攻擊者自 Poly Network 轉移 1,000 萬美元加密資產——事件始末

攻擊概述

根據安全公司 Beosin 的深入分析，一名高階駭客成功利用 Poly Network 基礎設施的漏洞，轉移了價值近 1,000 萬美元的 ETH。這起事件是去中心化金融（DeFi）生態系統中重大安全漏洞之一。

Poly Network 作為跨鏈橋，支援不同區塊鏈網路間的資產順暢轉移。今年 7 月初，官方公告證實 Poly Network 成為DeFi 漏洞攻擊的最新受害者。本次攻擊之所以引發關注，主因駭客能在多條區塊鏈網路上鑄造高達 340 億美元的加密貨幣代幣。

安全事件發生後，Poly Network 團隊在偵測到攻擊即刻暫停所有服務，以防止進一步被利用，並盡可能保護用戶資產。

DeFi 網路技術團隊揭露，此次漏洞讓攻擊者得以在 10 條不同區塊鏈網路上鑄造 57 種代幣。受影響的網路包括 Ethereum（以太坊）、Metis、Polygon、Avalanche、Heco 等主流區塊鏈基礎設施。這類多鏈攻擊凸顯手法複雜度，也暴露跨鏈橋協議的固有弱點。

首次攻擊過後，駭客錢包一度持有超過 420 億美元的代幣。但由於流動性不足，以及相關區塊鏈和交易平台採取安全措施，攻擊者在嘗試將人為鑄造資產換成可流通資金時遇到重大阻礙。

攻擊原因分析

根據安全公司 Beosin 與 Dedaub 的分析，Poly Network 本次安全事件疑似因平台主智能合約所用的私鑰遭竊而起。這項發現對理解攻擊路徑至關重要。

安全分析師指出，這次漏洞並非源自智能合約邏輯或程式碼結構本身，而是更深層且嚴重的私鑰洩露問題，也就是控制核心網路操作的加密私鑰遭到破解。

安全公司調查發現，運作網路主智能合約的 4 個管理員錢包中，有 3 個錢包的私鑰遭到洩露。這些管理員錢包掌控協議的關鍵權限，私鑰一旦失竊，攻擊者便能取得協議管理級控制權。此類攻擊非常具威脅性，因為可直接繞過智能合約的安全機制，透過合法憑證發動攻擊。

需要強調，私鑰在區塊鏈系統中是最高層級的認證機制。一旦私鑰外洩，攻擊者就能以管理員身分執行各種操作。因此，私鑰安全對所有區塊鏈協議至關重要，尤其是涉及跨鏈資產轉移的場合。

截至本文撰寫時，Poly Network 團隊尚未就私鑰洩露事件發表官方聲明或確認。細節尚未公開，可能與持續調查或避免曝露更多安全風險有關。

受影響的 DeFi 網路團隊宣布，正與中心化交易所及執法機構合作，追查攻擊者身份並設法追回被盜資產。這項多方聯合行動涵蓋技術分析與法律手段，展現團隊對事件的高度重視。

事件發生後，某主流交易所 CEO 向用戶保證，本次事件未影響其平台客戶。該主管表示，平台不開放受損網路的充值，有效隔離用戶資產免受波及。這有助於穩定市場情緒，也展現主流交易平台的安全管理能力。

Poly Network 團隊也緊急向受影響項目方發出指引，建議立即從去中心化交易所撤回流動性。同時，建議持有受影響資產的用戶解鎖資產並取回流動性池代幣。這些措施旨在降低潛在損失，防止攻擊者進一步獲取流動性。

此外，團隊也公開呼籲駭客自願歸還被盜資金，以避免法律追訴。儘管此方式略顯理想化，但加密貨幣產業確實曾有駭客在攻擊後歸還資產的案例。

Poly Network 第二次重大安全事件

本次攻擊是 Poly Network 近年來第二次遭遇的重大安全事件，外界對其安全架構及協議設計產生嚴肅質疑。

2021 年 8 月，多名駭客利用網路漏洞盜走近 6,110 萬美元的加密貨幣，成為加密貨幣史上最大規模竊案之一。該事件震撼 DeFi 社群，也凸顯跨鏈橋協議的高風險，這類協議已成為高階攻擊者鎖定目標。

2021 年攻擊案結局特殊，駭客在事件發生後兩天內幾乎歸還了全部被盜資產，這在加密貨幣安全領域極為罕見。駭客主動歸還資金，引發外界對動機的各種猜測——有人認為他們是白帽駭客，意在揭露系統漏洞；也有人認為，面對如此巨額資產清洗時遭遇技術障礙。

根據當時安全報告，該漏洞源於簽署跨鏈訊息的私鑰洩露。這說明 Poly Network 長期存在私鑰安全隱憂。兩次重大安全事件皆與私鑰失竊有關，問題不僅止於程式碼漏洞層面。

同一平台連續爆發重大安全事件，暴露跨鏈橋協議底層安全架構的核心挑戰。雖然跨鏈橋對區塊鏈互操作性不可或缺，但多鏈安全保障困難，使其容易成為攻擊目標，每新增一條鏈即增加新的攻擊面與風險。

漏洞屢次出現，反映 DeFi 安全團隊與惡意攻擊者間持續的「貓鼠遊戲」。協議持續升級安全措施，攻擊手法也不斷演化。隨產業成熟，加密貨幣領域仍需建立更強健的安全防線來因應這些挑戰。

常見問題

Poly Network 是什麼？為何成為駭客攻擊標的？

Poly Network 是支援多區塊鏈資產轉移的跨鏈交易平台。2021 年因智能合約安全漏洞，損失高達 6,100 萬美元。合約設計缺陷暴露了其跨鏈交易系統的核心弱點。

本次駭客如何竊取 1,000 萬美元加密貨幣？採用哪些技術手段？

攻擊者利用被竊管理員密鑰存取 Poly Network 加密貨幣儲備，並透過 Ethereum 及多條區塊鏈橋進行資金轉移，達到資產快速跨鏈流通與分散。

我在 Poly Network 的資金安全嗎？資產會受影響嗎？

Poly Network 發生重大安全事件。受影響用戶應立即檢查帳戶。協議已提升安全措施，並完成受損用戶補償。恢復細節請參閱官方公告。

跨鏈橋協議存在哪些安全風險？用戶如何保護資金？

跨鏈橋存在智能合約漏洞、驗證者攻擊及流動性風險。建議選擇通過安全審計的協議、核查合約地址、妥善管理私鑰，避免一次性跨鏈大量資產，以降低曝險。

還有哪些類似安全事件？如何防範？

歷史案例包括 Mt.Gox 竊案、Bitfinex 漏洞事件與 Binance 帳戶盜竊。防範建議：選擇安全機制完善的交易所、啟用兩步驟驗證、偏好合規平台、資產存放冷錢包、即時關注安全動態，並考慮使用去中心化交易所以提升資產掌控力。

Poly Network 官方對本事件如何回應？是否有補償？

Poly Network 官方承諾對受損用戶進行賠償。平台已追回被盜資產，並完成賠償流程。