發生在8月10日的Poly Network攻擊事件可能是史上涉及金額最大的一起網絡安全事件,超過6.1億美元的加密資產在15天內被盜並被歸還。整個Blockchain行業及所有相關方,和Poly Network一起經歷了這跌宕起伏的過程。目前所有涉及資產已經全部歸還用戶,系統功能已經基本恢復至事件前水平,這起事件終於可以落下帷幕。
在過去的兩週我們也收到很多關於這個事件的詢問,在此希望從我們的角度以一個公開透明的方式對此次事件進行一次回顧,以警示我們銘記本次事件,同時也讓更多的人了解到整件事情的處理細節,在這次事件中我們也許做的並不完美,但是或許是一點寶貴的經驗。
發生了什麼
關於事故的具體描述,多家安全機構都進行了評述:
1. 慢霧:Poly Network攻擊的分析和問答
Poly 網絡被黑分析及問答
Kelvinfichter關於攻擊原因的分析
Some additional important context here:
Poly is a cross-chain transaction project. Basically, they allow you to move assets /between/ different blockchains.
— smartcontracts (✨🔴_🔴✨) (@kelvinfichter) August 11, 2021
慢霧:Poly Network攻擊的總體技術陳述
https://slowmist.medium.com/the-root-cause-of-poly-network-being-hacked-ec2ee1b0c68f
事發當晚也是我們承受最大壓力的一晚,我們盡量做到目標明確,有條不紊解決核心問題:鎖定資產,減少社區猜測,建立溝通渠道。
嘗試與攻擊地址取得聯繫;https://etherscan.io/tx/0xf6488e1efacd9c280eb91133d04ba357beca8016df8b0b0524b9a2e207b2ad7f, https://twitter.com/PolyNetwork2/status/1425123153009803267
發現漏洞,尋找漏洞修補方案,分析資產去向和攻擊者行為;https://twitter.com/PolyNetwork2/status/1425130017546149891,https://twitter.com/SlowMist_Team/status/1425197809058254849
清點受影響資產,聯繫資產發行方凍結資產,減小不可控制的損失;https://twitter.com/PolyNetwork2/status/1425073987164381196
通知各交易所,關注資金出金意圖;
呼籲礦池礦工攔截攻擊者試圖洗錢的交易;https://twitter.com/PolyNetwork2/status/1425090228830842893
向用戶、社區和媒體及時傳達進展;https://twitter.com/PolyNetwork2/status/1425130017546149891
最終進展如下:
通過ETH網絡與0x8a地址建立加密溝通渠道;
Tether宣布凍結了相關的超3300萬USDT資產; https://twitter.com/paoloardoino/status/1425090760609832978
幣安,Okex,火幣等發佈公告,會關注此事件資金流向; https://twitter.com/cz_binance/status/1425091869709570060, https://twitter.com/JayHao8/status/1425094897976193034, https://twitter.com/DujunX/status/1425100770588954626
與USDC,BSC, Polygon,Heco,wBTC,MetaMask等取得聯繫;
Poly Network推特持續發布事件進展,減少用戶恐慌情緒,避免非屬實的流言。 https://twitter.com/PolyNetwork2/status/1425309429935710208
去中心化還有很長的路要走
通過與白帽先生的溝通,雙方緩和了情緒,基本信任建立。 8月11日,攻擊者宣布「準備歸還資產」。隨後Poly Network的收款地址部署完成,8月11日8:43:57 AM +UTC Poly團隊開始回收第一批退還資產。截止到8月13日,系統收回足夠的資產以恢復部分功能,在與白帽先生確認後,項目進入了恢復重建階段,核心目標還是兩點:促成資產收回,快速系統修復。
與白帽先生確認收款流程; https://etherscan.io/tx/0x910b00b2b60b76d7c29a1855f9a1ebf204356eed22498334ddd46e46d96e06c2
