Poly Network 是一个用以在好几个区块链中间进行代币总互换的协议书，由包含 Neo、Ontology 和 Switcheo 以内的好几个区块链服务平台后面的团体协同建立。其软件架构设计如下图：

（图片来源于 SlowMist）

以后Poly Network公布文章称：通过基本调研，导致该事儿的因素是黑客运用了智能合约启用中间的系统漏洞。

（图片来源于Poly Network twiter）

与此同时，Poly Network团队仍在twiter称为将采用法律制裁，规定黑客尽早偿还失窃的数字货币。

（图片来源于Poly Network twiter）

在进攻当日不久，黑客公布表明要偿还所盗的数字货币，动因未知，黑客称“我对钱并不是特别感兴趣”，“为了更好地好玩儿”。

在伤害产生几小时内，SlowMist精英团队称根据区块链跟踪关系发觉了网络攻击的电子邮箱、IP 及设备指纹等信息内容。这可能是黑客偿还所盗财产的因素之一，黑客接着相继开展了偿还的实际操作。

（图片来源于Poly Network twiter）

现阶段黑客已经偿还了超出一半的失窃数字货币。

依据SlowMist精英团队剖析的进攻全过程，涉及到进攻的详细地址如下所示：

（图片来源于 SlowMist）

依据SlowMist精英团队的剖析，受到攻击的缘故有：

1、源链并没有查验进行的跨链实际操作

2、总体目标链并没有查验分析的总体目标启用合约和调用主要参数

3、EthCrossChainData合约的使用者是EthCrossChainManager

4、bytes4(keccak256(abi.encodePacked(_method,“(bytes,bytes,uint64)”))) 可以被哈希碰撞进攻

攻击全过程：

1、网络攻击在源链上用心结构一个实际操作来改动总体目标链的Keeper

2、应用官方网Relayer正常的递交总体目标链数据信息，更换Keeper

3、网络攻击应用被替代的Keeper详细地址来签定实际操作，并将其上传给'EthCrossChainManager'开展认证。

4、认证Keeper是不是未被网络攻击更换的详细地址。如果是，则将财产转移到网络攻击特定的详细地址。

5、盈利

本次进攻根本原因是EthCrossChainData合约的keeper可以被EthCrossChainManager合约改动，EthCrossChainManager合约的verifyHeaderAndExecuteTx函数公式可以实行客户根据_executeCrossChainTx函数公式传到的主要参数，因而，网络攻击运用该函数公式传到用心结构的技术参数来改动EthCrossChainData合约的keeper。

依据SlowMist精英团队的剖析，此次进攻总亏损超出 6.1 亿美金，详细信息如下所示：

（图片来源于 SlowMist）

此次Poly Network进攻主要是智能合约的系统漏洞导致的，尽管区块链自身很安全性，可是智能合约却存有各种各样安全隐患。

智能合约是被构建在区块链上可自行运行的智能化协议书，也是可依照预置合约条文全自动运行的计算机语言，关键包括有关编码和数据。根据智能合约可以灵便置入各种各样信息和区块链资产，安全性有效地互相交换信息内容、管理方法财产。

智能合约存有的系统漏洞有：跨站脚本攻击、随机数字问题、合约自身的系统漏洞、合约函数公式系统漏洞、合约再入等。

在最近几年出现的 ETH DApp进攻事情中，绝大多数便是智能合约系统漏洞导致的：

（图片来源于：计算机学报《智能合约的合约安全性和个人隐私安全性研究成果》）

强烈推荐试验：课程内容:区块链及安全生产技术(合天网安试验室) ：根据本课程内容你将学习培训到区块链，以太币，智能合约的相应专业知识，及其区块链安全性有关专业知识。