从以往大部分加密被盗案例来看,项目方往往会选择与黑客链上谈判,以收回或部分收回被盗资金。近期攻击DEX聚合器KyberSwap的黑客却不按套路出牌,不仅主动留言谈判,还提出“获得Kyber公司完全控制权和全部财产”等和解条件。这也让外界怀疑被盗背后是否是团队自导自演的戏码,但KyberSwap已然面临生存考验。
被盗资金仅收回不到10%,或并非首次作案
11月23日,有用户披露KyberSwap疑似遭到攻击,多个链上出现异常大额转出,目前总损失约为4700万美元。其中,以太坊主网上损失750万,Base链上损失31.5万美元,Optimism链上损失1500万美元,Polygon链上损失200万美元,Arbitrum链上损失2000万美元。
随后,Kyber Network承认发生了安全事件,表示团队正在努力调查情况并定期更新信息并建议用户立即提取资金。
在Kyber Network发表声明不久后,攻击者地址向其开发人员、员工、DAO成员和流动性提供者在链上留言称,“将在几小时内充分休息后开始谈判”。作为回应,KyberSwap在链上向黑客发布谈判信息,称其已知道黑客是如何实施攻击,限黑客在北京时间11月25日14:00前将被盗资金的90%退还至0x8180开头地址,否则将继续追捕黑客信息。黑客可以留下窃取资金的10%作为赏金。
同时,根据Kyber Network还披露,本次共计大约5470万美元的用户资金被盗,目前仅追回约467万美元的用户资金,不到总损失金额的10%。
不过,攻击者并未接受KyberSwap的谈判条件,在数日后表示他收到了(大部分)来自执行团队的威胁、最后期限和普遍的不友好,并承诺将在11月30日发布一份关于(潜在)谈判条约的声明,但前提不接受进一步的敌意对待。
据悉,此次黑客攻击是DeFi历史上最复杂的攻击之一,攻击者需要执行一系列精确的链上操作才能利用该漏洞。不过,这似乎并非攻击者首次作案,PeckShield于11月23日监测显示,Kyber Network攻击者在Arbitrum上将1,000枚WETH(206万美元)转移到0x84e6开头地址,该地址在705天前与被动收益协议Indexed Finance攻击者地址进行过交互,该协议因攻击损失了1600万美元。
黑客欲夺权?以公司控制权和全部资产作为和解条件
11月30日,KyberSwap攻击者在链上提出了一系列和解条件,包括对Kyber公司的完全执行控制权,临时全面掌握KyberDAO的治理机制以实施立法变更,以及要求交出所有与公司/协议有关的文件和信息。此外,还要求Kyber公司交出所有链上和链下资产。
攻击者承诺,一旦要求得到满足,将对公司高管、员工、代币持有者和投资者进行一系列补偿措施。包括为高管提供公平估值的买断、将员工薪水翻倍、为不愿留下的员工提供12个月的遣散费和全面福利,以及保证投资者代币的价值。攻击者强调,如果其要求在12月10日前未得到满足,或者受到任何主权国家代理人的联系,和解协议将宣告破裂。而在这份谈判信中,攻击者还自称为Kyber董事。
也就是说,攻击者并不打算退还被盗资金且还想掌管公司控制权和全部资产,这在黑客世界里是前所未有的案例。而攻击者要想获得股份转让则有需要姓名、实际地址等身份信息进行公证转让的可能性,其身份或将曝光。
对于攻击者的和解条件,Kyber Network联合创始人兼首席执行官VictorTran也在社交媒体上回应表示,“没有人像我们一样关心Kyber的用户。你们(用户)值得最好的。12月1日将在Kyber Network官推发表有关声明。”截至发文,Kyber Network尚未作出最新回应。
攻击者此举引发市场热议,有社区成员,攻击者的夺权行为只不过是不想偿还被盗资金的说辞,也有人认为这可能是官方“金蝉脱壳”计,亦或是前员工所为。
而由于Kyber公司未进行任何保险计划,此次被盗事件后将不会得到赔偿,意味着若KyberSwap无法与攻击者达成和解,用户将无法收回资产。即便是KyberSwap同意和解条件,那么黑客主导下的协议也将很难重获用户信任,从而导致项目难以为继。