Poly Network发布7月2日安全事件调查报告

　　Poly Network 是用于实现区块链互操作性和构建Web3.0基础设施的跨链协议。Poly Network 整合了 20 多个区块链，包括 Ethereum、Avalanche、Fantom、OKC、Neo、Ontology、Zilliqa、Elrond等。

　　2023 年 7 月 2 日，Poly Network 被利用，导致11 个区块链的58 项资产受到影响。昨日，Poly Network发布关于7约2日安全事件的调查报告。

　　调查报告显示，攻击者在程序编译环境中植入木马病毒，以获取Poly Network 中继链的共识密钥。随后，他们通过将原始链交易转移到攻击者的中继链来执行伪造的跨链交易，操纵目标链上预定解锁的资产数量。然后攻击者将攻击者的中继链交易转移到目标链。目标链合约验证了中继链签名，导致相应修改后的资产金额释放到攻击者的钱包地址。

　　对于Poly Network的跨链交易，每笔交易都会中继到Poly Network的中继链。一旦交易在Poly Network中继链上完成，它会进一步中继到目标链，并携带中继链标头和Merkle Proof，作为验证的输入以完成跨链交易。

　　漏洞发生后，对目标链上被利用交易的立即分析显示，提交了可疑的 Poly Relay Chain 区块头，已签名并成功通过了签名验证。通过比较高度和哈希值，很明显该块头与正在运行的 Poly Network Relay Chain 的块头不对应。因此，官方推断出黑客部署的两种潜在的利用路径：

　　1、黑客获取了Poly Network Relay Chain共识密钥（2f+1）并签署了伪造的区块头。

　　2、黑客利用保利网络中继链共识节点的安全漏洞，欺骗节点签署伪造的区块头。

　　本次事件，Poly Network被盗金额达到10.1 M。

　　去年8月Poly Network也曾发生被盗事件，被盗资金达到611M 美金。据统计，2022年攻击事件的总损失金额达 37 亿美元，其中跨链桥攻击损失占 35%。