何承波

他是一個喋喋不休的神秘黑客，白帽子先生。這不是他自己用的名字，關(guān)于他的個人細(xì)節(jié)很少，沒人知道他身在何處，沒人知道他是男是女。從他行文表達(dá)來看，英語不是他的第一語言，他說自己是一名網(wǎng)絡(luò)安全專家，年輕時就喜歡入侵別人的電腦。他還透露，自己最近看了電影《人之怒》，故事講述了杰森·斯坦森如何殺死一群銀行劫匪。這是一個自我嘲諷的笑話。

白帽子先生，是受害者Poly Network給起的。這個稱呼，一般是指一些相對有道德感的黑客—他們?nèi)肭窒到y(tǒng)，指出缺陷以獲得報酬。當(dāng)然，這只是Poly Network方面的一廂情愿。

8月9日，白帽子先生攻擊了Poly Network的系統(tǒng)，取走了平臺上價值6億美元的加密貨幣，這是DeFi史上最大的一次盜竊案。一筆瘋狂的天降之財(cái)，對一個隱身網(wǎng)絡(luò)的黑客意味著什么，沒人知道。但事情的走向，迅速變得瘋狂、荒誕，極具傳奇色彩。

驚天大劫案

8月9日，Poly Network在推特上宣稱被“黑”。被盜走的資產(chǎn)是來自不同區(qū)塊鏈上的加密貨幣，損失最慘的是以太坊（ETH），資產(chǎn)價值超過2.7億美元，其次為幣安智能鏈（BSC），2.5億美元，還有Polygon，8400萬美元。算下來，黑客一共盜走了超過6億美元的加密貨幣。這些資產(chǎn)，被轉(zhuǎn)移到了三個不同的地址上。

3個小時后，Poly Network發(fā)出了致黑客的第一封信：“你入侵的金額是DeFi史上最大的一筆，任何國家的執(zhí)法部門都將此視為重大經(jīng)濟(jì)犯罪，你將被追究責(zé)任， 你做任何進(jìn)一步的交易都是非常不明智的?！逼鋵?shí)，Poly Network能做的不多。

Poly Network是誰？信件沒有具體署名，他們拒絕透露任何高管，也拒絕回答任何相關(guān)問題。域名注冊機(jī)構(gòu)ICANN稱，該公司的郵寄地址在上海，具體在何處運(yùn)營不得而知。簡單來說，Poly Network起到一個作用，讓互不兼容加密貨幣成功交易，打通區(qū)塊鏈的孤島隔絕。

區(qū)塊鏈?zhǔn)仟?dú)立發(fā)展的，鏈上的加密貨幣，也在不同的技術(shù)中運(yùn)行。這就意味著，投資者很難將自己的資產(chǎn)轉(zhuǎn)移到不同的區(qū)塊鏈上。Poly Network開發(fā)了一套協(xié)議，允許用戶跨鏈購買、交易，繞開交易所、清算所等賺差價的中間商。這就是去中心化金融—Decentralized finance，簡稱“DeFi”，加密貨幣世界近年擴(kuò)張最快、最熱門的領(lǐng)域。

Poly Network公布了黑客使用的地址，呼吁加密貨幣錢包的持有者把它列入 “黑名單”。這種方法簡單有效。區(qū)塊鏈的好處是一切可追蹤，利益相關(guān)的用戶會自發(fā)地加入資金追蹤行列，以阻斷其流通。

黑客沒有退縮。當(dāng)天，他不斷發(fā)起挑釁。先是通過轉(zhuǎn)賬留言，公開咨詢?nèi)绾谓柚涿D(zhuǎn)賬平臺Tornado.cash進(jìn)行“混幣”。要知道，混幣之后，任何身份信息都不會被保留，這筆資產(chǎn)就等于洗白了。

慢著，他能在那么短時間里盜走這么多錢，怎么會不知道如何混幣？很明顯，這是屬于黑客的表演時間。Poly Network說，只要他還錢，可以獎勵50萬美元，并聘他當(dāng)安全顧問。黑客拒絕了。

他的表演欲遠(yuǎn)不止于此，另一則交易留言中，他說：“你們的漏洞還不只這些，如果我把這些漏洞導(dǎo)致的可流出資金全部轉(zhuǎn)移，規(guī)模將達(dá)到10億美元。難道你以為我是在拯救你們的項(xiàng)目嗎？”他還表示，他要用這筆錢發(fā)行一種新的代幣，用DAO（Decentralized Autonomous Organization，去中心化自治組織）的組織形式來運(yùn)作。

