搬空171億！史上最大駭客盜幣：投資人喊痛卻繼續投，Defi有多賺？

【獨家開課，秒懂Web3】掌握 Web3 新趨勢，現在就是關鍵時刻！了解詳情 >> https://bit.ly/3xWQSSP

沒有警鈴大響，沒有飛車追逐，也沒有驚心動魄的警匪對峙，總價值6.1億美元（約171億台幣）的資產，在短短34分鐘內被洗劫一空。

美東時間8月10日下午5點，一名駭客攻擊區塊鏈知名跨鏈項目Poly Network的程式漏洞，捲走上千名用戶的數位資產，包括價值9300萬美元的以太幣，以及其他11種虛擬貨幣。這單起攻擊的損失金額，超過去年全年對去中心化金融（DeFi）攻擊的總和，堪稱史上最大宗盜幣事件。

---

小辭典／去中心化金融（Decentralized Finance，簡稱 DeFi）
基於區塊鏈去中心化的特性所發展出的金融服務。過去，民眾想進行存款、借放貸、換匯等，得先把錢存在銀行帳戶，有實體存摺、白紙黑字的契約申辦各項交易。DeFi的業者，則是讓想放款、借貸、匯款的人，不透過銀行，而是透過程式碼組成的智慧合約（smart contract）直接進行交易，程式碼可以自動搓合並執行雙方的交易需求，讓我們可以點對點的方式，與任何人、甚至是智慧合約進行交易。不同的DeFi業者，會寫不同的智慧合約，以提供借貸、換幣等金融服務。

---

廣告

「我先看到推特上有人發Poly network被駭的消息，想登入才發現服務暫停，」29歲的軟體工程師阿傑（化名）自嘆倒霉，他的錢放在Poly Network上賺取利息，在此次攻擊中也遭到波及。

這其實不是阿傑使用的DeFi服務，頭一次遭駭客攻擊了。

去年10月，他參與的另一項DeFi項目被駭，「上一次損失更慘重，大概佔我資產的10%左右，我這次評估風險才比較謹慎，太新的項目雖然報酬好，但我不敢投太多進去，」他不願意透露金額，但雖然嘴裡說著損失慘重，但還是繼續投入DeFi項目。

2800%高成長，像門沒鎖好的龐大金庫

明知不安全，卻不願意放棄，阿傑解釋起自己與虛擬貨幣的淵源。2017年，他因為朋友介紹開始接觸虛擬貨幣，「我發個交易30秒就能把錢拿回來，30秒就能換投別的項目，還沒有國界、時間的限制，有什麼新項目都可以玩玩看。」新鮮有趣、不用提心吊膽地看盤，只消一年，投入的資產就成長了20倍，這種好成績令他非常驚豔。

廣告

以Poly Network為例，標榜年報酬率最高達20%，是銀行定存的十倍以上。對阿傑這樣的工程師而言，他不需要透過素昧平生的銀行員，不必擔心行員詐欺、盜領，也不用等待傳統銀行漫長的處理手續，只要信任中立的程式碼就可以做交易。

之所以高報酬，因為「有人想付很高的利息借錢，」沛理科技創辦人陳品解釋，比特幣、以太幣的漲幅變化很大，有許多人願意付高額利息借入虛幣進行買幣的槓桿操作，虛幣的需求量大，DeFi就得調高存錢利率吸引用戶把錢放入項目中以提供流動性。

區塊鏈實時監測儀表板DeFi Llama顯示，2021年DeFi項目的總存款量來到1424億美元，較去年同期成長2820%，相當於近4兆台幣存放在各式各樣的DeFi服務中。

廣告

這個去管制又正經歷爆炸性成長中的新興產業，儼然成為駭客眼中的香餑餑。美國矽谷反洗錢機制CipherTrace統計，2019年針對DeFi的駭客攻擊連一宗都沒有，而2021年1月至7月間，針對DeFi的攻擊佔總區塊鏈攻擊高達76%，影響金額達3.61億美元。

「駭客其實也需要花很多時間精力去反覆研究、測試這些漏洞，」獲500 Startups投資、為大型加密貨幣交易所提供安全服務的區塊鏈資安公司Cybavo技術長徐千洋說，「愈多駭客往這邊走，代表DeFi這個產業真的成長起來，不夠厲害根本沒人注意你安不安全。」

想當鏈圈盟主，反被找到漏洞

專研資安研究的中興大學資管系教授林詠章舉例，DeFi常見的漏洞樣態之——重入漏洞（reentrancy），就是駭客利用智慧合約執行撥款到更新帳戶餘額的時間差，重複發送交易需求，直到領光Defi帳戶內的所有資產。

