北京時間8月10日晚10點間，加密資產跨鏈充提協議Poly Network被駭客襲擊。

其資金池被洗劫一空，累計被盜走了高達6。1億美元的加密資產。這一數字創造了整個加密貨幣歷史上最大的被盜金額。

圖：駭客在ETH主網上盜取價值超1。9億美元穩定幣的提款記錄

Poly Network被襲擊後，許多加密領域的安全公司都對駭客盜取資金所利用的漏洞展開了調查。

8月11日上午，慢霧安全團隊分析指出：

被攻擊的漏洞在於“EthCrossChainData ”合約的keeper（驗證節點）可以由“ EthCross Chain Manager ”合約進行修改。

而與此同時，“EthCrossChainManager” 合約的“verify HeaderAndExecuteTx”函式可以透過 “_execute CrossChainTx ”函式執行使用者傳入的資料。

因此駭客透過此函式傳入了精心構造的資料，將“EthCrossChainData” 合約的keeper修改為了駭客指定的地址。

通俗來說，駭客攻擊的方法是在A公鏈上發起了一筆跨鏈交易，其內容是呼叫B公鏈上的跨鏈合約中更新keeper的功能，將keeper替換為駭客所掌握的地址。

由於不同型別的跨鏈交易的驗證是通用的， 原先的keeper並不稽核交易的具體內容，所以駭客的這筆交易被多個keeper確認並同步到B公鏈上。

B公鏈的跨鏈合約代理執行該請求，執行後驗證跨鏈交易的keeper就被更新為駭客所掌握的地址了。

隨後，擁有keeper的駭客便可以隨意支配跨鏈合約資金池中的資產。

北京時間8月11日凌晨，Poly Network開發者團隊在推特上確認了攻擊事件，並公佈了駭客的錢包地址。

隨後，開發者呼籲相關公鏈的礦工和各中心化交易所提供援助、凍結駭客盜取的資產，並聲稱將採取法律行動來敦促駭客還款。

圖：Poly Network開發者團隊的宣告和公開信

在Poly Network開發者團隊發聲後，許多團隊都進行了相關工作。

一方面，各KOL和社群團隊利用其公眾影響力，在社交平臺上公開向駭客喊話、聲討和規勸。

另一方面，許多安全公司開始追蹤駭客的線下資訊，例如慢霧安全團隊透過鏈上及鏈下追蹤關聯發現駭客的郵箱、IP及裝置指紋等資訊。

此外，穩定幣發行公司Tether宣佈凍結了駭客盜取的3300萬USDT。

最終在各方勢力的壓力下，駭客放棄了對所盜取資產的支配權，並將其逐步地退還給了Poly Network開發者團隊。

根據Poly Network開發者團隊在推特上公佈的資訊，截止到8月19日，駭客已經退還了價值約4。27億美元的加密資產。

圖：Poly Network開發者團隊的公告

透過此次Poly Network的例子我們可以看到，當DeFi專案發生風險時，社群和開發團隊的積極性和力量顯得尤為重要。

在確認資金被盜後，開發團隊利用社交平臺即時公佈相關資訊，社群也發動力量呼籲礦工、交易所和Tether公司採取行動。

同時，各安全公司也在積極尋找駭客的蛛絲馬跡，並與其進行談判。

最終，在沒有真正利用現實社會中的法律武器的情況下，駭客同意退還所盜取的資產，成功實現了用加密世界的方式解決危機。

這一事件同樣對DAO有著深刻意義。

DAO英文全稱是Decentralized Autonomous Organization ，即去中心化自治組織。

有了此次Poly Network事件的經驗，未來DAO一定會在DeFi專案中發揮更關鍵的作用。在專案日常執行中，DAO可以決定是否接受一項新的提議，從而影響專案的發展軌跡。

在面對危機時，DAO代表了大部分持幣者的利益，積極與外界進行溝通，維護整個專案的穩健發展。

投資有風險，本文觀點和意見僅代表作者本人，並不構成任何建議。