PolyNetwork案第三天：6亿美元52小时失而复得 黑客主动公开身份信息

吴说作者|Colin Wu

本期编辑 | 吴柯林

8 月 12 日晚，PolyNetwork 的黑客基本退还了所有资金，这起 DeFi 史上金额最大的盗币案也分阶段告一段落。 黑客还继续自述，提供了更多的事件信息，甚至开始主动公开大量个人身份信息（真假不知）。 第三天我们继续梳理一下情况：

第一天和第二天，请阅读：

8月12日上午，PolyNetwork黑客归还了Polygon链上的所有Token，约8500万。

PolyNetwork发布新推文：不可否认，我们正在经历一段艰难时期，但我们还是要提醒所有PolyNetwork用户，我们现在的首要目标是全面恢复用户资产。 该团队一直在努力实现这一目标。 这发生过。 我们期待白帽先生如他所说归还所有剩余的用户资产，我们会继续为实现这一目标而努力。

随后，PolyNetwork黑客回应了外界的质疑：

告诉 DeFi 菜鸟：我最初为了兴趣而涉足 Curve 是良性且安全的。 我什至不想通过交换导致稳定池中的不平衡。 我的计划是持有 CRV，直到我意识到提取 USDC 是愚蠢的，然后我别无选择，只能将它们转换为 DAI。 明明白白可追溯，何为洗钱？

为什么你认为我没有办法转账？ 因为太多了？ TORNADO够给力，我每个月可以转100ETH，请问现金流怎么判断？ 我取笑他们，但我从未尝试过。

在 DEFI 世界中，代码就是法律。 那么仲裁员是谁？ 我们，黑客，是武装部队。 如果你可以匿名获得武器并保护数十亿人免受人群伤害，你会成为恐怖分子还是蝙蝠侠？

告诉安全新手：没有完美的系统。 我认为您不应该责怪 Poly 团队或他们的审计员。 以我的经验，理解Poly网络系统的整个逻辑并不容易，更难发现细微的错误。 我想让你知道的是，不要把你的一生都押在你可能永远不会理解的事情上！

北京时间8月12日晚，PolyNetwork黑客在以太坊链上返还了1.42亿美元，其中包括1032个WBTC和DAI。 北京时间8月12日临近12:00，PolyNetwork黑客的最后28953个ETH正在退还中。 据测算，除了被Tether冻结的3000万USDT外，所有退款已基本到位。 但是，3/4 多签地址中有 2.3 亿个。

PolyNetwork 表示将对黑客的“白帽行为”给予 50 万美元的奖励，但黑客表示：“确实提供了赏金，但我从未回应过他们。相反，我会把他们的钱全寄回去。”

另外usdt转账图制作，黑客说现在是最后一个代币，ETH！ 但是，我第一次感到害怕！ 都说我是6亿先生，可是最近ETH的价格在跌，我的余额还不起债怎么办？ ETH请暴涨！

对于受到我的冒险影响的任何无辜者，我深表歉意。 我尽量避免在加密世界中引入任何噪音：不接触垃圾币，不进行大规模交易，不抛售有价值的资产。 然而，即使是复仇者联盟也必须面对来自平民的无休止的诉讼。 说真的，我正在考虑将有限的赏金作为事故受害者赔偿基金的来源，但很难证明我对你的损失有过错，尤其是当你已经入不敷出的时候。 另一个令人尴尬的事实是，难民已经占据了我的邮件列表，你很难用你的真实故事来反驳他们。 不管怎样，我会努力做点什么。

黑客随后将自己的捐款地址公布为 ，并表示这将是资金的主要来源。

鱼池联合创始人神鱼表示：（此前传闻神鱼向其投资1亿美元）

从前天19时30分开始，至今52小时，在多方的共同努力和沟通下，PolyNetwork安全事件的进展得到了推进。 目前白帽黑客已全部退回-5.8亿美元，其中3343万美元被Tether冻结usdt转账图制作，2.3亿在3/4方的多重签名地址。 目前，已取得阶段性成果。

作为这次救援事件的亲历者，我要特别感谢白帽黑客MR。 6亿、慢雾、Tether、PolyNetwork等数十名参与者分布式快速完成漏洞分析，沟通有序，持续推动事件进展。 下一步，继续协调各方，做好收尾工作，画上圆满句号。

这次事件是对所有Defi参与者的一个警示，所以我们会在CV中建立一座纪念碑（应该是元宇宙项目Cryptovoxels）来纪念这次事件，感谢所有参与者，促进整个行业的安全发展。

随后神鱼在社区回复：此事只是取得了阶段性的成果，离完全退币到位还有很长的路要走。 第一，目前有2.3亿美元的多重签名地址，仍需项目方和白帽黑客协同操作。 这个多重签名地址是一个 3/4 多重签名。 目前项目方和白帽黑客有两把私钥。 即白帽黑客需要先同意授权这笔钱，然后钱才真正返回到项目方地址； 第二，同时泰达目前还有3300万美元被冻结，需要项目方和泰达协同操作； 第三，项目方需要修复系统漏洞，重新启动矿池，让投资者顺利拿回。 无论估计多么乐观，都需要一周的时间。

区块链主编Colin Wu表示，此次事件的成功处理，也让DeFi行业避免了类似早期门头沟的“浩劫”。 黑客的行为和言论确实更像是所谓的“白帽子”，而不是被位置胁迫的黑客。 英国警方日前也破获了BSC的“大磁铁案”，并全额退还了2000多万美元。 这说明，随着加密行业的发展，不同机构的共同努力和平衡，也让行业变得更加积极和强大。 （头图来自新闻周刊）

