十年損失超200億美元，黑客盯著區塊鏈_區塊鏈:POLAR幣

技術不懂是非善惡，區塊鏈黑客事件從未斷絕。

鏈新原創作者|廖羽

2021年的區塊鏈世界，光明面欣欣向榮，黑暗面也在穩步發展。

據SlowMistHacked不完全統計，2021年區塊鏈世界頻發安全事件，在數量、危險性、涉案金額、影響規模等方面遠超往年，其中還出現了罕見的“白帽黑客”事件，給人們敲響了安全警鐘。

所謂“白帽黑客”，特指以黑客慣用破壞攻擊之法，行維護網絡安全之事的一群人，相對于“黑帽黑客”而存在。不過，2021年最出名的“白帽黑客”卻未在攻擊行為實施之前獲得許可，且涉案金額高達6億美元，只是最后黑客全額奉還被盜資產，而PolyNetwork也放棄追究其法律責任罷了。

技術不懂是非善惡，區塊鏈黑客事件從未斷絕。交易所、錢包、公鏈、各生態DApp、DeFi項目……究竟哪一個是黑客們關注的核心？

盜走6億美元資產又送回，黑客說“只想提個醒”

2021年8月，一位匿名黑客襲擊PolyNetwork，將以太坊、BSC、Polygon鏈上2.5億美元、2.7億美元、8500萬美元的加密資產悄悄轉移，總金額高達6.1億美元，全程耗時34分鐘。

不過，隨著各方展開圍堵，黑客在其后12天內將盜走的大部分資產退回，聲稱自己對金錢不感興趣，“白帽黑客”的標簽就此誕生。

DFINITY創始人兼首席科學家：相信十年后會看到在互聯網計算機上部署超過10億個開放式應用及智能合約:10月26日消息，DFINITY創始人兼首席科學家Dominic Williams演講表示，互聯網計算機是基于ICP（互聯網計算機協議）的，ICP協議使用了非常新的加密算法，所以能夠使得互聯網計算機實現世界計算機的功能。通過互聯網計算機區塊鏈，可以存儲所有軟件，包括分布式應用、DeFi、Web3游戲等等。在互聯網計算機中，在許多方面都是去中心化的。首先，它的容器Canister上所有的去中心化應用、智能合約都是去中心化的。另外是沒有主網，只有子網的區塊鏈。相信十年后會看到在互聯網計算機上部署超過10億個開放式應用及智能合約，同時也相信未來十年在互聯網計算機上會出現呈百萬的節點計算機。[2021/10/26 20:57:11]

6.1億美元，這不僅是DeFi史上涉案金額最大的黑客事件，更是整個加密貨幣史上涉案金額最大的黑客事件，規模超過著名Mt.Gox事件以及Coincheck大案。

面對如此大規模的安全事件，“當事人”不敢懈怠，PolyNetwork當天晚上8點38分發文，對外界公布其受到的攻擊，貼出該黑客在不同鏈上的具體地址，呼吁礦工及交易所伸手援助，阻止黑客地址所發起的交易。

花旗分析師：比特幣主導地位或在未來十年下降:花旗分析師Ronit Ghose表示，雖然數字資產行業將作為一個整體增長，但比特幣的主導地位可能會在未來十年下降。Ghose稱，比特幣的價值將受到打擊，并會受到其他加密貨幣的實用性的影響。問題在于，比特幣并未廣泛用于日常付款。Ghose認為有兩種選擇可能會破壞比特幣在數字支付領域的市場份額。首先，他指出了以太坊和Polkadot等替代性加密貨幣，它們通過智能合約提供更快的付款和可編程性。其次，他表示，央行數字貨幣(CBDC)的出現可能會提供一種無縫消費方式，并且沒有加密貨幣的波動性。(Decrypt)[2021/4/23 20:49:08]

