POL:榮譽、剝削和代碼：我們是如何損失了6.1億美元又把它找回來的_POLY

發生在8月10日的PolyNetwork攻擊事件可能是史上涉及金額最大的一起網絡安全事件，超過6.1億美元的加密資產在15天內被盜并被歸還。整個Blockchain行業及所有相關方，和PolyNetwork一起經歷了這跌宕起伏的過程。目前所有涉及資產已經全部歸還用戶，系統功能已經基本恢復至事件前水平，這起事件終于可以落下帷幕。

在過去的兩周我們也收到很多關于這個事件的詢問，在此希望從我們的角度以一個公開透明的方式對此次事件進行一次回顧，以警示我們銘記本次事件，同時也讓更多的人了解到整件事情的處理細節，在這次事件中我們也許做的并不完美，但是或許是一點寶貴的經驗。

發生了什么

關于事故的具體描述，多家安全機構都進行了評述：

1.?慢霧：PolyNetwork攻擊的分析和問答

TheAnalysisandQ&AOfPolyNetworkBeingHacked

Kelvinfichter關于攻擊原因的分析

https://twitter.com/kelvinfichter/status/1425290462076747777

慢霧：PolyNetwork攻擊的總體技術陳述

https://slowmist.medium.com/the-root-cause-of-poly-network-being-hacked-ec2ee1b0c68f

事發當晚也是我們承受最大壓力的一晚，我們盡量做到目標明確，有條不紊解決核心問題：鎖定資產，減少社區猜測，建立溝通渠道。

嘗試與攻擊地址取得聯系；https://etherscan.io/tx/0xf6488e1efacd9c280eb91133d04ba357beca8016df8b0b0524b9a2e207b2ad7f,https://twitter.com/PolyNetwork2/status/1425123153009803267

報告：Q1 153家早期Web3/加密公司融資超9.86億美元，較上季度增長13%:4月24日消息，根據OutlierVentures近期發布的報告，在2023年第一季度，有153家處于早期階段（Pre-Seed輪到A輪）的Web3加密公司融資，比去年第四季度多28家。這些公司融資超過9.86億美元，比上一季度增長13%，但仍遠低于去年同期（22年第一季度近37.7億美元）。[2023/4/24 14:23:30]

發現漏洞，尋找漏洞修補方案，分析資產去向和攻擊者行為；https://twitter.com/PolyNetwork2/status/1425130017546149891,https://twitter.com/SlowMist_Team/status/1425197809058254849

清點受影響資產，聯系資產發行方凍結資產，減小不可控制的損失；https://twitter.com/PolyNetwork2/status/1425073987164381196

通知各交易所，關注資金出金意圖;

呼吁礦池礦工攔截攻擊者試圖洗錢的交易；https://twitter.com/PolyNetwork2/status/1425090228830842893

向用戶、社區和媒體及時傳達進展；https://twitter.com/PolyNetwork2/status/1425130017546149891

最終進展如下：

通過ETH網絡與0x8a地址建立加密溝通渠道；

Tether宣布凍結了相關的超3300萬USDT資產；https://twitter.com/paoloardoino/status/1425090760609832978

幣安，Okex，火幣等發布公告，會關注此事件資金流向；https://twitter.com/cz_binance/status/1425091869709570060,https://twitter.com/JayHao8/status/1425094897976193034,https://twitter.com/DujunX/status/1425100770588954626

歐盟呼吁為銀行制定快速的加密貨幣資本規則:金色財經報道，歐盟行政部門表示，如果歐洲希望避免錯過全球商定的最后期限，就必須在歐盟待定的銀行法中快速實施針對持有加密資產的銀行的資本規則。據悉，由世界主要金融中心的銀行監管機構組成的全球巴塞爾委員會已經為實施銀行對穩定幣和比特幣等加密資產的資本要求設定了2025年1月的最后期限。巴塞爾協議的標準在歐盟是以法律形式適用的，而延遲可能意味著銀行必須等待更長時間才能進入加密市場，因為歐盟關于加密資產交易的單獨規則將在2024年生效。為執行巴塞爾的加密貨幣規則，歐盟可以提出一項新的法律，或者按照歐洲議會的要求，擴大它現在正在敲定的銀行法。

