攻击者从 Poly Network 盗走了价值 1000 万美元的加密货币——事件详情

安全公司 Beosin 披露，近期一名高级黑客利用 Poly Network 基础设施漏洞，成功转移近 1000 万美元 ETH。本次攻击再次对去中心化金融生态中的跨链桥安全构成严峻挑战。

Poly Network 于 7 月初通过社交媒体确认成为DeFi 漏洞攻击的新受害者，攻击者利用漏洞铸造出高达 340 亿美元的加密货币代币。此次潜在攻击规模凸显跨链桥协议所面临的极端安全风险。

Poly Network 作为实现不同区块链网络间无缝资产转移的跨链桥，在检测到安全事件后迅速宣布临时停服，以防止进一步攻击并保障用户资产安全。

DeFi 网络开发团队披露，漏洞机制使攻击者能在 10 条主流区块链铸造 57 种代币，受影响平台包括 Ethereum、BNB Chain、Metis、Polygon、Avalanche、Heco 等主流网络。这种多链影响展现了攻击的复杂性及跨链基础设施的联动性脆弱。

此次攻击后，黑客钱包一度持有超过 420 亿美元等值代币。但实际将这些人为铸造的资产变现，远比攻击本身更为困难。

尽管被盗代币在名义上价值巨大，黑客在兑现全部铸造资产时遭遇诸多障碍，包括去中心化交易所流动性有限及多条区块链和中心化平台实施的安全防护。这表明，DeFi 安全的核心难题在于，虽然漏洞可制造大量“虚假”代币供应，但要将其变现则需突破严密的安全防线和市场约束。

黑客攻击的成因是什么？

Beosin 与 Dedaub 安全分析师深入研究后指出，Poly Network 遭攻击极可能源于主合约私钥被盗。这一结论对于理解本次漏洞尤为关键。

分析师强调，攻击并非来自智能合约逻辑或代码层面的特殊漏洞，而是更基础的环节——黑客针对认证和授权机制下手，而非利用编程缺陷。

据安全公司披露，网络主智能合约 4 个管理员钱包中有 3 个私钥被盗。这类攻击尤为严重，因为黑客可用合法管理权限绕过合约安全逻辑。当大部分管理员密钥同时失陷，攻击者便能执行本应需多方同意的授权操作。

Poly Network 采用的多签安全机制，原本意在防范单点失效。但若大多数密钥同时被攻破，安全模型就会瓦解。这再次突出了区块链密钥管理在安全体系中的决定性作用。

截至发稿时，Poly Network 团队尚未对上述安全分析结论作出官方回应或确认。持续的安全调查期间信息不透明较常见，团队需彻查攻击路径以防止后续风险。

DeFi 网络开发团队表示，正与中心化交易所及执法部门协作，追查攻击者并追讨被盗资产。团队多管齐下，开展区块链取证、交易追踪及传统调查，并在调查和修复期间宣布临时停服以保护用户。

事件发生后，某主流交易所 CEO 向用户保证本次攻击未波及本平台用户，并明确称平台不支持该网络充值，切实将用户与相关风险隔离。这说明加密交易所需高度重视集成选择与风险管理。

被攻击团队还紧急通知受影响项目，从去中心化交易所撤出流动性，并提醒持有相关资产用户解锁并赎回流动性池代币，以降低损失并防止黑客进一步获利。

团队直接呼吁黑客归还被盗资产以避免法律责任。这类呼吁在加密圈屡见不鲜，部分案例中黑客确实迫于刑事风险而返还资产。

Poly Network 遭遇第二次重大攻击

本次攻击是近年来 Poly Network 遭遇的第二起重大安全事件，暴露了平台安全体系的薄弱和跨链桥协议所面临的深层挑战。

在此前一次重大事件中，多名黑客通过网络架构漏洞盗走了近 61100 万美元加密货币，该事件无论金额还是技术复杂度，均为历史罕见。

令人瞩目的是，早期事件中黑客在约两天内返还了几乎全部资产。这一反常举动引发外界诸多猜测，包括“白帽”行为示范、执法压力顾虑，及洗钱难度等多种可能性。

据当时安全报告，攻击原因在于跨链消息签名私钥疑似泄露。该攻击路径与最新事件高度相似，反映出密钥管理依然是平台最大隐患。

同一平台短期内连续发生严重安全事件，揭示 DeFi 生态的数个核心问题：一是即便修复漏洞，若架构性问题未彻底整改，依然难以杜绝未来攻击；二是跨链桥协议需同时维护多链安全，挑战极大。

Poly Network 等跨链桥需在多链环境下同时管理资产与认证，每条区块链均有自身安全体系和风险点，极大增加了攻击面，也让平台成为高级攻击目标。

跨链基础设施频繁遭攻击，对整个 DeFi 行业有深远影响。这表明现有跨链桥安全模型或需彻底重构，包括强化密钥管理、提升安全监控及增强管理层共识机制。随着跨链互操作需求增长，行业必须正视并解决上述难题。

常见问题

Poly Network 是什么？为何会被攻击？

Poly Network 是跨链互操作协议，允许多条区块链之间的资产转移。因其智能合约验证机制存在漏洞，黑客利用签名校验缺陷跨链盗取了约 1000 万美元加密资产。

本次攻击中的 1000 万美元如何被盗？黑客手法是什么？

攻击者利用 Poly Network 跨链桥协议漏洞，非法获得私钥访问权限，通过多条区块链发起虚假交易，将资产转至所控钱包，直至漏洞被修复。

Poly Network 的安全漏洞具体原因是什么？属于智能合约代码问题吗？

Poly Network 漏洞根源在于跨链桥智能合约的签名验证机制，攻击者利用验证逻辑不严伪造交易并转移资金，绕过了链间操作的安全防护。

此次攻击对用户资产有何影响？被盗资金能否追回？

本次攻击直接影响多链用户资产，Poly Network 流动性池损失 1000 万美元。资金追回依赖区块链取证与执法配合，部分资产可追踪冻结，但全面追回难以保证。用户应核查自身资产并加强安全措施。

类似 Poly Network 的跨链桥协议有何安全风险？

跨链桥协议风险包括智能合约漏洞、验证者密钥泄露、流动性操控等。Poly Network 2021 年被盗暴露访问控制和签名校验缺陷。主要风险还涵盖代码缺陷、预言机攻击、审计不足和中心化验证者集被攻击，导致多链资产被盗。

用户如何防范此类攻击，保护加密资产？

长期资产建议存放于硬件钱包，开启多重签名认证，定期更新安全策略，交互前核查智能合约审计情况，切勿泄露私钥或助记词。

Poly Network 采取了哪些措施恢复并提升安全？

Poly Network 已加强安全协议，开展全面智能合约审计，设立漏洞赏金机制，升级跨链验证体系，提升监控能力并与安全公司合作防范后续攻击。