜案發生之前,很少有人會在網路上注意到Poly Network平台。
Poly Network和大多數DeFi(Decentralized Finance,去中心化金融)交易平台一樣,為用戶提供借貸、交換或交易加密貨幣的服務,目前累計貿易總額已達109億美元。
這裡提到的DeFi是一種基於區塊鏈技術的新應用。
過去放貸、借貸、儲蓄等金融服務往往需要銀行等作為中間機構作信用背書,而DeFi則利用區塊鏈的智慧合約,取代了這些金融機構,實現用戶間點對點的交易。
少了中間機構的監管,既意味著更低的仲介手續費和更自由的資金流轉,也意味著更高交易風險。
就在Poly Network剛慶祝完自己的年度貿易總額突破100億美元不久,意想不到的事情發生了。
8月10日的17:55,Poly Network發現有人利用智慧合約轉移了價值超過2.6億美元的數字資產,十分鐘後攻擊並未停止,駭客繼續轉移了8508萬個USDC,損失了近3.5億美元。
然而這一切還未結束,當日18:08駭客繼續轉移了價值約2.5億美元的數字資產,不到半個小時的時間裡沒有一絲硝煙,6.1億美元的數字資產就此不見蹤影。
相比黃金大劫案、火車大劫案,這場速戰速決的「加密貨幣大劫案」少了一分緊張刺激,更多的是疑惑和不解——帳戶上的數字瞬間消失,只在區塊鏈上留下幾段交易記錄。
Poly Network在當晚急忙發布了被入侵的公告,並暫停了網站的交易服務。 Poly Network稱他們已經聯繫了USDC、USDT等穩定貨幣發行商凍結被盜的貨幣,並且將會採取法律行動追討這批巨款。
這是一次不同尋常的竊盜行動,根據區塊鏈複雜的加密算法,想要竊取管理者的私鑰轉移資金是一件非常困難的事。
如果用戶在單一區塊鏈(比特幣、以太坊等)上進行交易,安全性還是很高的。
問題就在於,Poly Network提供了跨區塊鏈的轉移交易,例如用戶可以通過跨鏈交易將以太坊的資金轉移到萊特幣等別的區塊鏈上,這給駭客留下了可乘之機。
區塊鏈安全公司慢霧科技在竊盜案發生後給出了分析,其稱駭客利用了Poly Network在跨鏈交易時合約存在的函數漏洞,將正常的交易地址修改成了自己的地址,進行資金的轉移。
這就像是信件在被郵遞前,被偷偷修改了收件人的地址,「小偷」不需要劫持郵遞便可以在家裡靜候它的到來。
按照常規「大劫案」的故事發展,接下來應該是警方日以繼夜的偵查、與歹徒鬥智斗勇最後討回贓款,然而劇情的走向卻開始走偏。
在竊盜案發生的第二天,一位自稱是駭客的匿名人士通過以太坊的交易記錄向Poly Network喊話,稱他們「準備歸還」這筆史上被盜最大數額的數字贓款。
這還不是他們的第一起「出乎意料的操作」,在竊盜案發生的一小時後,有位「熱心」的觀眾提醒駭客他的資產正在被凍結,隨即便收到了駭客的慷慨回禮——價值 4.2 萬美元的數字貨幣。
顯然,這個「劫匪」並不一般。
「我不在乎錢」
不管是礙於法律追查的壓力、貨幣被凍結導致難以贓款轉移,還是發自真心的「善意」,駭客表示他們只是想用這種極端的方式提醒Poly Network存在漏洞,並願意和他們保持溝通,逐步返還被盜的貨幣。
正所謂「浪子回頭比特幣不換」,儘管這聽起來像是鱷魚流下的一滴真摯眼淚,但信奉自由主義的加密貨幣機構還是選擇了相信他們。
Poly Network稱呼他為「白帽先生」——和駭客相對立,是資訊安全的保衛者。
基於善意的溝通也很快得到回應,從8月11日開始,「白帽先生」陸續向 PolyNetwork提供的三個錢包轉移資金, 在竊盜案發生的48小時內,他們已經歸還了價值約5.8億美元的資產。
其中未歸還的3340萬美元是穩定貨幣USDT(與美元直接連結,採用一比一固定匯率),在被盜後第一時間遭到了發行公司Tether的凍結,具體怎麼歸還需要雙方的進一步溝通。
Poly Network在社交媒體上稱他們這段時間正積極地與「白帽先生」溝通漏洞,還和更多的安全機構接觸,一起對平台存在的問題進行修補。
為了「感謝」他們的幫助,Poly Network還宣布願意給予「白帽先生」50萬美元的獎金,故事似乎朝著大團圓的方向發展。
對於這份「答謝禮」,「白帽先生」並沒有第一時間選擇接受,而提議將它作為技術團體的漏洞獎金,鼓勵更多的人一起維護區塊鏈交易的安全。