向用戶承諾將收回全部資產作為首要目標; https://twitter.com/PolyNetwork2/status/1425785007486820368
修復系統漏洞,確保系統的安全性; https://github.com/polynetwork/eth-contracts/pull/12/files
確認系統重啟計劃和籌備路線圖;https://medium.com/poly-network/poly-network-roadmap-for-the-next-phase-9f84c03c2e53?source=social.tw&_branch_match_id=549963884981436182
開放恢復資產的項目方申請通道;https://twitter.com/PolyNetwork2/status/1427233445185409026
與Tether協商凍結的USDT處理方式;
與社區保持溝通;https://twitter.com/PolyNetwork2/status/1425739339820982275
最終進展如下:
回收BSC, Polygon資產; https://twitter.com/PolyNetwork2/status/1425309429935710208
建立共管賬戶; https://etherscan.io/tx/0xf391ec8d5935d4ec11efb2c8b99ba3586cb0b0f05c5e0b9c44c74a1c40386bd7
完成修復系統漏洞並公佈新安全方案; https://twitter.com/PolyNetwork2/status/1426819500263890946
宣布系統重啟路線圖;https://twitter.om/PolyNetwork2/status/1426490057276280832
確認可恢復功能項目清單並支持功能恢復; https://twitter.com/PolyNetwork2/status/1427839007501680640
白帽先生自己也在區塊鏈上闡述了自己此次攻擊的原因,過程和給大家的誠懇建議,我們對全文進行了記錄:
https://docs.google.com/spreadsheets/d/14hMTpPNylZG6DizU3K-fpDbfYZxenI_KtbHpWkdc7VM/edit#gid=0
期間,Poly Network團隊也在經歷著前所未有的評議與爭論,我們看到最大的爭議也同樣是白帽先生提出自己最大的顧慮- Poly Network的去中心化進程;
在此,我們也想為此疑慮做出解釋,事實上項目已經在去中心化的路徑上探索許久,我們相信去中心化永遠是優秀的協議非常重要的一環,如果有興趣,大家可以關注下:https://github.com/polynetwork/Zion , 在半年前,我們已經啟動了Poly Network的新版本的開發,我們希望未來通過完整的經濟模型和治理機制,來保證整個網絡的去中心化管理。因為跨鏈協議不同於單鏈項目,由於要實現不同特性鏈之間的互操作性,除了實現安全性要比單鏈更加複雜外,如何更有效的治理也是一個重要的部分,實現多元化世界的一致性,需要各個相關方進行更加高效的共識。
安全就是一切
安全一定不是一蹴而就的事,對於網絡安全,此次事件已經凝聚了全行業最直接深刻的體會。 https://twitter.com/PolyNetwork2/status/1426197361177493511
8月15日,在確定並公佈恢復計劃後,團隊開始持續推進和落實路線圖中的工作,包括在immunefi的平台上發布了總額為50萬美金的安全賞金計劃,希望吸引全球安全機構和白帽組織為Poly Network的安全助力,當然這只是安全的第一步,系統恢復期內我們也:
邀請白帽先生作為Poly Network的首席安全顧問並提供160ETH安全賞金
#PolyNetwork has no intention of holding #mrwhitehat legally responsible and cordially invites him to be our Chief Security Advisor. $500,000 bounty is on the way. Whatever #mrwhitehat chooses to do with the bounty in the end, we have no objections. https://t.co/4IaZvyWRGz
— Poly Network (@PolyNetwork2) August 17, 2021
與PeckShield、BlockSecTeam、Beosin (Chengdu LianAn Tech)等安全機構確認修復和重啟方案
1)PeckShield:https://peckshield.medium.com/polynetwork-bug-review-and-patch-analysis-88bde8441297
