（原標(biāo)題：史上最大DeFi黑客案：超6億美元被盜兩周后 黑客仍未找到 DeFi安全令人擔(dān)憂）

財聯(lián)社|區(qū)塊鏈日報（北京，記者 董宇佳）訊，黑客從熱門區(qū)塊鏈游戲Axie Infinity盜走了價值超6億美元的加密貨幣，而被盜事件在發(fā)生6天后才被曝光。

這是迄今為止涉及數(shù)額最多的DeFi黑客攻擊事件。雖然距今已有兩周時間，部分被盜資金被轉(zhuǎn)移到不同的中心化交易所，以及以太坊隱私工具Tornado Cash上，但截至目前黑客身份仍舊是謎。

4月6日，Axie Infinity母公司獲得1.5億美元的新一輪融資，官方稱將用于補(bǔ)償Ronin被攻擊事件的受害者。

“盜竊”是如何發(fā)生的？

被盜事件發(fā)生在連接到Axie Infinity的Ronin Network中。

Ronin是一條于2021年2月推出的以太坊側(cè)鏈。在做任何事都要付gas費的以太坊上，Ronin允許每位用戶每天進(jìn)行100次免費交易。

Axie Infinity玩家可以利用這座“橋”將以太坊或USDC存入Ronin，再用來購買游戲內(nèi)的NFT和代幣，同時還能夠?qū)⒊鍪塾螒蛸Y產(chǎn)的資金通過“橋”提取出來。

根據(jù)3月29日Ronin發(fā)布的Newsletter，黑客利用Ronin橋并通過兩次單獨的交易竊取了173600 個ETH，以及價值超2500萬美元的穩(wěn)定幣USDC。而官方在驗證器節(jié)點遭到破壞的6日后，才意識到攻擊的發(fā)生。

Ronin采用的是權(quán)威證明（PoA）共識模型，與工作量證明（PoW）不同，PoA基于有限驗證節(jié)點的信譽驗證和批準(zhǔn)交易。目前，Ronin鏈由9個驗證者節(jié)點組成，識別存取款事件需要得到其中5個節(jié)點的簽名。

該Newsletter指出，黑客“使用被破解的私鑰偽造假取款”。具體來說，黑客首先通過其中一個由Axie DAO運行的RPC節(jié)點的后門，獲取了Axie DAO的簽名，再加上攻擊者成功控制了Sky Mavis的4個Ronin驗證節(jié)點，最終實現(xiàn)資產(chǎn)的盜竊。

Ronin Network表示，未來公司將把驗證者節(jié)點共識的門檻提高到九分之八，并最終增加驗證者的數(shù)量。

截至發(fā)稿，黑客身份未被確認(rèn)，資金大部分存于黑客的數(shù)字錢包中。區(qū)塊鏈安全公司慢霧科技分析稱，少量資金轉(zhuǎn)移至FTX、Crypto.com和火幣等交易所。

據(jù)Coindesk報道，業(yè)內(nèi)不少專家對黑客目前試圖通過中心化交易所洗錢的方式感到詫異。由于這些平臺具有KYC驗證系統(tǒng)，存款行為可用于識別黑客的身份，并最終迫使其退還資金。

火幣方面對區(qū)塊鏈日報表示，“正積極協(xié)助Axie Infinity溝通處理”。

幣安也表示，已在第一時間暫停了Ronin Network的充提，“調(diào)查正在進(jìn)行中”。

歐科云鏈研究院高級研究員蔣照生告訴記者，由于鏈上地址的透明性，黑客地址已經(jīng)不太能夠輕易轉(zhuǎn)帳，所以“不排除最后返還的可能性”。

玩家資產(chǎn)仍無法提出

Ronin用于的Axie Infinity，是世界上最受歡迎的區(qū)塊鏈在線游戲之一，由總部位于越南的Sky Mavis公司在2018年推出。

進(jìn)入Axie Infinity，玩家需要先通過購買或租用的方式獲得3個“Axies”。每一個“Axies”都是可以戰(zhàn)斗、繁殖、交易的NFT。

Axies通過戰(zhàn)斗勝利或完成必要的任務(wù)后，玩家將得到游戲內(nèi)代幣SLP或治理代幣AXS的獎勵。借助SLP和AXS，玩家可以培育他們的Axies以獲取更多獎勵，也可以選擇出售給其他用戶來賺錢。

