攻击者从 Poly Network 转移 1000 万美元加密资产——事件经过

攻击概述

据安全公司 Beosin 的详细分析，一名高水平黑客成功利用 Poly Network 基础设施漏洞，转移了近 1000 万美元等值的 ETH。本次事件是去中心化金融（DeFi）生态体系中一次重大的安全漏洞。

Poly Network 作为跨链桥，支持不同区块链网络之间的资产无缝转移。今年 7 月初，官方通过公告确认，Poly Network 成为DeFi 漏洞攻击的最新受害者。此次攻击之所以令人震惊，是因为黑客能够在多个区块链网络上铸造高达 340 亿美元等值的加密货币代币。

安全事件发生后，Poly Network 团队在检测到攻击后立即决定暂时暂停所有服务，以防止进一步被利用，并最大限度保护用户资产。

DeFi 网络技术团队披露，此次漏洞使攻击者能够在 10 条不同区块链网络上铸造 57 种代币。受影响网络包括以太坊（Ethereum）、Metis、Polygon、Avalanche、Heco 等主流区块链基础设施。这种多链攻击展现了攻击手法的复杂性，也暴露了跨链桥协议的固有脆弱点。

在首次攻击后，黑客钱包一度持有超过 420 亿美元的代币。但由于流动性不足，以及相关区块链和交易平台采取了安全措施，攻击者在将这些人为铸造的资产兑换为可流通资金时遭遇巨大阻碍。

攻击原因分析

据安全公司 Beosin 和 Dedaub 的深入分析，Poly Network 本次安全事件疑似由平台主智能合约使用的私钥被窃引发。这一发现对于理解攻击路径至关重要。

安全分析师指出，本次漏洞并非因智能合约逻辑或代码结构本身存在缺陷，而是更为根本且严重的私钥泄露问题，即控制核心网络操作的加密私钥被攻破。

安全公司调查显示，支撑网络主智能合约的 4 个管理员钱包中，有 3 个钱包的私钥遭到泄露。这些管理员钱包掌控协议关键权限，私钥一旦失窃，攻击者即可获得协议管理级控制权。此类攻击极具威胁，因为它可以直接绕过智能合约安全机制，凭借合法凭证实行攻击。

需要强调的是，私钥在区块链系统中是最高级别的认证机制。一旦私钥泄露，攻击者就能以管理员身份执行各种操作。因此，私钥安全对于任何区块链协议至关重要，特别是跨链资产转移相关场景。

截至发稿，Poly Network 团队尚未就私钥泄露一事发布官方说明或确认。缺乏细节披露，可能与持续调查或避免暴露更多安全风险有关。

受影响 DeFi 网络团队宣布，正与中心化交易所及执法机构协作，追查攻击者身份并追回被盗资产。这一多方联合行动涵盖技术分析与法律手段，显示出团队对事件的高度重视。

事件发生后，某主流交易所 CEO 向用户保证，此次事件未波及其平台客户。该高管表示，平台不支持受损网络的充值，有效隔离了用户资产免受影响。此举有助于平稳市场情绪，也体现主流交易平台的安全保障能力。

Poly Network 团队还紧急向受影响项目方发出指引，建议立即从去中心化交易所撤出流动性。同时，建议持有受影响资产的用户解锁资产并取回相应流动性池代币。上述措施旨在降低潜在损失，防止攻击者进一步获取流动性。

此外，团队还直接呼吁黑客自愿归还被盗资金，以避免法律后果。尽管这种方式看似理想化，但在加密货币行业，确实曾有黑客在攻击后返还资产的先例。

Poly Network 第二次重大安全事件

本次攻击是 Poly Network 近年第二次遭遇的重大安全事件，引发了对其安全架构和协议设计的严肃质疑。

2021 年 8 月，多名黑客利用网络漏洞盗取了近 61100 万美元加密货币，成为加密货币史上最大规模盗窃案之一。该事件震动整个 DeFi 社区，并凸显了跨链桥协议的风险，这些协议已成为高级攻击者的重点目标。

2021 年的攻击案结局颇为特殊，黑客在事件发生两天内几乎归还了全部被盗资产，这在加密货币安全领域极为罕见。黑客主动归还资金，引发了关于动机的诸多猜测——有人认为他们是白帽黑客，意在揭示系统漏洞，也有人认为面对如此巨额资产清洗遇到技术障碍。

据当时安全报告显示，该漏洞由用于签署跨链消息的私钥泄露所致。这表明，Poly Network 长期存在私钥安全隐患。两次重大安全事件均与私钥失窃相关，说明问题远超代码漏洞层面。

同一平台连续发生重大安全事件，暴露了跨链桥协议在底层安全架构上的核心挑战。尽管跨链桥对区块链互操作不可或缺，但需保障多链安全也使其极易遭受攻击，每增加一条链即带来新的攻击面和风险点。

漏洞反复出现，反映出 DeFi 领域安全团队与恶意攻击者之间持续的“猫鼠游戏”。协议不断升级安全措施的同时，攻击手法也在持续进化。随着行业成熟，加密货币领域仍需建立更强健的安全防线应对这些挑战。

常见问题

Poly Network 是什么？为何成为黑客攻击目标？

Poly Network 是支持多区块链资产转移的跨链交易平台。2021 年，由于智能合约安全漏洞，损失高达 61000 万美元。合约设计上的缺陷暴露了其跨链交易系统的核心薄弱点。

本次黑客如何盗取 1000 万美元加密货币？采用了哪些技术手段？

攻击者利用被盗管理员密钥访问 Poly Network 的加密货币储备，并通过以太坊及多条区块链桥进行资金转移，实现了资产的快速跨链流转和分散。

我在 Poly Network 的资金安全吗？资产是否会受影响？

Poly Network 发生了重大安全事件。受影响用户应第一时间核查账户。协议已提升安全措施，并完成对受损用户的补偿。具体恢复细节请关注官方公告。

跨链桥协议存在哪些安全风险？用户应如何保护资金？

跨链桥存在智能合约漏洞、验证者攻击与流动性风险。建议用户选择通过安全审计的协议、核实合约地址、妥善管理私钥，避免一次性跨链大额资产，以降低风险暴露。

类似安全事件还有哪些？如何防范？

历史案例包括 Mt.Gox 盗窃案、Bitfinex 漏洞事件和 Binance 账户被盗。防范建议：选择安全体系完善的交易所、启用双重认证、偏向合规平台、资产存冷钱包、及时关注安全动态，并考虑使用去中心化交易所以提升资产控制力。

Poly Network 官方对此次事件如何回应？是否有补偿？

Poly Network 官方承诺对受损用户进行赔付。平台已追回被盗资产，并完成赔偿流程。