2023年7月1日，一名攻击者利用Poly Network的漏洞，在多条链上增发了价值420亿美元的资产。尽管发行的资产数量庞大，但因低流动性和部分项目代币冻结，攻击者无法从5个外部账户地址获取超过1000万美元的资产。

这是今年发生的第一起跨链桥攻击事件，也是针对Poly Network发起的第二次攻击。去年攻击事件的总损失金额达37亿美元，其中跨链桥攻击损失占35%。虽然本次事件看似是有史以来涉案金额最大的漏洞攻击事件，但黑客的实际收益要低很多。

2023年7月1日北京时间14:47，一名恶意行为者通过发起数笔跨链桥交易，将资产从Poly Network的Lock Proxy合约转至攻击者的地址。从账面上看，攻击者从10条链上获利超420亿美元价值的资产。

图片：Poly Network 攻击者钱包地址。来源：Debank

但其实这个数字具有误导性。例如，攻击者在Metis区块链上持有超过340亿美元的Poly-pegged BNB和BUSD，但这些代币因缺乏流动性而无法卖出。后来Metis也在推文中确认，那些新铸造的BNB和BUSD没有可用的流动性，因此毫无价值。

同样，大量剩余的代币也变得一文不值。在听说了这一事件和攻击者发行的代币后，几个项目均及时采取了删除流动性的行动，以防止代币倾销和价格崩溃。例如，OpenOcean、StackOS、Revomon和NEST都取消了项目的流动性，以防止攻击者出售。

Revomon推特

尽管420亿美元的数字并不能准确反映这次事件所造成的损失，但CertiK已证实至少有1000万美元的资产被存放在5个以太坊钱包中。

 

2022年，影响跨链桥的安全事件导致了13亿美元的经济损失，而这13亿美元仅仅是由五起事件造成的，因此跨链桥安全漏洞的破坏力可见一斑。保护跨链桥难度较高，再加上它们所具有巨大价值和各种可被利用的攻击路径，这些基础设施往往是恶意行为者的首选目标。跨链桥由托管人、发债人、预言机等多种部分组成。由于锁定在桥上的资金数量庞大，任何错误配置、漏洞或恶意利用都可导致重大损失。

攻击流程

 

Poly Network使用“锁定”（Lock）和“解锁”（Unlock）函数在不同网络之间桥接资产。用户必须先在源链上“锁定”代币，然后才能在目标链上进行“解锁”。