歐盟委員會在一份非正式討論文件中表示，就目前而言，銀行的加密資產風險非常低，只有限地參與提供加密資產相關的服務。（但）銀行已經表示有興趣代表其客戶交易加密資產，并提供與加密資產相關的服務。此外，該文件稱，議會和歐盟國家對銀行法有平等的發言權，并將開始談判最終文本，其中可能包括關于加密資產的規定。單獨的法律草案最早要到2023年底才會出臺。議會將在2024年中期進行投票。委員會的文件還建議，該集團的歐洲銀行管理局（EBA）可以與歐盟的證券監督機構ESMA協調，以確保加密資產被正確分類。[2023/2/21 12:18:26]

與USDC，BSC,Polygon，Heco，wBTC，MetaMask等取得聯系；

PolyNetwork推特持續發布事件進展，減少用戶恐慌情緒，避免非屬實的流言。https://twitter.com/PolyNetwork2/status/1425309429935710208

去中心化還有很長的路要走

通過與白帽先生的溝通，雙方緩和了情緒，基本信任建立。8月11日，攻擊者宣布「準備歸還資產」。隨后PolyNetwork的收款地址部署完成，8月11日8:43:57AM+UTCPoly團隊開始回收第一批退還資產。截止到8月13日，系統收回足夠的資產以恢復部分功能，在與白帽先生確認后，項目進入了恢復重建階段，核心目標還是兩點：促成資產收回，快速系統修復。

或是Snoop Dogg的匿名藏家將22枚NFT捐贈給洛杉磯郡立藝術博物館:金色財經報道，洛杉磯郡立藝術博物館（Lacma）宣布于昨日（2月13日）收到一份“禮物”，其中包含了22件在區塊鏈上鑄造的NFT藝術品，據稱這是美國藝術博物館的同類藏品中收到規模最大的一次NFT藏品捐贈，據稱匿名捐贈者可能是知名說唱歌手、Web3長期支持者Snoop Dogg，但洛杉磯郡立藝術博物館目前對有關捐贈者身份的詢問尚未做出任何回應。上周五（2月10日），法國蓬皮杜藝術中心透露已經獲得了18枚NFT作為永久收藏品。（nnn.ng）[2023/2/14 12:05:52]

與白帽先生確認收款流程；https://etherscan.io/tx/0x910b00b2b60b76d7c29a1855f9a1ebf204356eed22498334ddd46e46d96e06c2

向用戶承諾將收回全部資產作為首要目標；https://twitter.com/PolyNetwork2/status/1425785007486820368

修復系統漏洞，確保系統的安全性；https://github.com/polynetwork/eth-contracts/pull/12/files

確認系統重啟計劃和籌備路線圖；https://medium.com/poly-network/poly-network-roadmap-for-the-next-phase-9f84c03c2e53?source=social.tw&_branch_match_id=549963884981436182

開放恢復資產的項目方申請通道；https://twitter.com/PolyNetwork2/status/1427233445185409026

與Tether協商凍結的USDT處理方式；

dYdX公布dYdX Chain進展：已發布內部測試網，涵蓋杠桿、費用、清算等核心功能:11月22日消息，去中心化衍生品協議 dYdX 宣布完成 dYdX V4（dYdX Chain）五個里程碑中的第二個里程碑，即，內部測試網，目前，dYdX V4 有兩個永久運行的內部區塊鏈網絡，一個為開發者測試網，另一個用作通用測試網，在功能上，允許核心交易功能，包括杠桿、費用、預言機價格更新、每小時資金費率和清算。

此前報道，dYdX V4 將開發為基于 Cosmos SDK 和 Tendermint 權益證明共識協議的獨立區塊鏈。[2022/11/23 7:58:02]

與社區保持溝通；https://twitter.com/PolyNetwork2/status/1425739339820982275

最終進展如下：

回收BSC,Polygon資產；https://twitter.com/PolyNetwork2/status/1425309429935710208?

