黑客謀權上位，KyberSwap又將如何應對？

2023-12-02 10:12:23

原創 | Odaily 星球日報

編輯 | 0xAyA

在加密世界中，絕大部分被盜案例無論結果如何，發起攻擊者的意圖都驚人的一致：只求財不“要命”。然而 KyberSwap 面臨的卻是和以往截然不同的對手：黑客聲稱自己為 Kyber 的董事，不僅要求控制 Kyber 的財產，還要接收整個協議和公司的控制權。這種超出傳統個人經濟利益追求的威脅意圖何為？黑客又是否真的是 Kyber 董事中的一員？協議面對種種要求又能如何應對？

協議受攻擊，黑客真“戲精”

11 月 23 日，KyberSwap 遭受了攻擊，包括 ETH 主網、 Base 、 Arbitrum 多個鏈在內價值約 4800 萬美元的加密資產被盜，Kyber 官推也發表聲明，表示團隊正在努力調查情況並建議用戶提取資金，同時不要點擊任何釣魚鏈接和回復私信。

而黑客在復雜繁瑣的攻擊奏效後留下了嘲諷的語句，同時表示“休息好後再談判”。

事實上在各類協議被盜事件中，黑客與項目方通過談判的方式來解決問題已經變成了一種默契——通過白帽團隊和其他渠道的幫助，項目方往往能夠鎖定黑客的具體位置和身份，而黑客也深知懷璧其罪的道理，因此更愿意以“賣個人情”或“漏洞檢測費”的方式將部分被盜資金“合理”收入袋中。

就在去年 9 月，KyberSwap 前端遭到攻擊，兩個地址共損失 26.5 萬美元，幣安安全團隊於 9 月 3 日表示已確定了兩名攻擊 KyberSwap 的嫌疑人，彼時 Kyber 官方發表聲明，攻擊者若在規定時間前通過中心化交易所返還資金可獲得 15% 漏洞賞金，此後攻擊者退還大部分資金，事情得以告一段落。

而這次 Kyber 也提出了同樣的解決方案——KyberSwap 在黑客留下談判留言後發布聲明，提供 10% 的賞金作為激勵，以便收回用戶被盜的資金。項目方同時還表示“這次黑客攻擊是 DeFi 歷史上最復雜的攻擊之一，攻擊者需要執行一系列精確的鏈上操作才能利用該漏洞”。

獅子大开口，黑客要錢也要命

一切都按着預料之內發展，在聲明發布以後，黑客接連退回了 Polygon 和 Avalanche 上的資金，但當所有人都以為被盜案件最終會以退回大部分資金而結束之時，事情卻發生了變化。

11 月 29 號，KyberSwap 攻擊者在鏈上發布消息表示：“KyberSwap 高管、員工、代幣持有者和流動性提供者，我說過我愿意談判。然而我收到的是（大部分）來自執行團隊的威脅、最後期限和總體上不友善的回應。沒關系，我不介意。關於我們（潛在的）條約，我已准備了一份聲明。我計劃在 UTC 時間 11 月 30 日中午准時發布。假設我繼續受到敵意對待，我們可以重新安排一個稍後的日期，當我們都感到更加友好的時候。你只需要說一句話。如果沒有，我們將在 11 月 30 日按計劃進行。”

第二天，黑客在鏈上公布了自己的聲明，並提出了具體訴求：對 Kyber 公司的完全執行控制權；臨時全面掌握 KyberDAO 的治理機制以實施立法變更；要求交出所有與公司/協議有關的文件和信息。此外，黑客還要求 Kyber 公司交出所有鏈上和鏈下資產。黑客表示，一旦要求得到滿足，將對公司高管、員工、代幣持有者和投資者進行一系列補償措施。包括為高管提供公平估值的买斷、將員工薪水翻倍、為不愿留下的員工提供 12 個月的遣散費和全面福利，以及保證投資者代幣的價值。這位自稱“Kyber 董事”的黑客強調，如果其要求在 12 月 10 日前未得到滿足，或者受到任何主權國家代理人的聯系，和解協議將宣告破裂，而他更是表示：“這是我最好的 offer，也是我唯一的 offer。”

對於這份聲明，Kyber 聯合創始人兼 CEO Kyber VictorTran 表達了自己的態度：“漏洞利用攻擊已經過去幾天了，我仍然全力以赴，與團隊一起盡我所能，想要將攻擊者繩之以法......認識我的人都知道，我不會放棄，也不會停止支持所有用戶資金追回的努力”，並表示明天（12 月 1 號）將在 Kyber Network 官方账號發表有關聲明。

許多社區成員在這條推特下留言，支持 Victor 的行動，孫宇晨也在這條推特下表達了對 Victor 的支持。

官方聲明到來，事件告一段落？

12 月 1 日，KyberSwap 官方账號發表聲明，重申將堅定不移的追查攻擊者並追回從他們身上奪走的用戶資金，同時計劃通過 KyberSwap Treasury 向每個在漏洞利用中損失了資金且尚未收回的用戶提供一筆補助，最高金額為被盜資金的 100% 。並正在制定上述擬議財政撥款的細節，將在未來兩周內公布更多信息。