星期析客事之内两起度剖千万货币黑色一周加密界的级黑件深五

上个周末，加密货币圈经历了一场惊心动魄的"黑色星期五"。先是孙宇晨旗下的Poloniex交易所遭遇重创，紧接着DeFi项目Raft又传来噩耗。作为一名跟踪区块链安全事件多年的业内人士，我不得不感叹：黑客们的作案手法真是越来越精妙了。

Poloniex被盗始末：1.14亿美元不翼而飞

11月10日晚7点左右，我的手机突然被安全警报声惊醒。Beosin安全团队的监测系统捕捉到Poloniex交易所相关地址出现异常大额转账，这样的警报声我已经很久没听到了。仔细一看，资金正以惊人的速度流向各种陌生地址，这明显是有组织的黑客行动。

记得去年采访孙宇晨时，他还信誓旦旦地说Poloniex有着"钢铁般"的安全防护。但现实就是这么讽刺，1.14亿美元的资产就这样无声无息地被转移。更令人咋舌的是，黑客们像专业财务经理人一样，迅速将盗来的代币分散到各个地址，在以太坊和波场链上进行了价值3000万美元和2000万美元的兑换。

孙宇晨在事发后的回应也很有意思，居然想用"白帽子奖励"来感化黑客。这让我想起之前采访的一位白帽黑客说的话："真正的黑客根本不屑于拿这5%的奖金，他们更享受突破安全防线的快感。"

Raft项目遭袭：一场精妙的数学游戏

就在大家还在讨论Poloniex事件时，第二天Beosin又监测到Raft项目遭遇攻击。340万美元的损失虽然金额相对较小，但攻击手法之精妙，简直可以作为区块链安全课的经典案例。

黑客利用闪电贷作为"撬棍"，通过复杂的利率操控和铸币计算漏洞，玩了一场令人叹为观止的数字游戏。他们先是通过闪电贷借入6001个cbETH作为操控利率的"诱饵"，然后在清算阶段精心设计了两阶段操作。最精彩的是对铸币函数的利用——由于采用了向上取整的计算方式，黑客成功将1：1/(67×10^18)的铸币比例变成了1：1，相当于凭空放大了抵押品价值67×10^18倍！

这让我想起去年分析过的类似案例，当时黑客就预言："未来会有更多项目栽在数学计算这个看似简单的环节上。"没想到一语成谶。

血的教训：安全防护必须与时俱进

这两起事件给我们敲响了警钟。作为业内人士，我建议项目方在以下方面特别注意：

首先，私钥管理不能掉以轻心。Poloniex事件很可能就是私钥泄露导致的。其次，数学计算相关的代码必须慎之又慎。Raft项目的教训告诉我们，即便是一个简单的向上取整操作，在特定条件下也可能成为致命的漏洞。

最后，我特别想说的是：安全审计不是走过场。很多项目方为了赶进度，往往会压缩审计时间。但看看这两天的损失，340万美元+1.14亿美元，这样的代价难道还不够惨痛吗？

区块链世界正在经历前所未有的安全考验。作为从业者，我们需要用更加敬畏的心态来对待安全问题，因为每一次疏忽，都可能造成难以挽回的损失。

(责任编辑：开源)