8月10日，跨链互操作协议Poly Network遭到攻击，协议损失惨重。黑客一共在以太坊、BSC和Polygon三条被集成的公链上共盗走价值6.1 亿美元的加密货币。这是DeFi史上最大盗窃案，而这一天也注定会成为DeFi发展史记入史册的一天。

公开信息显示，此次单日被盗总金额已经超过2020年全年DeFi领域盗窃案总金额的两倍有余，甚至超过“门头沟盗窃案”（近80万比特币当时价值4亿美元），这引来了全球加密行业的全面关注。

值得关注的是、Poly Network和O3 Swap项目均为NEO（小蚁）生态的分布科技“操刀”，且项目未完全开源，项目之间隐晦的关系也一度被行业质疑为“内部操作”。

普通黑客攻击？内部坚守自盗？还是黑客在线聊天、归还资产展示行为艺术？疑点频出，至今行业仍未破解黑客底细与目的。

不管怎样，该事件悄然间已引发连锁反应，或引发一场“大麻烦”。

攻击始末与众生相

在本次盗窃的事件中，以太坊地址被盗走2.5亿美元，BSC地址被盗走2.7亿美元，polygon地址被盗走0.85亿美元。

其中，Poly Network立即呼吁行业协同合作共同反制黑客行为。因其被盗资金量巨大，Tether方面首先做出反应，使用超级权限冻结了涉及该事件关联的3300万美金的USDT。不过基于去中心化和上市等相关担忧，BSC和USDC关联方Circle并未做出直接实际行动。

此后，黑客利用DeFi协议Curve和Ellipsis开启了“洗币”行动。并利用浏览器与项目方与行业投资者展开交流。

“如果我转移了剩余的币，那将是十亿美金级别的攻击。我刚刚是拯救了这个项目吗？”“如果我制作一个新的代币并让DAO决定代币的去向会怎样？”“决定归还代币”。

此外，黑客还打赏了一个为其提供建议的地址13.37ETH的奖励。这也吸引了越来越多的行业人士加入“乞讨”大军中。提建议、在线乞讨和诉苦，好不热闹。

蓄谋已久的“自盗”?

黑客态度反复无常，并自诩传奇，关于该盗窃案到底是监守自盗还是突遭外部攻击也暂时成为了悬念。行业也将关注点转向了PolyNetwork、O3 Swap和NEO集团的关系上。

据悉，有行业人士表示，该事件的主角Poly Network、O3 Swap本质为一个团队，由国内达鸿飞领导的NEO团队“操刀”。

Poly Network公开资料显示，其是由Neo、 Ontology、Switched基金会共同作为创始成员，分布科技（NEO孵化）作为技术提供方共同发起的跨链组织。这也意味着其属于NEO生态，也可以称为“小蚁系”。

此前，Poly Network 技术负责人Tan Yuan在接受一些线上活动采访时也表示，其曾任Ontology核心开发者，Neo社区开发与应用的核心参与者。

在O3 Swap项目上线之初，有行业人士就曾表示，该项目能一键把用户的质押资产转到它的指定账户里，而且还没有时间锁！这就是所谓的“留有后门”。

同时，一个不容忽视的重点是，黑客发动攻击所用的三条链的Gas费用（BNB、ETH、MATIC）是由虎符（HOO）交易所转出。众所周知，虎符为国内主导的交易所，用户多数也为国内用户，这也增加了国内作案的概率。

黑客在虎符没有进行KYC，且转入交易所的初始资金为隐私币门罗（XMR），这也导致了资金流向无法进行追踪。众多安全机构分析的结果也大不相同。

BlockSec安全团队初步分析认为，导致攻击发生的原因可能为用于跨链签名的私钥被泄漏或者签名程序有逻辑漏洞导致签署出攻击交易。

安全研究员 Mudit Gupta也认为，黑客掌握了私钥，进而控制了多个keeper，并将其换成了单签，至于私钥泄露原因很有可能是内部人员与黑客勾结。

不过，慢雾安全团队则认为，本次攻击主要在于EthCrossChainData合约的keeper可由EthCrossChainManager合约进行修改，而EthCrossChainManager合约的verifyHeaderAndExecuteTx函数又可以通过_executeCrossChainTx函数执行用户传入的数据。因此攻击者通过此函数传入精心构造的数据修改了EthCrossChainData合约的keeper为攻击者指定的地址，并非网传的是由于keeper私钥泄漏导致这一事件的发生。