2)BlockSecTeam:https://blocksecteam.medium.com/the-informal-security-review-of-the-patch-of-the-poly-network-1a0a532b731e
3)Beosin(成都聯安科技):https://beosin.medium.com/boesins-analysis-of-the-fix-code-on-poly-network-smart-contracts-a305639ea626
https://medium.com/poly-network/latest-updates-aug-20-a12447c6d899
https://medium.com/poly-network/latest-updates-aug-19-ed7ab8e5c2f0
https://medium.com/poly-network/latest-updates-aug-17-241398d64a40
同時我們也想引用白帽先生闡述的對區塊鏈安全的一些建議,我們覺得在一定程度上是中肯客觀的。
https://etherscan.io/tx/0x078063e9574e1937a64b6552919b9fc0035429df1e601d79e200bf211e75f337
https://etherscan.io/tx/0x42446ccc66bb48eac7bd905ae7d79708f303849802b280eb4d65770c1bfc0997
我們相信協議的安全始終是重要的一環,但是我們也相信在crypto的世界裡,代碼之上仍有更廣袤和豐富的存在,或許大家有著不同的價值觀和知識儲備,但是依舊可以公平的參與到這個世界建設和治理裡,我們在未來想建立的不僅僅是一個安全的協議,更是一個對所有人公平透明的協議。
所有的代幣都還給你了
所有的故事都會有一個尾聲,很欣慰,這次的故事是一個Happy Ending。
8月19日,白帽先生歸還了Ethereum上的96,942,063 個DAI。
8月22日,除wBTC和ETH資產已盡數歸還。 Poly Network開始進行穩定幣的資產清點和復原,以協助O3 Hub的功能恢復。
8月23日完成了白帽先生返回的96,942,063個DAI與USDC之間的轉換,同時將BSC上的87,557,051個BUSD轉換為USDC(BEP-20)。對於在交易中產生的滑點損耗和手續費,Poly Network團隊用自有資金進行補償。
https://etherscan.io/tx/0x814e6a21c8eb34b62a05c1d0b14ee932873c62ef3c8575dc49bcf12004714eda
https://medium.com/poly-network/latest-updates-aug-23-7f6cca47b574
8月23日白帽先生公佈了多簽錢包的私鑰。
Dear "Hacker",
Thank You! We are ready for a new journey.
Poly Network Teamhttps://t.co/djwsVJRXrN
— Poly Network (@PolyNetwork2) August 23, 2021
8月25日,此次攻擊事件受影響的WBTC 和ETH資產全部恢復。 https://twitter.com/PolyNetwork2/status/1430485302527741954
同日,Tether將此前凍結的33,431,200 USDT資產全數釋放至Poly Network接收資產的多簽錢包內。 https://twitter.com/Tether_to/status/1430510652582416387
8月26日,Poly Network完成USDT資產的複原工作。至此,所有受此次攻擊事件影響的資產恢復完畢。 https://medium.com/poly-network/poly-network-asset-recovery-complete-a7ba33c2f2e4
謝謝大家支持我們
這個故事到了一個尾聲,但是對於我們來說卻是下一個征程的開始,在新的征程開始之前,我們想對所有使用Poly Network的項目和用戶,表示誠摯的感謝和深切的歉意。很抱歉由於系統漏洞給所有用戶帶來的困擾。感謝你們對項目的信任,雖然我們有可能會失去了一部分曾經相信我們的人,但我們會用之後的行動重新建立大家對項目的信心。同時,我們也將會用我們的方式去感謝所有使用過,支持過,一起經歷過這次事件的每個人,後續具體的細則我們將在系統完全恢復後在官方渠道公佈,請大家保持關注。
最後我們想說,項目安全始終是Poly Network以及整個行業永恆的主題,希望Poly Network事件不僅能幫助我們建設一個更健壯的項目,還能給整個行業帶來足夠深刻和持久的警示。對於我們來說,這段經歷將成為我們永不會忘卻的記憶,它不僅僅代表了一個協議的安全,更有關對信任、權力、慾望、責任、信仰新的理解。