【币市天眼】“被盗”10亿美元，O3 swap崩盘，DEFI风险预警！

8月10日消息，跨链互操作协议PolyNetwork称“遭到攻击”，共计超6.1亿美元转出至3个地址，其中转出至0x0D6e2开头币安智能链地址的资金有超2.5亿美元，转至0xC8a65开头的以太坊地址有超2.7亿美元，转至Polygon地址得有超8500万美元。

同日，O3 swap的跨链池有3.35亿美元被转出，至此该项目总计受攻击“被盗”10亿美元左右。（O3 swap为项目名称，PolyNetwork为协议名称，两者为同一项目。）

11消息，Tether CTO Paolo Ardoino表示，已冻结PolyNetwork盗币案中3300万美金的USDT。据统计数据，2021年前半年，与DeFi相关的黑客和欺诈使协议及其用户损失了4.74亿美元，这一数字较之去年上升超过270%，DEFI的安全性一再受到质疑。

8月11日最新消息，被盗资产中有神鱼的一亿美金资产，目前神鱼正在积极索赔中。

据最新消息显示，慢雾安全团队正在追踪已关联发现攻击者的邮箱、IP及设备指纹等信息，而追踪攻击者的技术合作伙伴之一是HOO虎符交易所（扩展阅读：《【币市天眼】虎符交易所再爆负面，恶意上线传销币！》）。

“被盗”原因调查

据相关信息显示，O3 swap被盗原因是“利用超级权限转移用户质押资产”。

结合以上信息，“被盗”原因基本可以确定3点非正常信息：

疑点1——O3 swap给自己留有超级权限

在今年5月份，微博网友“昆麟玉”在查询O3 swap的代码时发现该项目合约自带“一键RUG”功能，该功能可以把用户的资产随时转走，不需要经过用户任何验证。

值得注意的是，这个“一键RUG”功能并非是系统代码不严谨导致的“漏洞”，而是刻意添加的功能。O3 swap所谓的“超级权限”所指应该就是这项本不该存在的“功能”。那么，当初O3 swap添加这项功能的目的又是什么呢？

疑点2——盗币者地址中的eth是从虎符交易所转出

HOO虎符交易所向来擅长“冻结账户”，并对所有账户的“异常交易”盘查非常严格。如此大规模的ETH从HOO虎符交易所转出却未能引起丝毫警觉，是业界和HOO虎符交易所都“没想到”的。

黑客或许也看中了HOO虎符交易所的口号：“用虎符、谋大事”

疑点3——.倘若一切均由黑客攻击引起

倘若一切真如目前定性的，均由“黑客”攻击引起，那么黑客必然从O3 swap项目团队那里获得了管理私钥，并通过管理私钥非常“迅速”地启动了“一键RUG”程序，继而转走了10亿美元的资产。

那么如果这个推论形成，DEFI领域的安全性是否真的如一再强调的那样就非常存疑。整个区块链DEFI领域都将遭受致命的打击，因此受损的不仅是O3 swap项目一个，而是如今在区块链行业内总市值高达1000亿美元的DEFI领域。

风险提醒

通过O3 swap的黑客攻击事件可以看出，数字货币领域有极强的技术属性，当技术出现问题时，所有规则都将不复存在。而区块链本身的不可篡改属性决定了除非黑客“良心发现”，否则，即便是找到攻击者也无法追回资金。