幣安CEO趙長鵬、OKexCEOJay等先后聲援，穩定幣USDT發行方Tether首席技術官PaoloArdoino也聲明Tether已凍結該黑客地址3300萬USDT。

盡管圍追堵截，可黑客仍舊以各種手段快速混幣，當日就通過Curve將9706萬美元USDC兌換為DAI，又在BSC上利用Curve分叉項目EllipsisFinance混幣近1.2億美元。

據局面新聞報道，事發當日，Poly運營方團隊通宵達旦，除了因為數額巨大的資產被盜事件背負的壓力外，加密社區中層出不窮的猜想也讓其如芒刺在背，安全研究員MuditGupta、PrimitiveVentures創始合伙人DoveyWan等先后發文暗示此事“內部攻擊”的可能，更有甚者猜測為Poly“自導自演”。

聲音 | ZB創新智庫：BTC跌破7000美元，美銀美林認為它是十年來最佳投資資產:ZB 創新智庫消息，美銀美林集團的分析師認為，BTC 是過去十年來總投資回報率最佳的資產。按照該說法，2010 年向比特幣投入 1 美元，今天收入可達到 90026 美元；同等時間周期下，向美國股票市場投入 1 美元，只能賺取 3.46 美元。BTC 今天凌晨下行急跌，目前低于 7000 美元，創下 12 月以來的價格新低。[2019/12/17]

聲勢浩大的圍剿行動激發了圍觀者的吃瓜心理，事發當日，有“好事者”向黑客地址發送交易，留言提醒其USDT已被列入黑名單，黑客對此回禮13.5ETH。

“致富之路”就此開啟，大量“吃瓜群眾”蜂擁而至，有的談項目、要投資，有的談夢想、要學費，有人讓黑客“拉盤”自己持有的幣，更有甚者直接拜師、認大哥。

可就在圍觀者看熱鬧的時候，事件卻發生了反轉。

事發次日，攻擊PolyNetwork的黑客主動現身Etherscan，通過鏈上交易備注表示其愿意歸還被盜資產，要Poly項目方為其提供一個多簽錢包。

“為什么要退款？”“我對金錢不是很感興趣，”黑客如此回復道：“獲取這么多財富已經是一個傳奇，而拯救世界更是永恒的傳奇。”

聲音 | VanEck數字資產總監：比特幣ETF或是未來十年美國經濟的主要驅動力:據CCN消息，在談及美國參議院銀行委員會關于Libra的聽證會時，VanEck數字資產戰略總監Gabor Gurbacs表示，由于對加密貨幣缺乏了解，美國立法者、特朗普總統和美國財政部長Steven Mnuchin對加密貨幣的負面看法是沒有根據的。他認為比特幣ETF可以促進創新，從而在未來10年提振美國經濟。未來十年比特幣ETF可能是我們經濟的驅動力。”他認為，美國應該利用這些創新技術來升級美國支付系統及其資本市場基礎設施。“比特幣——特別是比特幣，而不是其他數字資產——可以重建美國支付系統。此外，他強調，Facebook提議的Libra不是比特幣，并表示Facebook批評者對Libra的負面聯想不應擴大到比特幣。[2019/7/17]

2021年8月11日，黑客歸還了價值470萬美元的資產，其中包括100萬美元的UCDC、價值110萬美元的BTCB，以及價值260萬美元的其他資產。同日稍晚，黑客再次在幣安智能鏈上向PolyNetwork團隊留下的收款地址歸還近1.2億BUSD、2.66萬ETH和1000BTCB，總價值約2.5億美元。

在接下來的12天里，黑客逐步歸還了BSC、Ploygon、以太坊上的所有被盜加密資產，此事的輿論風向也從一開始對被盜事件的震驚、批判，轉變為對區塊鏈網絡安全的關注。