建立共管賬戶；https://etherscan.io/tx/0xf391ec8d5935d4ec11efb2c8b99ba3586cb0b0f05c5e0b9c44c74a1c40386bd7

完成修復系統漏洞并公布新安全方案；https://twitter.com/PolyNetwork2/status/1426819500263890946

宣布系統重啟路線圖；https://twitter.om/PolyNetwork2/status/1426490057276280832

確認可恢復功能項目清單并支持功能恢復；https://twitter.com/PolyNetwork2/status/1427839007501680640

白帽先生自己也在區塊鏈上闡述了自己此次攻擊的原因，過程和給大家的誠懇建議，我們對全文進行了記錄：

Coinbase CEO：計劃未來一年內出售約2%所持股份，以資助科學研究和公司:金色財經報道，Coinbase CEO Brian Armstrong在社交媒體上表示，我熱衷于加速科學和技術的發展，以幫助解決世界上的一些最大挑戰。為了進一步做到這一點，我計劃在未來一年內出售我持有的大約2%Coinbase股份，以資助科學研究和公司。

他還表示，為了避免疑問，我打算在很長一段時間內擔任Coinbase的CEO，仍然看好加密貨幣和Coinbase。我完全致力于發展我們的業務和推進我們的使命，但我也很高興能以不同的方式作出貢獻。[2022/10/15 14:28:47]

https://docs.google.com/spreadsheets/d/14hMTpPNylZG6DizU3K-fpDbfYZxenI_KtbHpWkdc7VM/edit#gid=0

期間，PolyNetwork團隊也在經歷著前所未有的評議與爭論，我們看到最大的爭議也同樣是白帽先生提出自己最大的顧慮-PolyNetwork的去中心化進程；

在此，我們也想為此疑慮做出解釋，事實上項目已經在去中心化的路徑上探索許久，我們相信去中心化永遠是優秀的協議非常重要的一環，如果有興趣，大家可以關注下：https://github.com/polynetwork/Zion?，在半年前，我們已經啟動了PolyNetwork的新版本的開發，我們希望未來通過完整的經濟模型和治理機制，來保證整個網絡的去中心化管理。因為跨鏈協議不同于單鏈項目，由于要實現不同特性鏈之間的互操作性，除了實現安全性要比單鏈更加復雜外，如何更有效的治理也是一個重要的部分，實現多元化世界的一致性，需要各個相關方進行更加高效的共識。

安全就是一切

安全一定不是一蹴而就的事，對于網絡安全，此次事件已經凝聚了全行業最直接深刻的體會。https://twitter.com/PolyNetwork2/status/1426197361177493511

8月15日，在確定并公布恢復計劃后，團隊開始持續推進和落實路線圖中的工作，包括在immunefi的平臺上發布了總額為50萬美金的安全賞金計劃，希望吸引全球安全機構和白帽組織為PolyNetwork的安全助力，當然這只是安全的第一步，系統恢復期內我們也：

邀請白帽先生作為PolyNetwork的首席安全顧問并提供160ETH安全賞金

https://twitter.com/PolyNetwork2/status/1427574236483231749

與PeckShield、BlockSecTeam、Beosin(ChengduLianAnTech)等安全機構確認修復和重啟方案

1）PeckShield：https://peckshield.medium.com/polynetwork-bug-review-and-patch-analysis-88bde8441297

2）BlockSecTeam：https://blocksecteam.medium.com/the-informal-security-review-of-the-patch-of-the-poly-network-1a0a532b731e

