被盜 5400 萬美元後上演「駭客奪權大戰」，KyberSwap 面臨生存危機

原文作者：Nancy

原文來源： PANews

從以往大部分加密被盜案例來看，項目方往往選擇與駭客鏈上談判，以收回或部分收回被盜資金。近期攻擊 DEX 聚合器 KyberSwap 的駭客卻不按套路出牌，不僅主動留言談判，還提出「取得 Kyber 公司完全控制權和全部財產」等和解條件。這也讓外界懷疑被竊背後是否是團隊自導自演的戲碼，但 KyberSwap 已然面臨生存考驗。

被竊資金僅收回不到 10%，或並非首次犯案

11 月 23 日，有用戶揭露 KyberSwap 疑似遭到攻擊，多鏈出現異常大額轉出，目前總損失約 4,700 萬美元。其中，以太坊主網上損失 750 萬，Base 鏈上損失 31.5 萬美元，Optimism 鏈上損失 1500 萬美元，Polygon 鏈上損失 200 萬美元，Arbitrum 鏈上損失 2000 萬美元。

隨後，Kyber Network 承認發生了安全事故，表示團隊正在努力調查情況並定期更新資訊並建議用戶立即提取資金。

在 Kyber Network 發表聲明不久後，攻擊者地址向其開發人員、員工、 DAO 成員和流動性提供者在鏈上留言稱，「將在幾小時內充分休息後開始談判」。作為回應，KyberSwap 在鏈上向駭客發布談判訊息，稱其已知道駭客是如何實施攻擊，限駭客在 11 月 25 日 14:00 前將被盜資金的 90% 退還至 0x8180 開頭地址，否則將繼續追捕黑客訊息。駭客可以留下竊取資金的 10% 作為賞金。

同時，根據 Kyber Network 也揭露，本次共約 5,470 萬美元的用戶資金被盜，目前僅追回約 467 萬美元的用戶資金，不到總損失金額的 10% 。

不過，攻擊者並未接受 KyberSwap 的談判條件，在數日後表示他收到了（大部分）來自執行團隊的威脅、最後期限和普遍的不友好，並承諾將在 11 月 30 日發布一份關於（潛在）談判條約的聲明，但前提不接受進一步的敵意對待。

據悉，這次駭客攻擊是 DeFi 史上最複雜的攻擊之一，攻擊者需要執行一系列精確的鏈上操作才能利用漏洞。不過，這似乎並非攻擊者首次犯案，PeckShield 於 11 月 23 日監測顯示，Kyber Network 攻擊者在 Arbitrum 上將 1,000 枚 WETH（206 萬美元）轉移到 0x84e6 開頭地址，該地址在 705 天前與被動收益協定 Indexed Finance 攻擊者位址進行過交互，該協定因攻擊損失了 1600 萬美元。

駭客欲奪權？以公司控制權和全部資產作為和解條件

11 月 30 日，KyberSwap 攻擊者在鏈上提出了一系列和解條件，包括對 Kyber 公司的完全執行控制權，臨時全面掌握 KyberDAO 的治理機制以實施立法變更，以及要求交出所有與公司/協議有關的文件和資訊。此外，也要求 Kyber 公司交出所有鏈上和鏈下資產。

攻擊者承諾，一旦要求得到滿足，將對公司高層、員工、代幣持有者和投資者進行一系列補償措施。包括為高階主管提供公平估值的買斷、將員工薪水翻倍、為不願留下來的員工提供 12 個月的遣散費和全面福利，以及保證投資者代幣的價值。攻擊者強調，如果其要求在 12 月 10 日前未滿足，或受到任何主權國家代理人的聯繫，和解協議將宣告破裂。而在這份談判信中，攻擊者還自稱為 Kyber 董事。

也就是說，攻擊者並不打算退還被盜資金且還想掌管公司控制權和全部資產，這在駭客世界裡是前所未有的案例。而攻擊者若要取得股份轉讓則有需要姓名、實際地址等身分資訊進行公證轉讓的可能性，其身分或將會曝光。

對於攻擊者的和解條件，Kyber Network 聯合創始人兼首席執行官 VictorTran 也在社交媒體上回應表示，「沒有人像我們一樣關心 Kyber 的用戶。你們（用戶）值得最好的。 12 月 1 日將在 Kyber Network 官推發表相關聲明。」截至發文，Kyber Network 尚未作出最新回應。

攻擊者此舉引發市場熱議，有社群成員猜測，攻擊者的奪權行為只不過是不想償還被盜資金的說辭，也有人認為這可能是官方「金蟬脫殼」計，亦或是前員工所為。

而由於 Kyber 公司未進行任何保險計劃，此次被盜事件後將不會得到賠償，意味著若 KyberSwap 無法與攻擊者達成和解，用戶將無法收回資產。即便是 KyberSwap 同意和解條件，那麼駭客主導下的協議也將很難重獲用戶信任，導致項目難以為繼。

（以上內容獲合作夥伴  PANews  授權節錄及轉載，原文連結 ）

聲明：文章僅代表作者個人觀點意見，不代表區塊客觀點和立場，所有內容及觀點僅供參考，不構成投資建議。投資者應自行決策與交易，對投資者交易形成的直接間接損失作者及區塊客將不承擔任何責任。