聲音 | 韓國CJ物流中國區總裁：區塊鏈技術十年之后可能會成為生活和工作中必不可少的東西:據財經網報道，7月6日，在以“財富助力航運貿易金融創新”為主題的2019中國財富論壇上，韓國CJ物流中國區總裁兼CJ榮慶物流共同總裁魚在爀表示，我們有眾多的技術可以選擇，尤其是在海事方面，可選的技術是很多的，我們應該更多地去看一下區塊鏈，還有物聯網。有人說現在關鍵的技術創新是ABCD，5I，A就是AI，B是區塊鏈，C是云，D是大數據，5就是5G，這些技術會對產生巨大的影響，我應該強調區塊鏈的作用，青島港他們已經有了很多相關的活動了，有一些專家告訴我說，目前區塊鏈發展的狀態就像是電郵或者互聯網發展的早期一樣。很可能區塊鏈這樣的技術，十年之后也會成為生活和工作當中必不可少的東西，尤其是國際貿易和海事，通過區塊鏈的技術，可以共享非常重要的信息，而又不需要擔心這些信息的安全性和驗證等，這將會成為一個巨大的變化。[2019/7/6]

2021年8月13日，F2Pool聯合創始人、Cobo聯合創始人兼CEO神魚發布博文，稱PolyNetwork的攻擊者為網絡安全的護衛者——“白帽黑客”，還表示將在Cryptovoxels里建造關于紀念PolyNetwork事件的紀念碑，致謝所有參與者。而后，PolyNetwork也宣布進行主網升級，并邀請此前攻擊者為PolyNetwork首席安全顧問。

哪里有錢，哪里就有黑客

回頭來看，“白帽黑客”事件發生在跨鏈協議被攻破的基礎上，后續漏洞還涉及以太坊公鏈、Polygon生態、穩定幣USDT等，這使得黑客能在幣安、OKEx、Tether等頭部企業封鎖圍剿之下還能快速混幣，轉移被盜資產，這其中展現的安全隱患，值得引起加密世界的警惕。

據SlowMistHacked數據不完全統計，整個2021年區塊鏈生態被公開的區塊鏈安全事件共236起，損失超98.86億美元。其中各生態DApp、DeFi等安全事件127起，占絕大多數，此外還有交易所安全事件14起，公鏈安全事件8起，錢包安全事件3起，其他類型安全事件84起。

從上述數據中可以看出，各生態的DApp、DeFi項目、交易所部分是2021年區塊鏈世界黑客安全事件發生的重災區。

一位資深業內安全人士告訴《鏈新》，加密貨幣交易所中聚集著大量資金，人員復雜，防御脆弱，用戶缺乏足夠的安全意識，易產生安全漏洞，不論是從薄弱點還是獲利的角度上來說，都是黑客們不容忽視的“香餑餑”，而通過攻擊交易所冷/熱錢包形式進行盜幣活動，是2021年的顯著特質。

2021年2月，新西蘭交易所Cryptopia清算人GrantThornton控制的冷錢包被盜事件中，黑客就通過訪問錢包盜走約196萬美元的Xtake。同年8月19日，日本加密交易平臺Liquid同樣是熱錢包被盜，共計損失約9135萬美元。

而除了交易所之外，匯聚資金的錢包也對黑客們形成吸引力，這導致2021年錢包泄漏安全事件層出不窮。據AML11月報告，假錢包App已致上萬人被盜，損失高達13億美元。

在交易所之外，值得一提的還有公鏈攻擊。從2021年8月開始，先有BSV遭51%攻擊，近100個區塊發生重組，再有ETC主網因以太坊客戶端Geth漏洞遭遇分叉，而后Solana主網Beta版也遭遇拒絕服務攻擊，網絡離線17個小時。

可不管是公鏈、錢包、還是交易所，他們在涉事金額、攻擊次數、影響范圍等方面都比不過DeFi、DApp、NFT和跨鏈部分，而這一部分也是去年發生黑客攻擊事件最頻繁的領域。