等級高的“Axies”的售價一度高達(dá)數(shù)十萬美元。在Axie Infinity人氣飆升的2021年，菲律賓等東南亞國家有人甚至把玩該游戲當(dāng)作一份全職工作——玩家在其中賺取的代幣能夠以當(dāng)?shù)刎泿艃冬F(xiàn)。

此外，Axie Infinity的爆發(fā)性增長也為其母公司Sky Mavis贏得了包括a16z、 Delphi Digital在內(nèi)多家風(fēng)投的投資。Sky Mavis繼去年8月份從a16z籌集460萬美元后，于10月份再獲得了后者領(lǐng)投的1.52億美元B輪融資。

市場追蹤機(jī)構(gòu)CryptoSlam的數(shù)據(jù)顯示，該游戲迄今為止的總交易量超過40億美元。

“我只希望把錢拿回來，我還有賬單要付?！币晃徊辉敢馔嘎缎彰姆坡少e玩家告訴區(qū)塊鏈日報記者。

由于黑客攻擊，Ronin網(wǎng)絡(luò)已被暫停，在該網(wǎng)絡(luò)上保留數(shù)字資產(chǎn)的玩家目前無法進(jìn)行交易。

當(dāng)被問及是否還會繼續(xù)玩這個游戲，這名菲律賓玩家表示“不確定”，但隨后又說道應(yīng)該還是會繼續(xù)，“當(dāng)我賺取代幣、獲得資產(chǎn)時，我會立即將其取出并兌現(xiàn)?！?/p>

4月6日，在黑客攻擊事件兩周后，Sky Mavis公司宣布其再次獲得由幣安牽頭的1.5億美元新一輪融資，本輪依舊有a16z參與。Axie Infinity官方表示，本輪融資資金以及Sky Mavis和Axie Infinity的資產(chǎn)負(fù)債表將用于確保受黑客事件影響的用戶得到補(bǔ)償。

Axie Infinity的官方推特下，至今依舊有不少玩家留言稱，希望他們在Ronin的資產(chǎn)能盡快解凍，并要求官方提供更多的信息，因為“這里面都是我們的錢和投資”。

黑客攻擊事件頻發(fā)的背后

發(fā)生在Ronin橋上的被盜案再度凸顯了加密領(lǐng)域的安全隱患。

如今，加密資產(chǎn)的市值約為2萬億美元。隨著資金的涌入，行業(yè)內(nèi)的黑客行為也愈發(fā)猖狂和頻繁。

根據(jù)區(qū)塊鏈研究公司Chainalysis的數(shù)據(jù)，2021年DeFi平臺被盜的資金約為23億美元，比前一年增加了1330%。

針對跨鏈橋與DeFi項目遭受黑客攻擊的區(qū)別，蔣照生認(rèn)為對于DeFi項目方來說，智能合約安全最重要；而對跨鏈橋來說，如何保障托管資產(chǎn)安全和建立社區(qū)共識更重要。

“DeFi是應(yīng)用，跨鏈橋只是基礎(chǔ)設(shè)施?！彼f道。

“未來將是多鏈，而不會是跨鏈?！币蕴粍?chuàng)始人Vitalik Buterin今年1月份在推特上表示，“跨越多個‘主權(quán)區(qū)域’的橋梁存在根本性的安全限制。”

根據(jù)Ronin Network的聲明，其承諾“確保用戶的資金不會丟失”。從此前行業(yè)內(nèi)發(fā)生的黑客攻擊事件來看，若找不回被盜資金，受攻擊的項目方多會表示將獨立承擔(dān)用戶損失。

但如果項目方不承擔(dān)損失，再加上監(jiān)管的不完善，受害者追回資金或能夠求助的渠道范圍并不多。

此前發(fā)生在2021年8月，黑客從跨鏈去中心化金融 (DeFi) 協(xié)議Poly Network上盜取了6.11億美元，隨后絕大部分資金都被黑客自行歸還。

蔣照生指出，DeFi等創(chuàng)新領(lǐng)域的業(yè)務(wù)變化繁多，對智能合約的設(shè)計提出了極高的要求，也因此“常常成為黑客尋找漏洞成功率最高的方向之一”。隨著DeFi在多個公鏈生態(tài)逐漸繁榮，他認(rèn)為部分項目的“產(chǎn)品結(jié)構(gòu)和經(jīng)濟(jì)模型設(shè)計”有待提升。

關(guān)鍵詞：