（原標(biāo)題：史上最大DeFi黑客案：超6億美元被盜兩周后 黑客仍未找到 DeFi安全令人擔(dān)憂(yōu)）

財(cái)聯(lián)社|區(qū)塊鏈日?qǐng)?bào)（北京，記者 董宇佳）訊，黑客從熱門(mén)區(qū)塊鏈游戲Axie Infinity盜走了價(jià)值超6億美元的加密貨幣，而被盜事件在發(fā)生6天后才被曝光。

這是迄今為止涉及數(shù)額最多的DeFi黑客攻擊事件。雖然距今已有兩周時(shí)間，部分被盜資金被轉(zhuǎn)移到不同的中心化交易所，以及以太坊隱私工具Tornado Cash上，但截至目前黑客身份仍舊是謎。

4月6日，Axie Infinity母公司獲得1.5億美元的新一輪融資，官方稱(chēng)將用于補(bǔ)償Ronin被攻擊事件的受害者。

“盜竊”是如何發(fā)生的？

被盜事件發(fā)生在連接到Axie Infinity的Ronin Network中。

Ronin是一條于2021年2月推出的以太坊側(cè)鏈。在做任何事都要付gas費(fèi)的以太坊上，Ronin允許每位用戶(hù)每天進(jìn)行100次免費(fèi)交易。

Axie Infinity玩家可以利用這座“橋”將以太坊或USDC存入Ronin，再用來(lái)購(gòu)買(mǎi)游戲內(nèi)的NFT和代幣，同時(shí)還能夠?qū)⒊鍪塾螒蛸Y產(chǎn)的資金通過(guò)“橋”提取出來(lái)。

根據(jù)3月29日Ronin發(fā)布的Newsletter，黑客利用Ronin橋并通過(guò)兩次單獨(dú)的交易竊取了173600 個(gè)ETH，以及價(jià)值超2500萬(wàn)美元的穩(wěn)定幣USDC。而官方在驗(yàn)證器節(jié)點(diǎn)遭到破壞的6日后，才意識(shí)到攻擊的發(fā)生。

Ronin采用的是權(quán)威證明（PoA）共識(shí)模型，與工作量證明（PoW）不同，PoA基于有限驗(yàn)證節(jié)點(diǎn)的信譽(yù)驗(yàn)證和批準(zhǔn)交易。目前，Ronin鏈由9個(gè)驗(yàn)證者節(jié)點(diǎn)組成，識(shí)別存取款事件需要得到其中5個(gè)節(jié)點(diǎn)的簽名。

該Newsletter指出，黑客“使用被破解的私鑰偽造假取款”。具體來(lái)說(shuō)，黑客首先通過(guò)其中一個(gè)由Axie DAO運(yùn)行的RPC節(jié)點(diǎn)的后門(mén)，獲取了Axie DAO的簽名，再加上攻擊者成功控制了Sky Mavis的4個(gè)Ronin驗(yàn)證節(jié)點(diǎn)，最終實(shí)現(xiàn)資產(chǎn)的盜竊。

Ronin Network表示，未來(lái)公司將把驗(yàn)證者節(jié)點(diǎn)共識(shí)的門(mén)檻提高到九分之八，并最終增加驗(yàn)證者的數(shù)量。

截至發(fā)稿，黑客身份未被確認(rèn)，資金大部分存于黑客的數(shù)字錢(qián)包中。區(qū)塊鏈安全公司慢霧科技分析稱(chēng)，少量資金轉(zhuǎn)移至FTX、Crypto.com和火幣等交易所。

據(jù)Coindesk報(bào)道，業(yè)內(nèi)不少專(zhuān)家對(duì)黑客目前試圖通過(guò)中心化交易所洗錢(qián)的方式感到詫異。由于這些平臺(tái)具有KYC驗(yàn)證系統(tǒng)，存款行為可用于識(shí)別黑客的身份，并最終迫使其退還資金。

火幣方面對(duì)區(qū)塊鏈日?qǐng)?bào)表示，“正積極協(xié)助Axie Infinity溝通處理”。

幣安也表示，已在第一時(shí)間暫停了Ronin Network的充提，“調(diào)查正在進(jìn)行中”。

歐科云鏈研究院高級(jí)研究員蔣照生告訴記者，由于鏈上地址的透明性，黑客地址已經(jīng)不太能夠輕易轉(zhuǎn)帳，所以“不排除最后返還的可能性”。

玩家資產(chǎn)仍無(wú)法提出

Ronin用于的Axie Infinity，是世界上最受歡迎的區(qū)塊鏈在線游戲之一，由總部位于越南的Sky Mavis公司在2018年推出。

進(jìn)入Axie Infinity，玩家需要先通過(guò)購(gòu)買(mǎi)或租用的方式獲得3個(gè)“Axies”。每一個(gè)“Axies”都是可以戰(zhàn)斗、繁殖、交易的NFT。

Axies通過(guò)戰(zhàn)斗勝利或完成必要的任務(wù)后，玩家將得到游戲內(nèi)代幣SLP或治理代幣AXS的獎(jiǎng)勵(lì)。借助SLP和AXS，玩家可以培育他們的Axies以獲取更多獎(jiǎng)勵(lì)，也可以選擇出售給其他用戶(hù)來(lái)賺錢(qián)。

