（原標題：史上最大DeFi黑客案：超6億美元被盜兩周后 黑客仍未找到 DeFi安全令人擔憂）

財聯社|區塊鏈日報（北京，記者 董宇佳）訊，黑客從熱門區塊鏈游戲Axie Infinity盜走了價值超6億美元的加密貨幣，而被盜事件在發生6天后才被曝光。

這是迄今為止涉及數額最多的DeFi黑客攻擊事件。雖然距今已有兩周時間，部分被盜資金被轉移到不同的中心化交易所，以及以太坊隱私工具Tornado Cash上，但截至目前黑客身份仍舊是謎。

4月6日，Axie Infinity母公司獲得1.5億美元的新一輪融資，官方稱將用于補償Ronin被攻擊事件的受害者。

“盜竊”是如何發生的？

被盜事件發生在連接到Axie Infinity的Ronin Network中。

Ronin是一條于2021年2月推出的以太坊側鏈。在做任何事都要付gas費的以太坊上，Ronin允許每位用戶每天進行100次免費交易。

Axie Infinity玩家可以利用這座“橋”將以太坊或USDC存入Ronin，再用來購買游戲內的NFT和代幣，同時還能夠將出售游戲資產的資金通過“橋”提取出來。

根據3月29日Ronin發布的Newsletter，黑客利用Ronin橋并通過兩次單獨的交易竊取了173600 個ETH，以及價值超2500萬美元的穩定幣USDC。而官方在驗證器節點遭到破壞的6日后，才意識到攻擊的發生。

Ronin采用的是權威證明（PoA）共識模型，與工作量證明（PoW）不同，PoA基于有限驗證節點的信譽驗證和批準交易。目前，Ronin鏈由9個驗證者節點組成，識別存取款事件需要得到其中5個節點的簽名。

該Newsletter指出，黑客“使用被破解的私鑰偽造假取款”。具體來說，黑客首先通過其中一個由Axie DAO運行的RPC節點的后門，獲取了Axie DAO的簽名，再加上攻擊者成功控制了Sky Mavis的4個Ronin驗證節點，最終實現資產的盜竊。

Ronin Network表示，未來公司將把驗證者節點共識的門檻提高到九分之八，并最終增加驗證者的數量。

截至發稿，黑客身份未被確認，資金大部分存于黑客的數字錢包中。區塊鏈安全公司慢霧科技分析稱，少量資金轉移至FTX、Crypto.com和火幣等交易所。

據Coindesk報道，業內不少專家對黑客目前試圖通過中心化交易所洗錢的方式感到詫異。由于這些平臺具有KYC驗證系統，存款行為可用于識別黑客的身份，并最終迫使其退還資金。

火幣方面對區塊鏈日報表示，“正積極協助Axie Infinity溝通處理”。

幣安也表示，已在第一時間暫停了Ronin Network的充提，“調查正在進行中”。

歐科云鏈研究院高級研究員蔣照生告訴記者，由于鏈上地址的透明性，黑客地址已經不太能夠輕易轉帳，所以“不排除最后返還的可能性”。

玩家資產仍無法提出

Ronin用于的Axie Infinity，是世界上最受歡迎的區塊鏈在線游戲之一，由總部位于越南的Sky Mavis公司在2018年推出。

進入Axie Infinity，玩家需要先通過購買或租用的方式獲得3個“Axies”。每一個“Axies”都是可以戰斗、繁殖、交易的NFT。

Axies通過戰斗勝利或完成必要的任務后，玩家將得到游戲內代幣SLP或治理代幣AXS的獎勵。借助SLP和AXS，玩家可以培育他們的Axies以獲取更多獎勵，也可以選擇出售給其他用戶來賺錢。

等級高的“Axies”的售價一度高達數十萬美元。在Axie Infinity人氣飆升的2021年，菲律賓等東南亞國家有人甚至把玩該游戲當作一份全職工作——玩家在其中賺取的代幣能夠以當地貨幣兌現。

此外，Axie Infinity的爆發性增長也為其母公司Sky Mavis贏得了包括a16z、 Delphi Digital在內多家風投的投資。Sky Mavis繼去年8月份從a16z籌集460萬美元后，于10月份再獲得了后者領投的1.52億美元B輪融資。

市場追蹤機構CryptoSlam的數據顯示，該游戲迄今為止的總交易量超過40億美元。

“我只希望把錢拿回來，我還有賬單要付?！币晃徊辉敢馔嘎缎彰姆坡少e玩家告訴區塊鏈日報記者。

由于黑客攻擊，Ronin網絡已被暫停，在該網絡上保留數字資產的玩家目前無法進行交易。

當被問及是否還會繼續玩這個游戲，這名菲律賓玩家表示“不確定”，但隨后又說道應該還是會繼續，“當我賺取代幣、獲得資產時，我會立即將其取出并兌現?！?/p>

4月6日，在黑客攻擊事件兩周后，Sky Mavis公司宣布其再次獲得由幣安牽頭的1.5億美元新一輪融資，本輪依舊有a16z參與。Axie Infinity官方表示，本輪融資資金以及Sky Mavis和Axie Infinity的資產負債表將用于確保受黑客事件影響的用戶得到補償。

Axie Infinity的官方推特下，至今依舊有不少玩家留言稱，希望他們在Ronin的資產能盡快解凍，并要求官方提供更多的信息，因為“這里面都是我們的錢和投資”。

黑客攻擊事件頻發的背后

發生在Ronin橋上的被盜案再度凸顯了加密領域的安全隱患。

如今，加密資產的市值約為2萬億美元。隨著資金的涌入，行業內的黑客行為也愈發猖狂和頻繁。

根據區塊鏈研究公司Chainalysis的數據，2021年DeFi平臺被盜的資金約為23億美元，比前一年增加了1330%。

針對跨鏈橋與DeFi項目遭受黑客攻擊的區別，蔣照生認為對于DeFi項目方來說，智能合約安全最重要；而對跨鏈橋來說，如何保障托管資產安全和建立社區共識更重要。

“DeFi是應用，跨鏈橋只是基礎設施?！彼f道。

“未來將是多鏈，而不會是跨鏈。”以太坊創始人Vitalik Buterin今年1月份在推特上表示，“跨越多個‘主權區域’的橋梁存在根本性的安全限制?！?/p>

根據Ronin Network的聲明，其承諾“確保用戶的資金不會丟失”。從此前行業內發生的黑客攻擊事件來看，若找不回被盜資金，受攻擊的項目方多會表示將獨立承擔用戶損失。

但如果項目方不承擔損失，再加上監管的不完善，受害者追回資金或能夠求助的渠道范圍并不多。

此前發生在2021年8月，黑客從跨鏈去中心化金融 (DeFi) 協議Poly Network上盜取了6.11億美元，隨后絕大部分資金都被黑客自行歸還。

蔣照生指出，DeFi等創新領域的業務變化繁多，對智能合約的設計提出了極高的要求，也因此“常常成為黑客尋找漏洞成功率最高的方向之一”。隨著DeFi在多個公鏈生態逐漸繁榮，他認為部分項目的“產品結構和經濟模型設計”有待提升。

關鍵詞：