加密貨幣的價值，本質(zhì)上是一個神話，只靠社區(qū)的信任來支撐。這起盜竊事件，摧毀了一些投資者的信心。隨著失竊消息傳開，投資者開始拋售加密貨幣，被盜貨幣很快就蒸發(fā)了三分之一的價值。

“讓節(jié)目繼續(xù)”

在一筆關(guān)聯(lián)黑客賬戶的交易中，一則全是大寫、充滿感嘆號的自我問答很快流傳開，公眾得以窺見黑客的“內(nèi)心”。“當(dāng)發(fā)現(xiàn)錯誤時，我的感受是復(fù)雜的”，“任何人在10億美元面前都會成為叛徒”，他說，自己唯一能想到的辦法，就是把這些錢轉(zhuǎn)移到受信任的賬戶中。

根據(jù)Poly Network的調(diào)查，黑客是利用了合同調(diào)用之間的漏洞。Nokenchain首席執(zhí)行官 Guillaume Thuill在一場直播中指出了該問題，“Poly Network只用一個錢包來處理所有的業(yè)務(wù)，協(xié)議內(nèi)部也存在賬戶管理不善的問題。它把三個不同區(qū)塊鏈、價值6 億美元的代幣，放在一個賬戶中，本身就是一個錯誤?！彼茰y黑客獲得了賬戶的內(nèi)部密鑰。

在自問自答中，黑客否認(rèn)了自己是內(nèi)鬼的說法。攻擊Poly Network，一是因?yàn)榭珂満芑穑硗?，Poly的系統(tǒng)還不錯，是黑客可以享受的、最具挑戰(zhàn)性的攻擊之一。他是為了好玩，才發(fā)起這場攻擊。

Poly Network開發(fā)了一套協(xié)議，允許用戶跨鏈購買、交易，繞開交易所、清算所等賺差價的中間商。這就是去中心化金融—Decentralized finance，簡稱“DeFi”，加密貨幣世界近年擴(kuò)張最快、最熱門的領(lǐng)域。

他原本計(jì)劃發(fā)起一個很酷的“閃電戰(zhàn)”，接管ETH、BSC、Polygon和HECO，但HECO出錯了?！肮芾韱T只是直接中繼了我的漏洞利用，并且密鑰已更新為一些錯誤的參數(shù)。它破壞了我的計(jì)劃?！彼ㄟ^Ontology區(qū)塊鏈網(wǎng)絡(luò)發(fā)出了一條信息，使用了一個名為EthCrossChainManager 的特殊內(nèi)部指令，如此這般將其他智能合約的所有權(quán)，以及支持這些合約的加密貨幣，全部轉(zhuǎn)移到了自己控制的錢包。

回顧那30分鐘之內(nèi)發(fā)生的事情，他說：“HECO出錯的那一刻，我本該停下來，但我決定讓節(jié)目繼續(xù)?！?h3>荒誕喜劇

事件公開后，逐漸演變成一出荒誕喜劇。

走投無路的用戶，向黑客的地址發(fā)起了交易請求，希望他退還自己的血汗錢。當(dāng)然，吃瓜群眾也少不了。一位名叫“hanashiro.eth”的用戶提醒黑客：“不要使用您的USDT代幣，您已經(jīng)被列入黑名單。”黑客對此很是“感激”，向他支付了13.37個以太幣（ETH）。當(dāng)時這些代幣的價值超過40萬美元?！癶anashiro.eth”倒也很有娛樂精神，他隨后也把這筆錢“捐”至以太坊的創(chuàng)始人Vitalik的賬戶，并說“我只是一個路過的加密愛好者”。

機(jī)會主義者和乞丐蜂擁而來，紛紛發(fā)送交易請求。有的告訴他混幣手段，以獲取回報，有的則直接開口要錢。其中一位自稱黎巴嫩的難民，在交易留言中講述了自己如何在法國的避難所里艱難度日，希望得到黑客大人的救濟(jì)。這位黑客自然是大發(fā)“人道主義善心”，給了他一筆小費(fèi)。

