因为自己是此次事件“受害者”，所以密切关注了整个事件的进展。我自己从一开始的茫然无措、悔恨交加，到后来患得患失、重拾希望，一周之内心情几度起伏犹如过山车。对这位传奇黑客的态度，也由恨不得时期肉，到敬佩有加。他归还资产以后我迫切地想要报答他的恩情，但是因为他已经拒绝接受捐赠，我能想到的方法就是把他的留言进行整理翻译，让更多的国内用户看到。也算是帮他的“教育和引导”事业尽一点微薄之力吧。

这篇翻译是基于 @Loganx2025 对信息的整理，再加上我从区块链上校对时间，进行一定的增减而成，感谢！原网站（Poly network and Hacker Communicate - Communicate）

因为最后证明他是一个白帽黑客，所以这里简称白客。 Poly网络，Poly团队是一个由NEO团队担纲（道听途说）的跨链团队，是本次黑客事件的目标项目，和Polygon（原Matic）不是一回事。 （P） 指 Poly团队公开发言 （白）指白客公开发言 （P-加密）指Poly团队通过加密通信给白客留言 （白-加密）指白客通过加密通信给Poly留言 背景 是我自己写的帮助理解上下文。 加密信息是后来白客陆续解密出来的，我按照他们发布的原始时间插入了通讯记录中，方便阅读。 因为以太坊留言的特点（谁都可以留言，交互页面复杂），Poly团队和白客沟通的时候可以明显感觉两边都遗漏了一些关键信息，没有及时互相反馈，造成了很多误解。希望日后有团队能开发出界面更友好的应用。

正文： 2021年8月10日 Aug-10-2021 02:36:01 PM +UTC Can you connect us? contact@poly.network

Aug-10-2021 03:26:28 PM +UTC

WONDER WHY TORNADO? WILL MINER STOP ME? TEACH ME PLZ! （白）我不能用TORNADO 洗钱吗？ 难道矿工会阻止我吗？！ 我拭目以待！

背景介绍:黑客事件发生后白客把USDC存入curve池中（他后来说是为了拿点利息），被很多人嘲笑很业余，不会洗钱。另外poly团队发布了一篇公告呼吁所有交易所、矿池封杀黑客地址。

Aug-10-2021 04:05:47 PM +UTC IT WOULD HAVE BEEN A BILLION HACK IF I HAD MOVED REMAINING SHITCOINS! DID I JUST SAVE THE PROJECT? NOT SO INTERESTED IN MONEY, NOW CONSIDERING RETURNING SOME TOKENS OR JUST LEAVING THEM HERE

（白）如果我把你们钱包 里空气币也盗走的话，这就是一个十亿美元规模的盗窃案了。从这个角度来首我是不是拯救了这个项目？ 另外我对钱不感兴趣，现在我在考虑要不要归还一些资产，或者把它们留在这个地址中。

Aug-10-2021 04:25:57 PM +UTC

We can offer you a security bounty when you return all the remaining assets.We will provide a secure address through e-mail.

（P）你如果归还剩余资产，我们可以提供给你一笔赏金。我们会通过邮件提供给你一个安全地址。

Aug-10-2021 04:39:03 PM +UTC

（白）如果我创造一个DAO自治组织然后发币来决定这些资产的命运如何？

The decision made by DAO can't changed the fact that the assets are stolen from crypto believers.We want to offer a security bounty and we hope it will be remembered as the biggest white hat hack in the history. （P）这些资产都是从加密币信仰者那里偷窃而来额，创造DAO来管理这些资产也改变不了这一点。 我们希望提供给你奖金（作为你还钱的奖励），希望这次事件作为有史以来最大的白帽黑客事件被铭记。

2021年8月11日

READY TO RETURN THE FUND! （白）我准备好归还资产了！

FAILED TO CONTACT THE POLY. I NEED A SECURED MULTISIG WALLET FROM YOU （白）联系Poly团队失败了。我需要一个安全的多签钱包地址。

Aug-11-2021 04:02:06 AM +UTC IT'S ALREADY A LEGEND TO WIN SO MUCH FORTUNE. IT WILL BE AN ETERNAL LEGEND TO SAVE THE WORLD. I MADE THE DECISION, NO MORE DAO

Aug-11-2021 04:07:48 AM +UTC

（P）我们正在准备一个由Poly钱包控制的多签地址。

Aug-11-2021 04:59:05 AM +UTC Hope you will transfer assets to addresses below: ETH: 0x71Fb9dB587F6d47Ac8192Cd76110E05B8fd2142f BSC: 0xEEBb0c4a5017bEd8079B88F35528eF2c722b31fc Polygon: 0xA4b291Ed1220310d3120f515B5B7AccaecD66F17 （P） 请归还资产到以下地址： （三条链上的poly钱包地址）

Aug-11-2021 07:50:12 AM +UTC ACCEPT DONATIONS TO "THE HIDDEN SIGNER" NOW. ENCRYPT YOUR MSG WITH HIS PUBKEY.

