黑客攻击用的是python2.x还是3.x（攻击PolyNetwork）

黑客攻击用的是python2.x还是3.x（攻击PolyNetwork）在事件发生后，黑客通过以太坊网络链上转账传达自身的想法。他表示，自己只是觉得有趣，并且跨链攻击很火才选择Poly Network作为攻击对象。发现漏洞后没有及时与项目方沟通，是因为他不信任任何人，为了保持自己身份匿名和安全，只能选择把币放入自己信任的账户中。他觉得Polygon网络很不可靠，很多时候以为已经发送了交易，但它却消失了。据分布科技Onchain内部人员向本报记者表示：“黑客利用了_executeCrossChainTx 函数执行用户传入的数据，攻击者通过此函数传入精心构造的数据，以修改 EthCrossChainData合约的管理员（Keeper）为攻击者指定的地址，并不是由于管理员（Keeper）私钥泄漏而发生的。黑客：只是觉得有趣2020年8月18日Poly Network主网上线，由Neo、Ontology、Switcheo 基金会共同作为创始成员，分布科技作为技术提供方

华夏时报（www.chinatimes.net.cn）记者 王永菲 冉学东 北京报道

毋庸置疑，异构链跨链互操作协议Poly Network被黑客盗币超过6亿美元的事件使得加密行业对DeFi领域的安全不得不重新审视。

8月10日晚间，异构链跨链互操作协议Poly Network遭受到黑客攻击。据安全团队慢雾科技分析，Poly Network在BSC（约合253 322 578.31美元）、Polygon（约合85 089 738.65美元）以及Ethereum(约合274649783.74美元）三条公链上丢失了包括BNB、ETH、BUSD、USDC、USDT在内的10几个币种，被盗总额约为613 062 099.96美元。

这起超过6.13亿美元的盗币案成为DeFi领域最大的丢币案，乃至在加密领域也成为榜上TOP3的盗币案之一。截至发文，通过黑客发布的信息，目前正在陆续退还中，BSC链上约2.5亿美元资产已经退还，Polygon链上约8500万美元已经退还。

黑客：只是觉得有趣

2020年8月18日Poly Network主网上线，由Neo、Ontology、Switcheo 基金会共同作为创始成员，分布科技作为技术提供方共同发起的跨链组织。上海分布信息科技有限公司为Poly Network的技术研发提供支持。

截至被盗币，主网上线不足一年。不过事实上，许多热门的DeFi相关项目上线不足半年甚至三个月就被黑客攻击，丢失代币。

据分布科技Onchain内部人员向本报记者表示：“黑客利用了_executeCrossChainTx 函数执行用户传入的数据，攻击者通过此函数传入精心构造的数据，以修改 EthCrossChainData合约的管理员（Keeper）为攻击者指定的地址，并不是由于管理员（Keeper）私钥泄漏而发生的。

在事件发生后，黑客通过以太坊网络链上转账传达自身的想法。他表示，自己只是觉得有趣，并且跨链攻击很火才选择Poly Network作为攻击对象。发现漏洞后没有及时与项目方沟通，是因为他不信任任何人，为了保持自己身份匿名和安全，只能选择把币放入自己信任的账户中。他觉得Polygon网络很不可靠，很多时候以为已经发送了交易，但它却消失了。

黑客否认了自己是内部人士的说法，他还表示，攻击 Poly Network 是一种奖励挑战，目前身份并没有暴露，因为他使用了临时电子邮件、IP等，都是无法追踪的。

“返还资金是因为这一直是我的计划！我对金钱不是很感兴趣！陆续的返还是因为还需要时间与Poly团队沟通，并且可以隐藏自己的身份与守护自己的尊严。我从未要求过Poly Network的赏金。”黑客留言表示。

为了不引起恐慌，黑客选择的都是一些有实力的代币，这些代币不会因为恐慌而出现归零。期间出售代币主要是因为Poly Network团队的回应激怒了他，他表示：“在我还没来得及回复之前，他们敦促其他人责备和憎恨我！而把稳定币存入到其他地方进行理财可以赚取一些利息来支付一些潜在成本，这样还有更多时间与Poly团队进行谈判。”

