欧易安全特刊，回顾Poly Network被盗事件及后续追回过程

admin okx快讯 2026-06-06 1

📖 目录导读

2021年8月,跨链协议Poly Network遭遇史上最大规模DeFi攻击，被盗资产总额高达1亿美元（包括ETH、BSC和Polygon三条链上的资产），这场攻击迅速登上全球新闻头条，也让整个加密行业重新审视跨链安全。

欧易安全特刊，回顾Poly Network被盗事件及后续追回过程-第1张图片-欧易交易所

关键时间线：

当时很多平台都暂停了相关代币的充提服务,包括欧易交易所在内的头部平台第一时间启动风控机制，协助用户锁定可疑交易，如果你当时在欧易交易所下载资产查看，可能会发现部分代币被临时冻结——这正是平台保护用户资产的关键一步。

这次攻击利用的是跨链合约中签名验证的漏洞。

普通用户调用合约时,需要验证签名权限；但Poly Network的“EthCrossChainManager”合约，竟然允许外部账户通过putCurEpochConPubKeyBytes()函数修改验证公钥，黑客直接替换了验证密钥，从而伪造跨链交易。

技术细节（用大白话讲）：

事后看,这个漏洞更像是开发者留下的“后门”——因为正常的跨链协议不应该允许随意修改验证公钥。

这是整个事件最魔幻的部分,黑客（代号“Mr. White Hat”）后来发了一条链上信息：

“我原本打算用这笔钱做点好事，但你们的人一直在联系我……我决定全额归还。”

项目方和多家安全公司（慢雾、PeckShield等）24小时不间断追踪链上地址，欧易安全团队也参与了资产冻结的分析工作，黑客意识到：这笔钱在公开链上根本没法洗白，几乎所有交易所都会拦截。

除了USDT（因Tether黑名单机制冻结）外，其余所有资产在7天内全部追回。
👉 如果你对安全事件感兴趣，可以访问欧易安全特刊了解更多案例分析。

这次事件带来了三大改变：

以前很多项目只做单链审计,现在Poly Network事件后，跨链漏洞被列为最高风险等级。欧易交易所上线的所有跨链项目，都必须通过至少3家安全公司的联合审计。

黑客之所以归还资产,很大程度上是因为交易所的KYC/AML机制，比如黑客试图将ETH换成门罗币，但发现几乎所有主流交易所的充币地址都被标记。
（小贴士：欧易交易所下载APP后开启安全验证，能进一步保护你的账户）

现在头部平台都会部署链上威胁情报系统，当检测到某地址转出异常大额资产时，系统会自动触发风控。

Q1：Poly Network被盗事件后，我的资产受影响了吗？
A：如果你没有直接参与Poly Network的跨链操作，资产不受影响，但在事件期间，部分交易所（包括欧易）暂停了相关代币充提，这是出于安全考虑的正常操作。

Q2：黑客为什么要归还资产？
A：核心原因是链上资产无法匿名化，黑客发现所有交易所都盯着他的地址，洗钱成本极高，与其坐牢，不如拿赏金当“白帽黑客”。

Q3：现在Poly Network安全了吗？
A：修复了漏洞，但任何跨链协议仍有风险，建议用户将资产分散在多个钱包，并优先使用欧易交易所等有保险基金保障的中心化平台。

Q4：怎么防止自己成为类似攻击的受害者？
A：① 不要把所有资金放在一个跨链协议里
② 关注项目方的审计报告
③ 使用大平台的安全功能，例如欧易安全中心的地址监控服务

Q5：如果我自己发现智能合约漏洞怎么办？
A：立即联系项目方或通过欧易漏洞赏金计划提交报告，安全第一，不要做违法的事。

Poly Network事件后，欧易交易所升级了多层安全体系：

如果你还没体验过欧易的安全体系,可以点击这里下载欧易交易所，开启你的资产安全管理之旅。

Poly Network事件虽然惊险，但最终以“白帽黑客”归还资产收场，离不开欧易安全团队等机构的专业协作，对于普通用户而言，选择靠谱的交易平台、提升自身安全意识，才是对抗黑客的最强护盾。