（原標題：史上最大DeFi黑客案：超6億美元被盜兩周后 黑客仍未找到 DeFi安全令人擔憂(yōu)）

財聯(lián)社|區塊鏈日報（北京，記者 董宇佳）訊，黑客從熱門(mén)區塊鏈游戲Axie Infinity盜走了價(jià)值超6億美元的加密貨幣，而被盜事件在發(fā)生6天后才被曝光。

這是迄今為止涉及數額最多的DeFi黑客攻擊事件。雖然距今已有兩周時(shí)間，部分被盜資金被轉移到不同的中心化交易所，以及以太坊隱私工具Tornado Cash上，但截至目前黑客身份仍舊是謎。

4月6日，Axie Infinity母公司獲得1.5億美元的新一輪融資，官方稱(chēng)將用于補償Ronin被攻擊事件的受害者。

“盜竊”是如何發(fā)生的？

被盜事件發(fā)生在連接到Axie Infinity的Ronin Network中。

Ronin是一條于2021年2月推出的以太坊側鏈。在做任何事都要付gas費的以太坊上，Ronin允許每位用戶(hù)每天進(jìn)行100次免費交易。

Axie Infinity玩家可以利用這座“橋”將以太坊或USDC存入Ronin，再用來(lái)購買(mǎi)游戲內的NFT和代幣，同時(shí)還能夠將出售游戲資產(chǎn)的資金通過(guò)“橋”提取出來(lái)。

根據3月29日Ronin發(fā)布的Newsletter，黑客利用Ronin橋并通過(guò)兩次單獨的交易竊取了173600 個(gè)ETH，以及價(jià)值超2500萬(wàn)美元的穩定幣USDC。而官方在驗證器節點(diǎn)遭到破壞的6日后，才意識到攻擊的發(fā)生。

Ronin采用的是權威證明（PoA）共識模型，與工作量證明（PoW）不同，PoA基于有限驗證節點(diǎn)的信譽(yù)驗證和批準交易。目前，Ronin鏈由9個(gè)驗證者節點(diǎn)組成，識別存取款事件需要得到其中5個(gè)節點(diǎn)的簽名。

該Newsletter指出，黑客“使用被破解的私鑰偽造假取款”。具體來(lái)說(shuō)，黑客首先通過(guò)其中一個(gè)由Axie DAO運行的RPC節點(diǎn)的后門(mén)，獲取了Axie DAO的簽名，再加上攻擊者成功控制了Sky Mavis的4個(gè)Ronin驗證節點(diǎn)，最終實(shí)現資產(chǎn)的盜竊。

Ronin Network表示，未來(lái)公司將把驗證者節點(diǎn)共識的門(mén)檻提高到九分之八，并最終增加驗證者的數量。

截至發(fā)稿，黑客身份未被確認，資金大部分存于黑客的數字錢(qián)包中。區塊鏈安全公司慢霧科技分析稱(chēng)，少量資金轉移至FTX、Crypto.com和火幣等交易所。

據Coindesk報道，業(yè)內不少專(zhuān)家對黑客目前試圖通過(guò)中心化交易所洗錢(qián)的方式感到詫異。由于這些平臺具有KYC驗證系統，存款行為可用于識別黑客的身份，并最終迫使其退還資金。

火幣方面對區塊鏈日報表示，“正積極協(xié)助Axie Infinity溝通處理”。

幣安也表示，已在第一時(shí)間暫停了Ronin Network的充提，“調查正在進(jìn)行中”。

歐科云鏈研究院高級研究員蔣照生告訴記者，由于鏈上地址的透明性，黑客地址已經(jīng)不太能夠輕易轉帳，所以“不排除最后返還的可能性”。

玩家資產(chǎn)仍無(wú)法提出

Ronin用于的Axie Infinity，是世界上最受歡迎的區塊鏈在線(xiàn)游戲之一，由總部位于越南的Sky Mavis公司在2018年推出。

進(jìn)入Axie Infinity，玩家需要先通過(guò)購買(mǎi)或租用的方式獲得3個(gè)“Axies”。每一個(gè)“Axies”都是可以戰斗、繁殖、交易的NFT。

Axies通過(guò)戰斗勝利或完成必要的任務(wù)后，玩家將得到游戲內代幣SLP或治理代幣AXS的獎勵。借助SLP和AXS，玩家可以培育他們的Axies以獲取更多獎勵，也可以選擇出售給其他用戶(hù)來(lái)賺錢(qián)。