本次事件背后的“麻烦”有哪些？

关于该事件的结果到底是谁的麻烦至关重要，如此大金额的DeFi被盗案例也注定将被载入历史。

1.对投资者与项目方的影响

毫无疑问，投资者与项目方无疑面临着最大的麻烦。相关代币二级市场价格缩水、LP资金拿不回或者缩水，后续项目方如何赔偿投资者损失将成为棘手事件，而小蚁系项目也将面临信任危机。

消息人士表示，本次事件的LP资金很多来源于沪杭两地，甚至有业内挖矿大户过亿美元资产被盗。庆幸的是，黑客已经开始向项目方返还资产，或可能减少损失。不过，黑客能否全额返还存在很大的不确定性。如未能全额返还，损失资产由谁兜底将是一个棘手问题。

据达鸿飞此前公开介绍，为满足政府与企业的联盟链与私有链需求，NEO孵化了分布科技，自己出任CEO。分布科技作为Poly Network的技术提供方，此次出现重大问题，或直接影响自身合规业务。

此外，关于O3 Swap为什么留有“后门”，开发团队一直没有正面解释。

2.对国产项目的影响

对于本次发生的盗窃事件，无论其是不是属于监守自盗行为，或将加剧全球加密市场对于中国项目的偏见。

3.对跨链协议的影响

当前行业发展迅速，各大公链生态愈加丰富，此时用户对于跨链的需求也显著增加。打造高效、便捷和便宜的跨链协议也成为了加密市场的一大热点。

然而，跨链与DeFi的“乐高城堡”特性相比，由于其涉及多个公链与DEX交易，技术复杂性突出。而跨链协议作为链接各类资产的第三方，安全性至关重要。

近期DeFi被盗案例出现最多的环节之一同样也是跨链问题。据Coin98数据统计，今年第三季度共发生了11起重大DeFi盗窃事故，其中有5起属于跨链桥资产盗窃事件。分别为：AnySwap（7月10日，$790万）、ChainSwap（7月11日，$440万）、THORChain两起（7月15日，$500万）&（7月23日，$800万）、以及Poly Network（8月10日，$6.11亿）。

4. 对整个DeFi领域深入探索的影响

从去年年中开始至今，DeFi领域经过数去泡沫阶段，其价值逐渐得到了行业乃至业外的认可。

Messari报告指出，第二季度DEX交易总量达4049亿美元，环比增长83%，同比增长117倍。显示了该领域巨大的增长潜力。与此同时，CryptoQuant数据也显示，近期所有交易所的钱包中持有的以太坊达到2.5年低点。

“不是你的私钥，不是你的钱”观念和“到DeFi中掘金”行为逐渐形成了一种趋势。不过经过本次恶劣的盗窃事件，投资者将自己从中心化交易所解放出来后发现如今最安全的地方却回到了起点，不免让人唏嘘。

同样， DeFi的“去中心化”是否是一个伪命题值得再次深究。在涉及自己的利益时，投资者总是希望Tether、Circle和币安站出来以中心化方式解决问题，但是这样的行为是否失去了DeFi发展的本意？

上月，Uniswap前端界面移除部分Token引发巨大争议。作为DEX领域独角兽，Uniswap占据了其中绝大部分交易量，仅7月就创造了364美元的交易量，占据65%的市场份额。

有行业人士表示，主动下架Token或为了迎合监管。而美国证券交易委员会（SEC）主席Gary Gensler近期的种种相关言论也展现了“DeFi监管正在路上”这一结论。

不管后续该事件如何发展，行业必须要重视可能存在的各种影响，DeFi仍处于野蛮生长阶段，必定险象环生。

最后，投资者切记不可轻信项目“审计”结论，即便通过了代码审计，项目被盗后也不会有审计单位为此买单，DeFi“挖矿”高收益必定伴随着高风险。