昨天晚上6点左右，跨链协议 Poly Network确认被攻击，在以太坊、币安智能链、Polygon 三条网络上的资产几乎被洗劫一空，据统计三条链上的资产累计损失达6.1亿美元。官方第一时间便通报了此事。

这一次的攻击超过了历史上任何一次的攻击，并超过了2020年累计攻击之和的2倍有余。这个事件对于区块链的生态和参与者造成了重大的打击，对于当下如火如荼的去中心化金融（Defi）也是泼了一盆冷水。

尽管，官方第一时间就通知了各大交易所，防止黑客将资产转移套现.并且第一时间通知了USDT、BUSD等官方将冻结此账号。好在USDT第一时间回应并且将黑客账号冻结，找回了3300万美元的资金。

Ok也随即表态将全力配合，但是Binance这次却非态度鲜明地说，直接说他控制不了去中心化世界。

呵呵了，大佬都说他办不到，那我们也相信他是真的办不到。

黑客此刻已经成为了区块链世界头号公敌，自然是不敢把资金转移到中心化交易所，所以他把资金转移到了去中心化交易所，比如Curve，把Usdt换成了Dai等稳定币。不得不说，区块链的去中心化服务，真的是黑客XQ的天堂。

当然这些所有的动作官方都实时在追踪，并且联系了所有相关平台方对这些资金进行围追堵截。

与此同时，官方也对黑客隔空喊话，对其警告，劝其迷途知返，归还资金。

不得不说，官方的这份声明是毫无震慑力的，看看开头就知道了“Dear Hacker”...

随后黑客表示：

如果我转移了剩余的币，那将是十亿美金级别，我难道不是拯救了这个项目？我对金钱不太感兴趣，现在考虑归还一些 Token，或者将它们留在此处；

如果我制作一个新的代币并让 DAO 决定代币的去向会怎样。

不过戏剧的一幕发生了，不久黑客居然表示愿意归还资金，请官方提供收款地址。

OMG，太戏剧性了！

到了这里，吃瓜群众终于稍微有点放心了。我们静等进一步的消息吧。

今天且不论这次被攻击的原因是监守自盗，还是真正道高一尺魔高一丈。至少昨天这个事件暴露出了区块链“安全性”的致命问题。

所有人都知道区块链是安全的，这个毋庸置疑。这里的安全是指网络本身是安全的，就是说BTC网络、ETH网络不会被攻击瘫痪，用户私人账号的钱不会被盗走。

但是随着ETH的发展，大量的区块链应用（DAPP）运行起来，目前市面上有将近1000亿美元的资金都是跑在DAPP上面的。DAPP中最重要的一个应用就是Defi（去中心化金融），它要求你把钱放到它的平台上面去跑，所以这里最大的风险就是DAPP平台本身是否足够安全。

做技术的同学就知道，DAPP本质上就是智能合约代码构成的，只要是代码就有安全风险。这里的风险有两个：

风险一、平台方自身的经验管理风险，说白了就是项目方跑路。跟之前P2P跑路一样，DAPP平台方是有权利将资金转移走到私人钱包。

但是这种情况比较少见，除非特别嫩的韭菜会上当。为什么比较少见呢？

因为所有的DAPP平台都会将智能合约代码开源出来，开源意味着什么？意味着平台方将怎么存放资金、怎么使用资金这些规则都写得一清二楚。管理员有没有权限可以转移资金，有没有留后门等这些方法都是暴露在阳光底下的。所以，一般主流的平台都会找安全审计公司来做最基础的审计，也是给投资人一个信心。

至少从目前来看，DAPP平台规模在1亿美金以上的平台，还没有发生过监守自盗的行为。

风险二、合约隐性漏洞。

这个风险是属于高阶风险，一般小白用户或者审计机构也审查不到。比如这次Poly Network被攻击的事件就属于此类。它属于隐蔽性机器的漏洞，除非特别专业的极客才有可能发现这些漏洞，然后利用这些漏洞去攻击平台，并盗走资金。

当然，这类攻击者也分黑帽和白帽。黑帽说白了就是躲在黑影下不见人的，只求财不求名；白帽的话，就是它会主动发现这些漏洞，然后主动去炫耀自己的发现成果，以此来取得行业内的关注。我们当然希望这次的攻击者属于黑帽转白帽，看进展应该概率挺大的。

最后，我想说一下这个事件本身，它对链圈，特别是defi打击还是挺大的。很多玩家都诚惶诚恐，担心下个平台会被攻击。如果事情走到了最坏的结果，黑客不归还资金，估计币圈和链圈又将一片哀鸿。

所有事情都是攻守博弈、矛与盾的关系，区块链发展至今也不过12年的历史，还有很长的路要走。

且行且珍惜吧！