攻擊者自 Poly Network 竊走價值 1,000 萬美元的加密貨幣——事件詳情

安全公司 Beosin 指出，近期有一名資深駭客利用 Poly Network 基礎設施漏洞，成功轉移近 1,000 萬美元 ETH。本次攻擊再度對去中心化金融生態中的跨鏈橋安全造成重大威脅。

Poly Network 於 7 月初在社群媒體上證實成為DeFi 漏洞攻擊的新受害者，攻擊者藉由漏洞大量鑄造高達 340 億美元的加密貨幣代幣。此次潛在攻擊規模突顯跨鏈橋協議面臨極端安全風險。

Poly Network 作為促成不同區塊鏈網路間無縫資產流通的跨鏈橋，於偵測到安全事件後，立即宣布暫時停服，以防止進一步攻擊並維護用戶資產安全。

DeFi 網路開發團隊表示，該漏洞機制讓攻擊者可在 10 條主流區塊鏈鑄造 57 種代幣，受影響平台包括 Ethereum、BNB Chain、Metis、Polygon、Avalanche、Heco 等主流網路。此多鏈衝擊展現攻擊手法的複雜性及跨鏈基礎設施的脆弱性。

本次事件中，駭客錢包一度持有超過 420 億美元等值代幣。但將這些人為鑄造的資產換現，遠比發動攻擊本身更困難。

儘管遭竊代幣名義價值龐大，駭客在兌現所有鑄造資產時面臨諸多障礙，包括去中心化交易所流動性不足，以及多條區塊鏈和中心化平台設有安全防護。顯見 DeFi 安全核心難題在於，雖然漏洞可製造大量「虛假」代幣供給，但要變現仍需突破嚴密安全防線與市場限制。

黑客攻擊的成因是什麼？

Beosin 與 Dedaub 安全分析師深入研究後指出，Poly Network 遭攻擊極可能源自主合約私鑰遭竊。此結論有助於釐清本次漏洞的核心原因。

分析師強調，此次攻擊並非源自智能合約邏輯或程式碼層面特殊漏洞，而是駭客鎖定認證與授權機制，而非利用程式錯誤。

據安全公司披露，網路主智能合約 4 個管理員錢包中有 3 個私鑰被竊。此類攻擊特別嚴重，因駭客可利用合法管理權限繞過合約安全邏輯。當多數管理員密鑰同時失陷，攻擊者便能執行原本需多方同意的授權操作。

Poly Network 採用的多重簽名安全機制，原本旨在防止單點失效。但若多數密鑰同時遭竊，安全架構便會瓦解。再度突顯區塊鏈密鑰管理在整體安全體系中的關鍵地位。

截至發稿，Poly Network 團隊尚未對上述安全分析結論發表正式回應或確認。安全調查期間資訊不透明屬常態，團隊需徹查攻擊路徑以防止後續風險。

DeFi 網路開發團隊表示，正與中心化交易所及執法機關合作，追查攻擊者並追回被竊資產。團隊進行區塊鏈鑑識、交易追蹤及傳統調查，並於調查和修復期間暫停服務保障用戶安全。

事件後，某主流交易所 CEO 向用戶保證本次攻擊未波及本平台用戶，並明確指出平台不支援該網路充值，成功將用戶與相關風險隔離。此舉顯示加密交易所在整合選擇與風險管理上需高度警覺。

遭攻擊團隊也緊急通知受影響項目，從去中心化交易所撤回流動性，並提醒持有相關資產的用戶解鎖並贖回流動性池代幣，以降低損失並防止駭客進一步獲利。

團隊直接呼籲駭客歸還被竊資產以免承擔法律責任。此類呼籲在加密業界並不罕見，部分案例中駭客確實因刑事風險而返還資產。

Poly Network 遭遇第二次重大攻擊

本次攻擊是近年來 Poly Network 經歷的第二起重大安全事件，顯示平台安全架構薄弱及跨鏈橋協議面臨深層挑戰。

在前一次重大事件中，多名駭客利用網路架構漏洞盜走近 61,100 萬美元加密貨幣，該事件不論金額或技術複雜度，均屬罕見。

值得注意的是，早期事件中駭客於約兩天內歸還了幾乎全部資產。此反常行為引起外界諸多揣測，包括「白帽」示範、擔憂執法壓力及洗錢困難等可能性。

依據當時安全報告，攻擊主因為跨鏈訊息簽名私鑰疑似外洩。該攻擊路徑與近期事件高度相似，反映密鑰管理仍是平台最大風險。

同一平台短期內連續發生嚴重安全事件，突顯 DeFi 生態的幾項核心問題：一是即使修補漏洞，若架構性問題未徹底整頓，仍難杜絕未來攻擊；二是跨鏈橋協議需維持多鏈安全，挑戰極大。

Poly Network 等跨鏈橋須在多鏈環境中同時管理資產和認證，每條區塊鏈皆有獨立安全機制與風險，顯著增加攻擊面，也使平台成為高階攻擊目標。

跨鏈基礎設施頻繁遭受攻擊，對整個 DeFi 產業產生深遠影響。表明現有跨鏈橋安全模型亟需全面重構，包含強化密鑰管理、提升安全監控及強化管理層共識。隨跨鏈互操作需求升高，產業必須正視並解決以上難題。

常見問題

Poly Network 是什麼？為何會被攻擊？

Poly Network 是跨鏈互操作協議，讓多條區塊鏈間能夠進行資產轉移。由於智能合約驗證機制存在漏洞，駭客利用簽名校驗缺陷跨鏈盜取約 1,000 萬美元加密資產。

本次攻擊中的 1,000 萬美元如何遭竊？駭客手法為何？

攻擊者利用 Poly Network 跨鏈橋協議漏洞，非法取得私鑰存取權限，透過多條區塊鏈發起虛假交易，將資產轉入自控錢包，直到漏洞被修補。

Poly Network 的安全漏洞具體原因為何？屬於智能合約程式碼問題嗎？

Poly Network 漏洞源於跨鏈橋智能合約的簽名驗證機制，攻擊者藉由驗證邏輯不嚴偽造交易並轉移資金，成功繞過跨鏈操作的安全防護。

此次攻擊對用戶資產有何影響？被竊資金能否追回？

本次攻擊直接衝擊多鏈用戶的資產，Poly Network 流動性池損失 1,000 萬美元。資金能否追回需依賴區塊鏈鑑識與執法合作，部分資產可追蹤凍結，但全面追回機率不高。用戶應主動檢查自身資產並加強安全措施。

類似 Poly Network 的跨鏈橋協議有何安全風險？

跨鏈橋協議風險包括智能合約漏洞、驗證者密鑰外洩、流動性操控等。Poly Network 於 2021 年被竊事件揭露存取控制與簽名校驗缺陷。主要風險還包含程式碼缺陷、預言機攻擊、審計不足及中心化驗證者集遭攻擊，導致多鏈資產被盜。

用戶如何防範此類攻擊，保障加密資產？

建議長期資產存放於硬體錢包，啟用多重簽名認證，定期更新安全策略，互動前查驗智能合約審計狀況，切勿洩露私鑰或助記詞。

Poly Network 採取了哪些措施恢復並提升安全？

Poly Network 已強化安全協議，全面展開智能合約審計，設立漏洞獎金計畫，升級跨鏈驗證架構，提升監控能力並與安全公司合作防範後續攻擊。