2023年加密市场爆出的“POCHITA盗币案”,堪称当年DeFi领域最具冲击力的安全事件之一,案件以热门动漫角色“POCHITA”(出自《链锯人》)为代号,攻击者通过精准的漏洞利用,短短数小时内从多个跨链协议盗取超1.2亿美元资产,引发行业对智能合约安全与跨链机制深层次风险的集体反思。
案件背景:跨链协议成“重灾区”
事件核心受害者是跨链桥协议“Multichain”(后更名为Multichain)及其关联的跨链路由服务,Multichain作为当时全球用户量领先的跨链平台,支持以太坊、BNB Chain、Polygon等30多条公资产的跨链转移,依赖中继节点与预言机实现资产“跨链”,其核心设计缺陷为攻击者埋下了伏笔——多签钱包权限集中化与跨链路由状态验证机制薄弱。
攻击过程:三步“精准爆破”漏洞
根据区块链安全公司慢雾科技、PeckShield等机构的溯源分析,攻击者的操作堪称“教科书级”的漏洞利用:
-
权限接管:伪造多签签名
攻击者首先利用Multichain早期代码中的“签名伪造漏洞”,伪造了多签钱包的管理员签名,Multichain的跨链转移依赖多签节点验证交易合法性,而攻击者通过逆向工程破解了签名生成逻辑,成功获取了“任意资产调取权限”。 -
跨链“洗劫”:伪造路由状态
获取权限后,攻击者伪造了跨链路由的“目标链状态”,谎称资产需从目标链(如BNB Chain)转回源链(以太坊),通过伪造的路径验证,Multichain的预言机误判为“正常跨链请求”,自动将对应资产从目标链金库转移至攻击者控制的地址。 -
资金转移:快速“清洗”痕迹
盗取的资产包括ETH、USDT、USDC、WBTC等主流代币,总价值超1.2亿美元(按当时汇率),攻击者通过Tornado Cash等混币服务清洗资金,并通过去中心化交易所(如Uniswap、PancakeSwap)分批兑换为ETH,试图切断资金流向。
后续影响:行业信任危机与安全升级
案件曝光后,Multichain团队紧急暂停所有跨链服务,但超8000万美元资产已被转移,用户资金安全受到严重威胁,Mul
此后,行业掀起“安全升级潮”:LayerZero、Synapse等跨链桥开始引入“去中心化多签”(如由社区节点共同管理权限),并强制通过第三方审计机构(如OpenZeppelin、Trail of Bits)对核心代码进行压力测试;监管机构也加强对跨链协议的合规审查,要求其建立更透明的风险披露机制。
警示:加密世界的“安全没有侥幸”
POCHITA盗币案并非孤例,却因“攻击手法精密”与“损失金额巨大”成为DeFi安全的标志性事件,它警示行业:随着跨链、DeFi的复杂度提升,任何微小的代码漏洞都可能被放大为系统性风险,对用户而言,选择跨链服务时需优先评估协议的安全审计报告与去中心化程度;对项目方而言,“安全优先于效率”不应是一句空话——毕竟,在加密世界,一次漏洞足以让数亿财富灰飞烟灭。