3）Beosin(ChengduLianAnTech)：https://beosin.medium.com/boesins-analysis-of-the-fix-code-on-poly-network-smart-contracts-a305639ea626

https://medium.com/poly-network/latest-updates-aug-20-a12447c6d899

https://medium.com/poly-network/latest-updates-aug-19-ed7ab8e5c2f0

https://medium.com/poly-network/latest-updates-aug-17-241398d64a40

同時我們也想引用白帽先生闡述的對區塊鏈安全的一些建議，我們覺得在一定程度上是中肯客觀的。

https://etherscan.io/tx/0x078063e9574e1937a64b6552919b9fc0035429df1e601d79e200bf211e75f337

https://etherscan.io/tx/0x42446ccc66bb48eac7bd905ae7d79708f303849802b280eb4d65770c1bfc0997

我們相信協議的安全始終是重要的一環，但是我們也相信在crypto的世界里，代碼之上仍有更廣袤和豐富的存在，或許大家有著不同的價值觀和知識儲備，但是依舊可以公平的參與到這個世界建設和治理里，我們在未來想建立的不僅僅是一個安全的協議，更是一個對所有人公平透明的協議。

所有的代幣都還給你了

所有的故事都會有一個尾聲，很欣慰，這次的故事是一個HappyEnding。

8月19日，白帽先生歸還了Ethereum上的96,942,063個DAI。

8月22日，除wBTC和ETH資產已盡數歸還。PolyNetwork開始進行穩定幣的資產清點和復原，以協助O3Hub的功能恢復。

8月23日完成了白帽先生返回的96,942,063個DAI與USDC之間的轉換，同時將BSC上的87,557,051個BUSD轉換為USDC(BEP-20)。對于在交易中產生的滑點損耗和手續費，PolyNetwork團隊用自有資金進行補償。

https://etherscan.io/tx/0x814e6a21c8eb34b62a05c1d0b14ee932873c62ef3c8575dc49bcf12004714eda

https://medium.com/poly-network/latest-updates-aug-23-7f6cca47b574

8月23日白帽先生公布了多簽錢包的私鑰。

https://twitter.com/PolyNetwork2/status/1429738587046563841

8月25日，此次攻擊事件受影響的WBTC和ETH資產全部恢復。https://twitter.com/PolyNetwork2/status/1430485302527741954

同日，Tether將此前凍結的33,431,200USDT資產全數釋放至PolyNetwork接收資產的多簽錢包內。https://twitter.com/Tether_to/status/1430510652582416387

8月26日，PolyNetwork完成USDT資產的復原工作。至此，所有受此次攻擊事件影響的資產恢復完畢。https://medium.com/poly-network/poly-network-asset-recovery-complete-a7ba33c2f2e4

謝謝大家支持我們

這個故事到了一個尾聲，但是對于我們來說卻是下一個征程的開始，在新的征程開始之前，我們想對所有使用PolyNetwork的項目和用戶，表示誠摯的感謝和深切的歉意。很抱歉由于系統漏洞給所有用戶帶來的困擾。感謝你們對項目的信任，雖然我們有可能會失去了一部分曾經相信我們的人，但我們會用之后的行動重新建立大家對項目的信心。同時，我們也將會用我們的方式去感謝所有使用過，支持過，一起經歷過這次事件的每個人，后續具體的細則我們將在系統完全恢復后在官方渠道公布，請大家保持關注。

最后我們想說，項目安全始終是PolyNetwork以及整個行業永恒的主題，希望PolyNetwork事件不僅能幫助我們建設一個更健壯的項目，還能給整個行業帶來足夠深刻和持久的警示。對于我們來說，這段經歷將成為我們永不會忘卻的記憶，它不僅僅代表了一個協議的安全，更有關對信任、權力、欲望、責任、信仰新的理解。

Tags：POLYOLYPOLTWOpolyx幣行情polydoge幣最新消息POLXSIX Network

FTX