等級(jí)高的“Axies”的售價(jià)一度高達(dá)數(shù)十萬(wàn)美元。在Axie Infinity人氣飆升的2021年，菲律賓等東南亞國(guó)家有人甚至把玩該游戲當(dāng)作一份全職工作——玩家在其中賺取的代幣能夠以當(dāng)?shù)刎泿艃冬F(xiàn)。

此外，Axie Infinity的爆發(fā)性增長(zhǎng)也為其母公司Sky Mavis贏得了包括a16z、 Delphi Digital在內(nèi)多家風(fēng)投的投資。Sky Mavis繼去年8月份從a16z籌集460萬(wàn)美元后，于10月份再獲得了后者領(lǐng)投的1.52億美元B輪融資。

市場(chǎng)追蹤機(jī)構(gòu)CryptoSlam的數(shù)據(jù)顯示，該游戲迄今為止的總交易量超過(guò)40億美元。

“我只希望把錢(qián)拿回來(lái)，我還有賬單要付?！币晃徊辉敢馔嘎缎彰姆坡少e玩家告訴區(qū)塊鏈日?qǐng)?bào)記者。

由于黑客攻擊，Ronin網(wǎng)絡(luò)已被暫停，在該網(wǎng)絡(luò)上保留數(shù)字資產(chǎn)的玩家目前無(wú)法進(jìn)行交易。

當(dāng)被問(wèn)及是否還會(huì)繼續(xù)玩這個(gè)游戲，這名菲律賓玩家表示“不確定”，但隨后又說(shuō)道應(yīng)該還是會(huì)繼續(xù)，“當(dāng)我賺取代幣、獲得資產(chǎn)時(shí)，我會(huì)立即將其取出并兌現(xiàn)?！?/p>

4月6日，在黑客攻擊事件兩周后，Sky Mavis公司宣布其再次獲得由幣安牽頭的1.5億美元新一輪融資，本輪依舊有a16z參與。Axie Infinity官方表示，本輪融資資金以及Sky Mavis和Axie Infinity的資產(chǎn)負(fù)債表將用于確保受黑客事件影響的用戶(hù)得到補(bǔ)償。

Axie Infinity的官方推特下，至今依舊有不少玩家留言稱(chēng)，希望他們?cè)赗onin的資產(chǎn)能盡快解凍，并要求官方提供更多的信息，因?yàn)椤斑@里面都是我們的錢(qián)和投資”。

黑客攻擊事件頻發(fā)的背后

發(fā)生在Ronin橋上的被盜案再度凸顯了加密領(lǐng)域的安全隱患。

如今，加密資產(chǎn)的市值約為2萬(wàn)億美元。隨著資金的涌入，行業(yè)內(nèi)的黑客行為也愈發(fā)猖狂和頻繁。

根據(jù)區(qū)塊鏈研究公司Chainalysis的數(shù)據(jù)，2021年DeFi平臺(tái)被盜的資金約為23億美元，比前一年增加了1330%。

針對(duì)跨鏈橋與DeFi項(xiàng)目遭受黑客攻擊的區(qū)別，蔣照生認(rèn)為對(duì)于DeFi項(xiàng)目方來(lái)說(shuō)，智能合約安全最重要；而對(duì)跨鏈橋來(lái)說(shuō)，如何保障托管資產(chǎn)安全和建立社區(qū)共識(shí)更重要。

“DeFi是應(yīng)用，跨鏈橋只是基礎(chǔ)設(shè)施?！彼f(shuō)道。

“未來(lái)將是多鏈，而不會(huì)是跨鏈?！币蕴粍?chuàng)始人Vitalik Buterin今年1月份在推特上表示，“跨越多個(gè)‘主權(quán)區(qū)域’的橋梁存在根本性的安全限制?！?/p>

根據(jù)Ronin Network的聲明，其承諾“確保用戶(hù)的資金不會(huì)丟失”。從此前行業(yè)內(nèi)發(fā)生的黑客攻擊事件來(lái)看，若找不回被盜資金，受攻擊的項(xiàng)目方多會(huì)表示將獨(dú)立承擔(dān)用戶(hù)損失。

但如果項(xiàng)目方不承擔(dān)損失，再加上監(jiān)管的不完善，受害者追回資金或能夠求助的渠道范圍并不多。

此前發(fā)生在2021年8月，黑客從跨鏈去中心化金融 (DeFi) 協(xié)議Poly Network上盜取了6.11億美元，隨后絕大部分資金都被黑客自行歸還。

蔣照生指出，DeFi等創(chuàng)新領(lǐng)域的業(yè)務(wù)變化繁多，對(duì)智能合約的設(shè)計(jì)提出了極高的要求，也因此“常常成為黑客尋找漏洞成功率最高的方向之一”。隨著DeFi在多個(gè)公鏈生態(tài)逐漸繁榮，他認(rèn)為部分項(xiàng)目的“產(chǎn)品結(jié)構(gòu)和經(jīng)濟(jì)模型設(shè)計(jì)”有待提升。

關(guān)鍵詞：