還有的講起了投資界的老套故事，稱自己看中了什么項(xiàng)目，前景如何，希望得到黑客的投資，將來加倍回報。還有人說自己只是學(xué)生，立志成為一名黑客，請黑客前輩施以資助。

另一邊，追討和圍堵還在進(jìn)行。由于區(qū)塊鏈的透明度，洗錢和套現(xiàn)有一定的困難。項(xiàng)目方Poly Network聯(lián)合了幣安、泰達(dá)、歐易等機(jī)構(gòu)進(jìn)行監(jiān)控追蹤—只要追蹤到轉(zhuǎn)出地址，就可以凍結(jié)并銷毀資金。但效果并不明顯，黑客還是通過混幣服務(wù)洗走了價值2.1億美元的資產(chǎn)。

總部位于中國廈門的慢霧科技也試圖追蹤黑客的身份信息，他們表示，經(jīng)過三個小時的努力，他們通過鏈上及鏈下追蹤發(fā)現(xiàn)關(guān)聯(lián)攻擊者的郵箱、IP及設(shè)備指紋等信息，同時認(rèn)為，可能是一次蓄謀已久的、有組織有準(zhǔn)備的攻擊行為。

不過，信息也有可能是假的，黑客如果想要隱藏自己，輕而易舉。黑客后來也說：“我明白即使我不作惡，也有暴露的風(fēng)險。所以，我使用了臨時電子郵件、IP 或所謂的指紋，這些都是無法追蹤的?！焙髞砺F創(chuàng)始人余弦在朋友圈說，“黑客有實(shí)力，有表現(xiàn)欲望，那么他是誰已經(jīng)不重要了。他選擇了聰明的做法，這點(diǎn)謝謝他?！?/p>

因?yàn)?，事情很快走到了明面?h3>全部退還

事發(fā)之后，Poly團(tuán)隊(duì)最初的回應(yīng)讓黑客感到氣憤。“我還沒來得及回復(fù)，他們就敦促其他人來憎恨我們?！焙诳桶鸭用茇泿呸D(zhuǎn)入一些可以賺利息的地方，彌補(bǔ)一些潛在成本，好跟Poly進(jìn)行談判。

他也坦然，自己確有自私的動機(jī)，想搞一筆大錢，做一些很酷但無害的事情，比如成立一個DAO組織。自我表演欲進(jìn)一步刺激著他。他隨后意識到，“成為道德領(lǐng)袖，是我可以達(dá)成的、最酷的事”。

攻擊事件發(fā)生幾個小時后，黑客透露出第一條友善的信息，他在交易留言中備注：“我對金錢不太感興趣，現(xiàn)在考慮歸還一些代幣，或者將它們留在此處?！彼€表示，贏得這么多財(cái)富，已經(jīng)是一個傳奇，將成為拯救世界的永恒傳說，自己決定了，不再創(chuàng)建DAO組織。

次日中午，12點(diǎn)，黑客的留言里，一條簡短的信息冒了出來：Ready to return the fund?。?zhǔn)備歸還資產(chǎn)！）無論是良心發(fā)現(xiàn)，抑或回頭是岸?？傊?， 8月13日，黑客退還了一筆價值2.6億美元的資產(chǎn)。

最新的消息曝光于8月23日，黑客向Poly Network提供了授權(quán)密鑰，以接收可返還資金的余額。Poly Network在一份聲明中說：“我們要再次感謝白帽子先生履行他的承諾，以及社區(qū)、合作伙伴和多個安全機(jī)構(gòu)的協(xié)助?！?/p>

至此，黑客已將全部資產(chǎn)退還。

白帽先生

Poly失竊事件給DeFi和區(qū)塊鏈的發(fā)展敲下了一記警鐘。在一個號稱透明的領(lǐng)域里，暗藏著種種脆弱的、不確定的環(huán)節(jié)，給黑客或者不法分子留下了可乘之機(jī)。

事件中的白帽子先生，是一個有趣且頗有詩意的人。他說，我一直在探索生命的意義，我希望我的生活可以由獨(dú)特的冒險組成，所以我喜歡學(xué)習(xí)、攻擊一切，以便和命運(yùn)抗?fàn)帯?/blockquote>

事件爆發(fā)后的短短一周內(nèi)，多個DeFi項(xiàng)目被不同黑客攻擊。近幾年來，DeFi領(lǐng)域的盜竊和欺詐越來越頻繁，愈演愈烈。有數(shù)據(jù)統(tǒng)計(jì)，DeFi領(lǐng)域的黑客現(xiàn)在占到黑客和盜竊總量的60%以上。