等級高的“Axies”的售價(jià)一度高達數十萬(wàn)美元。在A(yíng)xie Infinity人氣飆升的2021年，菲律賓等東南亞國家有人甚至把玩該游戲當作一份全職工作——玩家在其中賺取的代幣能夠以當地貨幣兌現。

此外，Axie Infinity的爆發(fā)性增長(cháng)也為其母公司Sky Mavis贏(yíng)得了包括a16z、 Delphi Digital在內多家風(fēng)投的投資。Sky Mavis繼去年8月份從a16z籌集460萬(wàn)美元后，于10月份再獲得了后者領(lǐng)投的1.52億美元B輪融資。

市場(chǎng)追蹤機構CryptoSlam的數據顯示，該游戲迄今為止的總交易量超過(guò)40億美元。

“我只希望把錢(qián)拿回來(lái)，我還有賬單要付?！币晃徊辉敢馔嘎缎彰姆坡少e玩家告訴區塊鏈日報記者。

由于黑客攻擊，Ronin網(wǎng)絡(luò )已被暫停，在該網(wǎng)絡(luò )上保留數字資產(chǎn)的玩家目前無(wú)法進(jìn)行交易。

當被問(wèn)及是否還會(huì )繼續玩這個(gè)游戲，這名菲律賓玩家表示“不確定”，但隨后又說(shuō)道應該還是會(huì )繼續，“當我賺取代幣、獲得資產(chǎn)時(shí)，我會(huì )立即將其取出并兌現?！?/p>

4月6日，在黑客攻擊事件兩周后，Sky Mavis公司宣布其再次獲得由幣安牽頭的1.5億美元新一輪融資，本輪依舊有a16z參與。Axie Infinity官方表示，本輪融資資金以及Sky Mavis和Axie Infinity的資產(chǎn)負債表將用于確保受黑客事件影響的用戶(hù)得到補償。

Axie Infinity的官方推特下，至今依舊有不少玩家留言稱(chēng)，希望他們在Ronin的資產(chǎn)能盡快解凍，并要求官方提供更多的信息，因為“這里面都是我們的錢(qián)和投資”。

黑客攻擊事件頻發(fā)的背后

發(fā)生在Ronin橋上的被盜案再度凸顯了加密領(lǐng)域的安全隱患。

如今，加密資產(chǎn)的市值約為2萬(wàn)億美元。隨著(zhù)資金的涌入，行業(yè)內的黑客行為也愈發(fā)猖狂和頻繁。

根據區塊鏈研究公司Chainalysis的數據，2021年DeFi平臺被盜的資金約為23億美元，比前一年增加了1330%。

針對跨鏈橋與DeFi項目遭受黑客攻擊的區別，蔣照生認為對于DeFi項目方來(lái)說(shuō)，智能合約安全最重要；而對跨鏈橋來(lái)說(shuō)，如何保障托管資產(chǎn)安全和建立社區共識更重要。

“DeFi是應用，跨鏈橋只是基礎設施?！彼f(shuō)道。

“未來(lái)將是多鏈，而不會(huì )是跨鏈?！币蕴粍?chuàng )始人Vitalik Buterin今年1月份在推特上表示，“跨越多個(gè)‘主權區域’的橋梁存在根本性的安全限制?！?/p>

根據Ronin Network的聲明，其承諾“確保用戶(hù)的資金不會(huì )丟失”。從此前行業(yè)內發(fā)生的黑客攻擊事件來(lái)看，若找不回被盜資金，受攻擊的項目方多會(huì )表示將獨立承擔用戶(hù)損失。

但如果項目方不承擔損失，再加上監管的不完善，受害者追回資金或能夠求助的渠道范圍并不多。

此前發(fā)生在2021年8月，黑客從跨鏈去中心化金融 (DeFi) 協(xié)議Poly Network上盜取了6.11億美元，隨后絕大部分資金都被黑客自行歸還。

蔣照生指出，DeFi等創(chuàng )新領(lǐng)域的業(yè)務(wù)變化繁多，對智能合約的設計提出了極高的要求，也因此“常常成為黑客尋找漏洞成功率最高的方向之一”。隨著(zhù)DeFi在多個(gè)公鏈生態(tài)逐漸繁榮，他認為部分項目的“產(chǎn)品結構和經(jīng)濟模型設計”有待提升。

關(guān)鍵詞：