跨链协定Poly Network遭盗走价值6.1亿美元的加密货币

打造跨链协定以让不同区块链得以互动的Poly Network周二（8/10）宣布，骇客攻击了此一去中心化的金融平台（DeFi），并成功移转了价值达6.1亿美元的加密货币。Poly Net已发布公开信要求骇客归还所盗走的加密资产，且宣称这是DeFi史上最大的一次骇客事件。

Poly Network所开发的跨链协定允许同质与异质的区块链，可透过公开且透明的机制连至Poly Network网络，以于Poly Network网络上进行跨链通讯，迄今已整合了比特币、以太坊、Neo、Ontology、Elrond、Ziliqa、Binance、Switcheo与Huobi ECO等区块链，企图建立新一代的区块链网络架构。

率先发现此一攻击事件的，是专注于区块链生态体系安全性的SlowMist Zone社群，指出protocol Poly网络在周二晚间遭到骇客攻击，大约有价值6.1亿美元的加密货币被转移到3个位址，该社群已追踪到骇客所使用的邮件信箱、IP与装置指纹。

SlowMist Zone社群的分析显示，骇客最初的来源资金为门罗币（XMR），再将它们兑换成比特币、以太币与MATIC币，并对这3条区块链发动攻击，也相信这是骇客是经过缜密计划才发动的攻击行动。

该社群也公布了骇客的攻击手法，指出其源头为EthCrossChainManager合约的verifyHeaderAndExecuteTx函数可透过_executeCrossChainTx函数，来执行特定的跨链交易。

由于EthCrossChainData合约的所有人就是EthCrossChainManager合约，有鉴于EthCrossChainManager合约能借由呼叫EthCrossChainData合约的putCurEpochConPubKeyBytes函数来变更合约的管理人，于是骇客只需要输入精心打造的资料，就能将合约的管理人角色转移到骇客所指定的位址，进而转移该合约内的所有资产。

此次骇客即利用上述方法攻击了币安链、以太链与MATIC资产。

Poly Network很快就去信给骇客，表示想与骇客沟通，请他们尽速归还所盗走的加密资产，还说这是DeFi史上被窃金额最大的一次骇客事件，涉及数十万的加密货币用户，任何国家的执法机关都会将它视为经济犯罪并展开追查。

此外，Poly Network也呼吁受到波及的矿工，以及所有的加密货币交易平台，都应将骇客所使用的钱包位址列入黑名单，也准备针对此一骇客事件展开法律行动。