附：“会说话的结核病”黑客继续其自述的第四部分和第五部分，包括部分过程信息，并主动公开其身份信息。 以上内容在上一篇文章中：

问答环节四：

Q：为什么选择CEX（大概是指Tiger）？ 菜鸟？

答：随便:)

主要的挑战是从本体网络调用一些合约（我最喜欢的部分）。 您必须为本体网络获取一些“gas”，称为“ONG”。

但是，它不是 DEFI 可交易令牌。 我只能在一些中文 CEXS 上找到它。 如果必须通过 CEX，为什么还要在 DEX 上进行交易？ 为什么你认为我可能会在 DEXES 中留下痕迹？

问：为什么我需要退款？ 懦夫？

答：随便:)

当你评判别人时，你不是在定义他们，而是在定义你自己。

我很享受我最关心的事情：黑客攻击和指导。

很少有黑客能够了解 DEFI 安全的情况。 是的，您会看到很多黑客攻击，但其中大部分并不像真正的黑客攻击那样令人愉快。 一些愚蠢的代码会造成很大的破坏，但这并不具有挑战性。 这就像对抗青少年一样。

我承认 Poly Hack 并不像您想象的那么花哨，但我确实从该项目中体验到了一些新事物。 我想说，找出 Poly 网络架构中的盲点将是我一生中最美好的时刻之一。

随着加密世界的发展，我有足够的钱。 我一直在寻找生命的意义。 我希望我的生活是由独特的冒险组成的，所以我喜欢学习和破解一切对抗命运的东西。 SEIN ZUM TODE。

老实说，我确实有一些自私的动机去做一些很酷但无害的事情，比如利用巨额资金，比如 DAO 的想法。 然后我意识到成为一名道德领导者将是我可以节省的最酷的技能！ 干杯！

问答第 5 部分

问：为什么是 AMA？ 你的告白？

A：更像是一本日记。 我引以为豪的事情。

问：垃圾英语？

答：不是母语人士。 （身份泄露1）我只是表达了我的真实感受，没有任何修饰。 按住“Shift”键打字并不容易。

问：黑帽还是白帽？

A：我也很享受评判别人的优越感，但这并不容易。 不仅合法的好东西可以是白帽子。 所谓的黑帽子也可以是好人。 人是多变的。 你听说过灰度吗？

问：白帽子不应该只通知开发人员吗？

答：阅读 P1Q1234。 DEFI是一片黑暗森林，每年都有数百个项目跑路。 我不相信任何人。

问：你当初为什么要躲起来？

答：即使您是合法的，您也可能出于任何原因面临风险。 安全人员确实关心安全。

Q：为什么要解释这么多？

答：阅读 P4Q2。 指导部分对我来说意义重大。 我想分享一下我是如何克服傲慢和贪婪的。 我不认为精神挑战比黑客部分更容易。

老实说，当 EXPOLIT 工作时我非常兴奋，以至于我几乎忘记了最初的计划，因为它有太多的猜测和意外（见 P2Q1）。 第一条消息（参见 P3Q1）激发了我做一些有创意的事情的兴趣。 我花了一些时间从我的消息列表中寻找有趣但合理的想法。

我（仍然）对我的隐藏非常有信心，所以我认为我可以处理这场比赛，只要我不造成无法承受的伤害。 然后因为那些难民，我开始平静下来。 是的，我意识到，即使是暂时接手这笔钱仍然是一个不可原谅的笑话，它会带来太多的痛苦。

关于“十亿垃圾币”的笑话，我的意思是该活动的标题可能更具戏剧性，但最终结果是一样的：我不会放弃垃圾币。 结果证明这是一个可怕的笑话。 对于“DAO”的笑话，我向社区询问如何以及何时退款。 这是一个不负责任的笑话。

我一点也不害怕曝光或洗钱问题（阅读我的新手课程）。 我才意识到我应该谨慎，因为我的决定会改变很多人的生活！ 如果我把代币留在那儿并退出游戏，我可以像往常一样享受成为百万富翁的乐趣并继续我的追求，但成千上万的人将失去对自己命运的控制。 这违背了我的个人理念（见 P4Q2）。

很快我给 POLY 写了一封 EMAIL，附上了匿名邮箱中签名的 ETH 交易。 如果他们收到邮件，他们将能够通过我的地址广播交易。 这不是明智之举，因为我无法在他们之前广播任何新消息。 那封电子邮件一定是丢失了，我没有得到 ETH 的确认，但我等了好几个小时才出现这个错误。

故事的下一部分是您已经知道的。 我停止玩游戏并按计划取回了我的钱。

Q：你没有暴露，但是他们有线索，所以你害怕！

A：我比谁都自信。

我是现实世界中的知名黑客（身份泄露 2）。 我在安全行业工作，从小就从事黑客工作（Billing Identity 3）。 说真的，作为安全研究人员，我们的工作是拯救隐藏的世界。

我知道安全咨询是一项艰巨的工作，而声誉意义重大。 我不介意安全团队根据我的事件制作广告，尤其是如果这对他们有帮助的话。 提出安全问题也是我们的职业使命。

如果有黑客能在一个月内找到我的社交身份，我想把我的私人礼物送给他。 否则，我可能会也可能不会泄露我身份的另一条线索。 我们玩个游戏好吗？

即使我得到认可，我仍然为自己的正直感到自豪 :)

欢迎收看吴硕报道精选：、、、、、、等。

风险提示

根据银保监会等五部门发布的《关于防范以“虚拟货币”、“区块链”名义进行非法集资的风险提示》，请广大读者遵守所在地区的法律法规。本文内容不为任何宣传商业和投资活动背书，敬请广大投资者提高风险防范意识。吴表示，发布在区块链上的内容禁止转载、复制等。未经允许，违者必将追究法律责任。