誰也沒想到這個由「技術」和「金融」組成的高地最終會被「道德」所佔領,翹起6.1億美元巨款的,竟然是雙方的信任,這份信任並沒有任何仲介擔保,沒有銀行,沒有交易所,沒有區塊鏈的加密算法。
這一絲誠信,也讓這個完全由代碼構成的金錢世界多了一點屬於人的溫熱,儘管誠信的背後可能有著複雜的驅動力。
Poly Network在8月17日回應了「白帽先生」的提議,無論「白帽先生」選擇如何處理獎金,他們都會尊重他的決定,並且誠意邀請他任職Poly Network,無意追究他的法律責任。
至於是否要從黑暗走出來,接受對手拋出的橄欖枝,「白帽先生」還未給出回應。
數字資產「易盜不易花」
儘管這場「大劫案」以近乎大團圓的結局落幕,DeFi市場卻從未平靜。
區塊鏈公司Clearmatics的Tim Swanson表示,Poly Network事件在DeFi世界裡, 「只是一個普通的星期二」。
根據加密數據公司 Chainlysis的數據顯示,在2020年DeFi交易僅佔所有加密貨幣活動的6%,卻佔了所有數字資產竊盜案的三分之一。
《金融時報》的報導指出,由於DeFi用智慧合約消除了人工仲介,一些開發人員認為這些軟件程序創建的規則構成了「法律」,但律師團體並不認同。
被捲入這次搶劫風波的用戶很難用法律保護自己的財產安全,因為Poly Network沒有規定任何條款來管理,也沒有提到任何一個法律主體。
溫情的結局並不能掩蓋這場大規模「搶劫案」的可怕,它揭示了DeFi世界脆弱的數據安全,這就像是一個堆滿金子的礦場,卻只有一把生鏽的鎖頭守護著大門。
美國商品期貨交易委員會的專員稱DeFi就像是一個「霍布斯式的市場」,沒有監管的自由交易充斥著骯髒和野蠻。
不過這場風波暴露的也不全是壞事,Chainlysis認為 加密貨幣容易遭到盜竊,但相比實體資產卻更難實現轉移。
越來越多的加密貨幣社區正在不斷地提高加密貨幣的透明度,在攻擊發生後Twitter等社交平台上就充斥著各種消息追蹤駭客的資金流動。
由於每一筆交易都會記錄在區塊鏈上,駭客幾乎不可能做到無聲無息的資產轉移,因為每一次操作都會被廣播給所有用戶。
當整個市場的注意力都聚焦在這個「小偷」的身上,繼續逃跑顯然不會是最明智的選擇,但這種自發的媒體監管能代替法律與法規嗎?這是每個投資者和投機者需要思考的問題。
「白帽先生」在公開承諾退款後,曾經通過以太區塊鏈的交易留言,接受了Elliptic的首席研究員TomRobinson的採訪。
或許我們可以節選一些這場不那麼正經的明暗對話,作為這場轉瞬即逝、但被永遠記錄在區塊鏈上的風波之結束語。
Q:為什麼當駭客
A:好玩 :)Q:為什麼攻擊對像是Poly Network
A:因為跨鏈交易最近很熱門Q:為什麼這麼複雜?
A:Poly Network是一個不錯的平台,它是駭客可以享受的最具挑戰性的攻擊之一。我必須迅速擊敗任何內部人士或駭客,我把它當作是一種獎勵Q:為什麼要給人4.2萬美元的小費
A:我感受到了以太社區的溫暖。我正忙著調查HECO的問題和調整我的腳本,我以為網路問題導致我不能存款,(我處在複雜的代理之後,所以我想跟這個傢伙分享我的善意。
Q:為什麼要退款?你是膽小鬼嗎?
A:隨便你怎麼想
當你評判別人時,你不是在定義他們,而是在定義你自己。
我已經享受了我最關心的事情:駭客和指導。」「很少有駭客能夠理解DeFi的安全情況,你會看到很多駭客,但他們中的大多數並不像一個真正的駭客那樣令人愉快。一些愚蠢的代碼導致了巨大的損失,這並不具有挑戰性,而是像青春期的一次叛逆。
我承認,黑掉Poly Network並不像你想像的那樣花哨,但我確實從這個項目中體驗到了新的東西。
我想說的是,找出 oly Network結構中的盲點將是我人生中最美好的時刻之一。隨著加密世界的發展,我已經有了足夠的資金,我有很長一段時間都在尋找生活的意義。我希望我的生活可以由獨特的冒險組成,我喜歡學習和駭客的一切,以對抗命運的考驗。
說實話,我確實有一些自私的動機,想通過利用巨大的資金來做一些很酷但不太有害的事情,就像DAO的想法。還是為之歡呼吧 。」
本文授權轉載自:愛范兒 ifanr
責任編輯:傅珮晴、錢玉紘