放眼整個區(qū)塊鏈領(lǐng)域，黑客攻擊造成的損失，也是難以估量的。慢霧科技據(jù)不完全統(tǒng)計(jì)，目前區(qū)塊鏈被黑事件為483起，被黑損失總金額接近200億美元。

幣圈最慘烈的一次盜竊案，莫過于“門頭溝”事件，“門頭溝”（MT.Gox）是一家位于東京的比特幣交易所，因黑客攻擊，近75萬枚比特幣失竊，離奇的是，長久以來竟無人察覺。2014年發(fā)現(xiàn)問題時，他們不得不宣布破產(chǎn)、關(guān)閉。這一臭名昭著的事件也導(dǎo)致比特幣價值大幅跳水。

一個段子生動地描述了泡沫背后的荒誕景觀：沒有黑客攻擊的時候，他們說：“代碼即法律，我們是去中心化的，不需要政府?！北槐I之后卻說：“我要報警，有黑客攻擊了我的代幣?！?/p>

站在黑客的角度，Poly Network失竊事件頗具諷刺意味。黑客后來在留言中說：“很難證明你的損失是我的錯，尤其是當(dāng)你的賭博已經(jīng)超出了你的能力。”

加密社區(qū)是一個準(zhǔn)自由主義世界。加密貨幣是一種不與任何政府機(jī)構(gòu)掛鉤的貨幣，一個不受管制的領(lǐng)地，這對普通人來說，有著難以置信的吸引力。在這里，黑客的職業(yè)被視為一種智力追求，黑客獲取的任何東西都是一種戰(zhàn)利品。有時候，白帽與黑帽之間，并不存在分明的界限。功能和錯誤的區(qū)別，只是一個角度問題。

事件中的白帽子先生，是一個有趣且頗有詩意的人。他說，很長一段時間，我一直在探索生命的意義，我希望我的生活可以由獨(dú)特的冒險組成，所以我喜歡學(xué)習(xí)、攻擊一切，以便和命運(yùn)抗?fàn)帯Ｋ€引用了哲學(xué)家海德格爾的話，Sein zum tode，“向死而生”。

在他那些公開可查的交易留言中，他說了不下9次，這次“搶劫”是一個游戲—一個失敗者得到他們應(yīng)得的東西。他并沒有像犯罪分子那樣做，他讓自己成為游戲的主導(dǎo)者。

但是，不是每一個黑客都像這位白帽子先生那樣聰明且有趣。

猜你喜歡

代幣黑客加密

歡樂英雄

趣味(數(shù)學(xué))(2022年5期)2022-07-29 03:24:22

多少個屁能把布克崩起來？

趣味(數(shù)學(xué))(2022年5期)2022-07-29 03:24:22

網(wǎng)絡(luò)黑客比核武器更可怕

瘋狂英語·新悅讀(2020年1期)2020-02-20 13:23:06

首次代幣發(fā)行監(jiān)管的行為經(jīng)濟(jì)學(xué)路徑

中財(cái)法律評論(2019年0期)2019-05-21 02:56:40

央行等七部門叫停各類代幣發(fā)行融資

世界知識(2017年18期)2017-12-28 22:00:38

央行等七部門叫停各類代幣發(fā)行融資

人民周刊(2017年17期)2017-10-23 09:06:00

央行等七部門叫停各類代幣發(fā)行融資

現(xiàn)代企業(yè)(2017年9期)2017-09-21 10:50:52

認(rèn)證加密的研究進(jìn)展

信息安全研究(2016年10期)2016-02-28 20:18:19

基于ECC加密的電子商務(wù)系統(tǒng)

電子設(shè)計(jì)工程(2015年17期)2015-02-27 12:08:03

基于格的公鑰加密與證書基加密

華東師范大學(xué)學(xué)報(自然科學(xué)版)(2014年1期)2014-04-16 02:54:52

南風(fēng)窗2021年19期

南風(fēng)窗的其它文章

權(quán)力邏輯和正史的背面

日本人的“強(qiáng)者崇拜”

三上老爺嶺

多給孩子讀故事

民間輿論要與改革精神共振

喀布爾，再沒有追風(fēng)箏的人