自DeFi誕生以來，就伴隨著無數風險。近年來，許多DeFi項目價值一直在爆炸式的翻倍增長，被黑事件也愈演愈烈。閃電貸攻擊、合約漏洞、兼容性或架構問題、私鑰泄露或前端攻擊、內部作案……DeFi中種種套路層出不窮，令人瞠目結舌。

2021年，ETH生態SushiSwap兩次遭遇攻擊，SIL.Finance合約出現高危漏洞。BSC生態中，CreamFinance三遭閃電貸攻擊，累計損失超過1.87億美元。EOS生態flash.sx閃電貸智能合約遭受到“re-entry”攻擊。Polygon生態中，收益耕作協議PolyYeldFinance項目合約被利用。此外，HECO生態中也發生DDEX代碼后門事件等。

安全事件頻發于“DeFi、DApp、NFT和跨鏈”部分，此現象不僅發生于2021年，據《鏈新》觀察，該規律從2018年安全事件數量飆升之后就有所顯現，甚至延續到2022年。

十年損失239億美元

從2008年到2022年，黑客事件如蛆附骨跟隨著區塊鏈的發展而日漸壯大。

據SlowMistHacked數據顯示，自2012年至今，全球區塊鏈生態中僅被公開的區塊鏈安全事件就有610起，損失總金額約為238.78億美元。按年限區分，2018年后呈現出明顯的階段性變化，數量和涉案金額都較之前翻倍增長。

區塊鏈安全公司PeckShield和BCSEC調查數據顯示，2018全年，區塊鏈安全事件數量高達138起，造成的經濟損失為22.38億美元，其中以太坊公鏈、EOS公鏈首當其沖，其后依次是交易所、錢包。

其中，以太坊公鏈事件超54起，如“BEC美鏈遭黑客攻擊，一日蒸發9億美元”;EOS公鏈出現超49起安全事故，大多源于DApp生態爆發期間引起的隨機數、假通知、交易回滾等攻擊事件，直接經濟損失高達74.7萬個EOS。

相較之下，交易所攻擊雖然有十余起，但也只有2018年1月26日“日本Coincheck交易所被盜”和同年3月7日“幣安交易所被黑客釣魚”兩個案子影響較大。BTC事故僅有3起，類似9月的“BTC超發漏洞”，也在造成危害前得以修復。

在此基礎上，《鏈新》發現，在以公鏈、交易所、錢包、ETH生態、BSC生態、波場生態、EOS生態、Ploygon生態、HECO生態等為代表九大安全事故場所中，EOS生態、ETH生態尤其被黑客關注，交易所受到的攻擊數也相對較多，這三大領域共發生安全事件超356起，涉事金額超125億美元，總體占比超過52.35%。

同樣的規律也體現在AtlasVPN團隊發布的“2020年區塊鏈黑客”系列報告中。AtlasVPN團隊指出，2020年有47次針對ETHDApps的成功攻擊，以及28起加密貨幣交易所違規行為。

黑客攻擊聚焦于DeFi、DApp各生態、交易所的現象一如既往，直到2022年還在呈現。

截至2022年1月18日，據SlowMistHacked統計，全球區塊鏈生態公開的2022年區塊鏈安全事件共16起，其中除了6起跑路事件外，都是DeFi、DApp各生態的安全事件和交易所的安全事件。

在這樣的情況下，諸多權威機構紛紛發布報告，提醒加密世界注意防范黑客攻擊，加強區塊鏈安全建設。此前McAfee就曾出具《區塊鏈威脅報告》，聲明“區塊鏈是去中心化在線交易的革命性基礎，但有安全風險”。2021年3月，中國信通院也發布《區塊鏈安全能力測評與分析報告》，指出區塊鏈現存“十大安全隱患”，再三提醒外界樹立防范意識。

本文為鏈新原創，未經授權禁止擅自轉載。

Tags：區塊鏈POLOLYPOLY區塊鏈專業學什么POLAR幣PolygonPolyient DEX

DOT