听说Poly Network出事了,前天有超过9000万USDC被黑客从线上劫走。
Poly这条链原本是一条证券型代币发行链,投资人可以将现实中的固产通过上链用代币表现出来。这是比较高大上的,进一步讲,就是所有人都可以在链上用低成本、快捷简易的方式发行代币。
据说项目的技术支持方涉及两条国产公链,一条是O打头的做智能汽车的,一条是N打头的做中心化的“去中心化”概念的,都还比较老牌,也不知道这三者是怎么扯上关系的。
之后不知道就怎么改做跨链了,大概因为Defi兴起比较吃香要搞一波?
被盗的过程是,因为跨链转账涉及智能合约的指令触发,公链中所谓的“特权合约”ETH.......Manager被黑客滥用和乱用,怎么个滥用乱用法?黑客将目标链上的原始交易公钥列表通过特权合约的无限制调用,将其他对象的交易公钥篡改换成事先备好的自己的其它公钥。交易时,一旦交易者完成签名并发送交易,在上链的过程中,黑客再偷天换日,将私钥换成自己的,相当于在中间挂空挡,你来我往。
就这种操作,能让黑客盗了,是黑客聪明吗?不是的,是项目方实在太那啥太那啥,这样讲,也算是恭维,吧。
无限制调用这种大忌,最后成了合约漏洞,真是有些可笑。这样搞,不就明摆着在白天说,我把眼睛蒙上,你自己看路摸黑走?什么意思?可能都不懂。
我觉着,沿着保障用户资产安全的逻辑理顺走,合约安全肯定是第一大关,如何设计得更安全、更安全、更安全,这是千言万语不敌一句首当其冲需要解决的问题,结果了,本来最需要重视的,反而被最轻易忽略了?项目方的问题实在太大。
黑客并没有直接盗取公钥,而是利用合约漏洞将公私钥修改,想开点,想象空间又太大,不敢想象。可能是现在网络技术比以前成熟了,黑客变笨了。
行,盗了得了,盗了应该迅速撤票才符合快进快出的画风,结果Poly官方前天在社交媒体上针对攻击事件表示,将结合中心化和去中心化的相关机构,对黑客采取法律措施;同时呼吁黑客尽早归脏,顺便还团结矿工对黑客围追堵截。
结果神奇的一幕发生了,Tether的发行公司直接冻结了黑客在以太坊的3000万USDT,这是什么操作?怎么做到的?长见识了,原来Tether公司还能冻结用户的账户资产?完了还公布出来给大家表明他做了一件好事?
过后黑客为了防止冻结就开始倒手,先在Curve上换了USDC和DAI,然后又换了BUSD,最后全部换成DAI。
随后,官方再发文,用诚恳的语气呼吁黑客尽早退赃,否则后果自负。
就算在各方围追堵截下,是不是以为黑客还是赢了,毕竟倒手成功了,结果神转折又来了,黑客居然在区块高度13001573处留言,讲自己会退还脏票,会退,而且还是一部分。
讲真,这个剧情我真有些没看明白。不知是戏弄观众还是把观众当猴耍。既然已经呼吁了而且呼吁成功了,那退款就是理所应当的事。按正常逻辑讲,黑客会因为担忧受罚而全款退回,甚至因为自己的行为额外补交一笔罚金给蒙损者作为补偿,结果最后只退了一部分?而且双方还达成了协议?
细想,这就给人一种官方监守自盗的感觉。黑客答应退一部分就先不说了。官方的发文,本身就有纰漏,在发文的结尾处官方对黑客表示:“你应该和我们商讨出一个解决方案”。
这种情况,就好比小偷偷了某人的钱,被偷钱的人发告示要求小偷与他商谈,结果最后小偷去了是一个道理。
跨链,啥是跨链,“垮脸”还差不多,官方垮下脸和黑客交谈的,一个剧本。
最近一年,Defi的链上资金被盗体量越渐庞大,这是较为严重的问题,照理说,这种漏洞会随着黑客一次次入侵而被项目方降低到最小化,为什么类似案件反而持续上升?这就说明,项目方,多多少少是有问题的。
但如果说太绝对,好像又太决绝了。个人认为,特别是Defi项目,本身就因为自身特殊性,需要在合约安全方面有绝对的安全保障,否则,就会出现歧义,很多小白就会顺理成章地成为温顺的韭菜,乐于接受。这是官方权威式的不道德行为,官方应该用合情合理的方式来解决问题,比如补偿受损方,只有这样,才会有更多人选择项目、相信项目。
关注微信