在他自问自答的问题中“为什么要退款？因为是个懦夫吗？”他回答道：“你评判别人时，你不是在讨论他们，而是在评判自己。我已经享受了我最关心的事情：黑客和指导。很少有黑客能理解DeFi安全的情况。找出Poly network结构中的盲点将是我人生中最美好的时刻之一。随着加密世界的发展，我已经有了足够的钱。说实话，我确实有一些自私的动机，想通过利用巨大的基金来做一些很酷但不有害的事情，比如 DAO。然后我意识到，成为道德领袖将是我可以达成的最酷的事情。”

不得不说，这是一个特立独行又有想法，还非常有才华且文艺的黑客。因为在退还的过程中，还为其退还的相关地址分别写了一首诗。

DeFi安全事件频发

根据Coin98 Analytics数据显示，2021年第三季度过半，分布式金融科技DeFi领域在近一个半月的时间里发生了11起重大安全事件，其中有5起都发生在跨链协议中，比如AnySwap、ChainSwap、THORChain、Poly Network，其中，THORChain两次被黑客光顾，Poly Network被盗金额是最高的。

中国通信工业协会区块链专委会轮值主席、火币教育校长于佳宁向本报记者分析跨链协议的安全性，他表示：“从数据上来看，目前跨链协议的安全风险与单一区块链相比较高。随着DeFi的发展，对不同链之间的资产进行交互的需求越来越多，于是出现了很多跨链协议。尽管跨链协议为DeFi的组合型和交互性带来了无限的可能，但也正是因为这种可能，带来了很多组合型金融产品的风险。跨链协议与DeFi中的单链交易相比，在资产交互、资产锁定、签名授权等环节更为复杂，也更容易出现问题。只要其中的一个环节出现了问题，很容易造成资产损失。而且目前跨链协议中的资产越来越多，也更容易被黑客盯上。”

DeFi被攻击事件时有发生，而且损失资产通常较高，DeFi成为区块链安全事件的重灾区。DeFi与传统交易模式不同，所有交易都是通过智能合约自动执行的方式在链上进行。DeFi世界风险高度复杂，新型安全事件层出不穷，成为了区块链安全事件的重灾区，

从经常发生的风险看，于佳宁指出，包括智能合约执行风险、操作安全性、清算风险、预言机风险和黑客攻击风险等。其中黑客攻击也是行业中备受关注的，在DeFi中，黑客往往通过智能合约中的漏洞进行攻击，比如闪电贷攻击和重⼊攻击等，造成资产的损失。

于佳宁提示：“如果参与的项目已经遇到黑客攻击事件，能进行的操作已经非常有限了。要尽快将剩余的资金转出，在钱包中取消对项目的授权，及时跟进事件的最近进展动向，推动项目方赔偿损失，在必要时及时报警。”

在此次盗币事件中，引起了一次行业娱乐。因为黑客打赏了一位网友，于是有众多网友通过与黑客的链上留言，向其“乞讨”，表示自己生活处境的艰难，希望黑客能获得打赏。不过在黑客最后一条留言中表示：“你好，乞丐，为什么不向POLY多签钱包要钱：0x71Fb9dB587F6d47Ac8192Cd76110E05B8fd2142f？”

黑客表示，我曾拥有过这么多财富已经是一段传奇经历了，这将是一个拯救世界的永恒传说。

过去的一天，诸位行业人士接连发声，币安、OKEX、慢雾安全以及USDT等行业头部纷纷发声助力，尽管黑客过去的一天时间成为了站在整个加密行业中心的传奇人物，最终自愿退还盗币。但是攻击Poly Network的这传奇黑客的自白，还是撕开了去中心化金融关于“代码即法律”的遮羞布，在加密领域无论是去中心化项目还是中心化项目，被黑客攻击并被迅速归还代币的事件只是少数，大部分就只能任黑客盗走，毫无办法。正如曾经轰动一时直至今日还处在还款漩涡中的曾经称霸一时的门头沟(MT.Gox)交易所被盗走85万枚比特币后宣布破产的事件，也正如许许多多DeFi项目方，根本无从查起。

正如一条网友的段子生动的描述，没有遇到黑客攻击的DeFi：“代码即法律，我们是去中心化的，不需要政府。”而在盗币后却声称：“我要报警，有黑客攻击了我的代币。”