廣告

若抵擋不住惡意攻擊，最糟糕的狀況就是所有資產全被搬空。而即使像阿傑本身擁有軟體背景，「可以大概看懂合約怎麼運行、風險在哪、有沒有後門，」卻也難防踩雷項目，因為智慧合約的漏洞可不是那麼容易被挖掘出來的。

以太坊剛興起時，智慧合約結構相對單純，只要滿足簡單的交易功能，處理同一條鏈上交易即可，以太坊為了保障安全性犧牲部分交易效率，每秒可以處理的交易訊息（TPS）僅在14至45筆之間。但當DeFi興起，以太坊會大塞車，於是業者會自創不同的公鏈，在不同鏈上發行的虛幣種類也越來越多，一個用戶錢包裡可能有一點比特幣、火幣、狗狗幣、Matix等不同幣種，而每個用戶要搞清楚每個程式是否又漏洞，又顯得更為困難。

廣告

以此次遭駭的Poly Network跨鏈協議為例，它支援橫跨主流公鏈的幣種交易與智慧合約操作，包括以太坊、幣安智能鏈、Ontology、Neo、火幣生態鏈（Heco）、歐易OKEx和Polygon。「如果公鏈的生態類似群雄割據，Poly Network就是想當盟主，」專研區塊鏈技術的台大資工所博士候選人謝銘峰形容，在鏈與鏈間，Poly Network就被駭客找到漏洞。

駭客偷太多，程式高手群起肉搜

也許是這一票做太大，也許是太得意。6億美元鉅款到手後，駭客一開始還在區塊鏈訊息中活躍地與社群對話，討論該如何使用贓款。兩天後，劇情急轉直下，8月12日晚間，駭客表示將歸還贓款給Poly Network團隊。

「沒有任何一家DeFi公司希望跨鏈垮掉，這也是大家賺錢的來源，」加密貨幣錢包imToken首席科學家陳昶吾表示，這次的事件，讓中心化交易所、資安專家、安全審計公司快速聯繫起來，共享資訊帳戶黑名單，在最大的虛幣交易所幣安的瀏覽器BscScan上，可以清楚看到駭客的帳戶被紅標示警。

與美元掛勾的中心化穩定幣泰達幣（Tether），隨即出手凍結被盜的3340萬泰達幣；資安公司PeckShield、SlowMist及The Block紛紛透過自家的資訊追蹤技術，做出詳實的駭客手法解析。在Slow Mist的報告中，甚至指出透過在中心化交易所紀錄，與電信商合作追蹤，掌握到駭客在真實世界的IP位址。一旦找到IP位置，警察就可以出動去抓駭客。這正是駭客態度急轉直下的理由。

「對虛擬貨幣的金融監管上，在這次攻擊看到慢慢有落地的可能，」徐千洋觀察，「就算偷到錢你也無法換成法幣花，駭客其實也很麻煩。」

保險補償、賞金獵人抓漏

正因為DeFi發展快速，傳統軟體花了20年才逐漸形成資安標準，但發展至今不過兩年的DeFi快速形成一套參照標準。網路安全風險標準組織OWASP在2018年開始針對智慧合約漏洞態樣的分類，並在2020年12月5日將DeFi的合約漏洞納為第14個分類項目，公布前十大漏洞樣態與攻擊手法。

不過，「要給那些知名的區塊鏈資安公司做審查，一個案子起碼都需要排到3至6個月後，」陳昶吾直言，資安公司的速度，還是跟不上產業需求。

於是，有另一種解方出現，就是DeFi保險。像手握5000萬美元資虛擬產管理公司Steaker就與Cybavo合作，託管部分企業資產，設置SAFU用戶資產安全基金，「慢慢在DeFi也會開始盛行做保險，把利潤一部份提撥去買保險或存起來做理賠用以防萬一。」

面對層出不窮的合約漏洞，在區塊鏈開發者社群中當賞金獵人的風氣也很盛行，DeFi平台方會提供高額賞金，吸引頂尖高手一起抓漏、補漏，「而且加密貨幣的匿名性讓賞金獵人這件事更容易實現，區塊鏈公司可以支付加密貨幣給指出漏洞，而不惡意利用的人，」徐千洋說。

阿傑手上的資產目前仍維持六成投資區塊鏈應用，三成分配在美股、一成在台股，他對DeFi的未來充滿信心，「DeFi很新啊，我覺得本來各個項目風險不管怎麼樣都會存在的，就是持續分散風險，配置自己覺得可承受損失的部位。」

各路駭客與頂尖DeFi開發者之間的鬥智鬥勇仍未分曉。當金錢的價值儲存與轉移化作流轉的資訊流穿梭在虛擬世界中，資訊安全與金融風險得被視為一體，畢竟程式的漏洞，可是能直接通往後門沒上鎖的金庫。（責任編輯：曹凱婷）