行走笔记：链安对Poly Network被攻击事件解读

8月10日Poly Network被攻击事件发生后，相继又发生了跑路的Defi协议StableMagent团队（6月23日跑路）被英国警方抓获以及日本加密交易所Liquid热钱包被攻击事件。链上和Defi的安全问题依然层出不穷。

本篇笔记依然以被攻击金额最高，也是刚刚发生的Poly Network攻击事件为例，我们一起听听成都链安如何对该事件进行复盘。笔记后有行走的一些思考。

以下，Enjoy：

主持人：本次直播我们请来了成都链安资深安全专家Ethan Xu。Poly的事件，如此大型的黑客攻击是否会是团队内部或者相关人员作为？

Ethan Xu：就目前掌握的资料来看，没有特别明显的证据表明攻击者是团队内部或者相关人员。但能肯定的一点是，黑客目前已将绝大部分资金退还给了项目方，黑客大概率属于白帽黑客，此次攻击的目的大概率不是为了窃取资金。

主持人：可否从技术手段，针对本次攻击事件做一个简单的初步分析？

Ethan Xu：本次攻击事件实际上最主要的原因是源链上(Ontology)的relayer没有对上链的交易做语义校验，将包含修改keeper的恶意交易打包到了poly chain上去。

整个攻击过程分为两个阶段：第一阶段，攻击者精心构造了一个修改keeper的恶意交易，在源链上发起了修改keeper的恶意交易，源链上的relayer在没有进行语义校验的情况下直接将此交易直接打包到polychain上，攻击者再将打包好的数据直接在目标链上执行，然后成功完成了keeper的修改；

第二阶段，因为攻击者成功修改keeper为自己的地址。这样他就可以任意签署在目标链看来合理的poly chain上的块，攻击者通过目标链上的verifyHeaderAndExecuteTx函数最终调用LockProxy合约中的unlock函数将大量资金进行转移。

主持人：经过本次事件后，从技术角度如何能保障加密货币的安全？

Ethan Xu：从技术角度来讲，项目方在项目上线之前一定要做好项目的代码审计。选择专业的审计公司进行合作，无疑能够大幅度提高项目的安全性。

传统智能合约项目，只需要做好链上代码的审计便能避免绝大多数的风险。而跨链项目却有所不同，跨链项目存在一定的特殊性，安全的考量不能局限于智能合约层面。

链上智能合约代码与链下其他部分代码都需要足够的重视，都需要选择专业的审计公司进行完备的安全审计，将一切风险扼杀在摇篮里。只有做好整个项目所有节点的安全防范，项目才能够安全的运行下去。

同时，项目方还应积极与第三方安全公司构建联动机制，通过开展安全合作、建立安全防护机制，做好项目的前置预防工作与日常防护工作，时刻树牢安全意识。

主持人：经过了这次事件，您认为DeFi安全吗？跨链协议是否真的更容易被攻击？

Ethan Xu：任何新兴的技术都会存在一定的缺陷。只有经历不断的迭代，才会变得更加成熟和完善。每一次安全事件的发生，都在为后续的项目敲响警钟。

攻击事件发生后，在对其成因进行分析后并对自身项目进行复查，有助于提高整个DeFi生态的安全性。

跨链协议最近攻击事件频发，最主要的原因还是其累计了巨额的资产。

面对巨大的诱惑，黑客必然会想方设法的去攻击。此外，跨链项目因为不仅仅是链上的智能合约，还有链下的代码。无论哪一部分出现了问题，都会被黑客所利用。

主持人：那作为普通投资者，应该如何保护好自己的财产？

Ethan Xu：作为用户，在参与区块链相关项目时，一定要注意甄别，选择经过专业的审计公司完备审计过的项目，并且要对整个项目进行详细的了解。

同时，在参与项目后，需要对项目的最新动态进行关注。一旦发生了安全事件，及时的将资金撤回，避免遭受更大的损失，必要时可以寻求安全公司的帮助。

以上是笔记的全部内容。

行走对Defi协议的安全事件多说几句：

对Poly Network这样的跨链协议进行攻击，刚刚出现。但就像嘉宾讲的，相信如果加密资产再来一个牛市，加上以太坊2.0到来之前依然保持密集交易就会拥堵的情况，对跨链，对Layer 2侧链的攻击事件可以预见的会更加增多。

而相比于黑客的攻击，其实如StableMagent团队这样直接在协议中留有后门，从项目成立之初就打算跑路的安全事件其实发生频率更高。特别是在生态发展尚不完善，缺少原创性以Fork以太坊为主的公链上更是频繁。

一边是Defi安全事件的频发，一方面，刚刚被DeGate邀请加入项目的微信群，看到大家都在吐槽项目的开发进度。Arbitrum8月下旬就要上线了，DeGate还没动静之类的声音很多。与其说大家期盼DeGate这个DEX快点上线，不如说期待DG代币再来一波拉盘。可以说投资或投机玩家们，对Defi的各种币热情依然不减。但对于其中风险的“觉知”力很多人做得是不够的。

前不久蔚来车主开启NOP在高速上出车祸丧生的事件，迎来了新能源车领域对“辅助驾驶”还是“自动驾驶”的一次大讨论。

对于刚开始使用无论是蔚来的NPO，特斯拉的FSD还是小鹏的NGP辅助驾驶功能的车主来说，都是小心谨慎的，甚至可以说辅助驾驶这套系统并没有帮司机减轻负担，反而会让司机更紧张的握好方向盘，准备随时接管车辆。理由很简单，面对新生事物，哪怕选择了购买，你也会本能的有个抗拒和接受的过程。

但随着辅助驾驶在高速行驶，城市快速路以及停车场景中被频繁的使用，车主可能会越来越在其中获得便利感，如果没发生过安全事故，这种便利感就会形成正反馈，让车主越来越多的信任和依赖辅助驾驶系统，而松开了本应牢牢握紧的方向盘。其实，自动辅助驾驶不能完全替代人类驾驶员做出决策，这是所有新能源车主都被明确告知的事情。但正反馈就是有如此大的魔力。

对于Defi协议，其实也是如此。如果你在哪条链上的哪个协议里质押挖矿或是抵押铸币获取流动性获得了高额的收益与回报，时间越长，你对这条链和这个协议的依赖程度就会越强。而对于类似“资金要分散投资”、“不要加杠杆”、“了解DeFI协议的安全审计有无进行，是否在持续披露相关事项”之类则会逐渐忽略。

对于Defi新手，行走希望各种攻击事件不要吓跑你。相比目前Defi的链上资产，被攻击的只是少数（虽然相比传统金融被安全攻击的占比看，Defi的安全问题已经很严重了）。而更重要的是，你如果一直在岸上看，永远不可能学会游泳。

但对于沉浸在Defi世界的老朋友，特别是正在持续从Defi世界中获得高额收益的朋友。行走会提醒大家，淹死的大部分是会水的。常识性的错误无论何时都不要犯。

以上。