据成都链安技术团队分析,本次攻击事件发生的主要原因是合约权限的管理逻辑存在漏洞,恶意用户可以通过精心构造数据异常调用部分函数,即攻击者利用合约中存在的逻辑缺陷,通过该合约调用合约中的相应函数更改用户名为自有地址,然后使用该地址对提取代币的交易进行签名,从而将合约中的大量代币套取出来。
有业内人士表示,这可能是迄今为止全球虚拟货币史上最大规模的盗窃案,损失超过了Mt.Gox事件(744408枚比特币被盗,当时总价值约4亿美元)以及2018年的Coincheck案(5.23亿枚XEM被盗,当时总价值约5.34亿美元)。
DeFi(即跨链互操作协议,是一种去中心化金融协议,在币安智能链、以太坊和Polygon区块链上运行,可用于流动性挖矿)已成为黑客攻击重灾区。加密货币情报公司CipherTrace的数据显示,从今年年初到7月,与DeFi相关的黑客攻击造成的损失总计达到3.61亿美元,比2020年全年高出近3倍。
事件发生后,Poly Network的官方账号第一时间发布了遭攻击声明,并呼吁矿工和虚拟货币交易平台将黑客地址的代币列入黑名单。与此同时,他们还称将采取法律手段,敦促黑客尽快归还被盗资产。
事发后,各大平台和资产方积极响应,试图阻止黑客将赃款转移。
币安CEO赵长鹏随后在社交媒体上称:“已获悉Poly Network发生的黑客事件,虽然没有人能够控制币安智能链和以太坊,但我们正在与所有安全合作伙伴进行协调,以尽其所能提供帮助。”
泰达币的发行方Tether也快速响应,直接冻结黑客以太坊地址中的3300万泰达币。
然而,狂妄猖獗的黑客,直接给全世界上演了一场“盗币直播”。