（白）可以给‘隐藏签字人’捐款了。可以用这个公钥加密信息。

背景介绍: 白客应该是私下联系了Poly团队，并生成了一个由自己和poly团队共同多签的钱包，他自己的签名额就是‘隐藏签字人’。他后面的信息公布了这个签名地址。

Aug-11-2021 08:43:57 AM +UTC

（白） 归还 100 USDC Aug-11-2021 08:46:43 AM +UTC

（白）归还 1000 USDC Aug-11-2021 08:58:23 AM +UTC

Aug-11-2021 09:45:52 AM +UTC You are moving things to the right direction. We received 1+M USDC on Polygon. Did you ask us to encrypt the receiving addresses with your BookKeeper public key? （P） 事情正朝着正确的方向前进。我们在Polygon链上钱包收到了 一百万以上的USDC。你上一条信息是让我们用你的记账员地址加密信息吗？

Aug-11-2021 09:47:55 AM +UTC （白）归还 0.6USDC

Aug-11-2021 09:48:28 AM +UTC （白）归还 38 BUSD

Aug-11-2021 09:49:10 AM +UTC

（白）归还 23.88 BTCB

Aug-11-2021 10:54:38 AM +UTC （白）归还 622 FEI

Aug-11-2021 10:59:14 AM +UTC （白）归还 259,737,345,149 SHIB

Aug-11-2021 12:07:35 PM +UTC

（白） 如果愿意支持我，我的捐款地址是 0xA87fB85A93Ca072Cd4e5F0D4f178Bc831Df8a00B， 如果想要发送加密信息也可以用这个公钥加密。

Aug-11-2021 12:12:16 PM +UTC DUMPING SHITCOINS FIRST! HOW ABOUT UNLOCKING MY USDT AFTER RETURNING ENOUGH USDC? （白） 你们先把空气币卖了还债吧！我已归还了足够多的USDC, 你们把USDT解锁了如何？ 背景介绍: USDT在黑客事件发生后冻结了白客地址内3300万USDT。

Aug-11-2021 01:15:56 PM +UTC "PING ME BACK IF YOU CAN HEAR ME." (MAYBE INCORRECT) （白-加密）如果能听到的话请回话

"OR LIKE THIS" (MAYBE INCORRECT) （白-加密）再测试

Aug-11-2021 02:01:41 PM +UTC （白）归还 1000 BTCB

Aug-11-2021 02:03:37 PM +UTC

（白）归还 26,629.17 ETH

Aug-11-2021 02:17:35 PM +UTC

（白）归还 119,664,866 BUSD

Aug-11-2021 02:19:33 PM +UTC （白）归还 10 BNB

（白）归还 6610 BNB

Aug-11-2021 02:37:21 PM +UTC

NO EMAIL. SORRY. THE ETHEREUM MEMORIZE. I MAY OR MAY NOT PUBLISH OUR CHAT LOG. YOU CAN CHOOSE TO BE TRANSPARENT AND TO SYNC WITH THE PUBLIC.

Aug-11-2021 02:39:22 PM +UTC JUST DUMPED ALL ASSETS ON BSC & POLYGON. HACKING FOR GOOD, I DID SAVE THE PROJECT （白）我已经把 BSC和polygon链上的所有资产都归还完毕了。我确实拯救了这个项目，黑了poly是在做好事。

Aug-11-2021 03:08:15 PM +UTC

（白） 接下来，你们把我的USDT解锁，然后我转回给你们。

Aug-11-2021 03:19:39 PM +UTC （白）归还 14.47 renBTC

Aug-11-2021 03:24:33 PM +UTC We will inform Tether as soon as you return all the asset in Polygon （P-加密） 你把Polygon上资产归还完毕后，我们会通知Tether解锁USDT。

Aug-11-2021 03:57:28 PM +UTC 白客Q&A 第一部分 （篇幅有限不放原文了）

Q: 为什么要黑Poly

A: 因为有趣 :)

Q: 为什么选择他们

A: 攻击跨链项目现在很火爆

Q: 为什么要把资产都转移走

A: 为了保证它们的安全。

当我发现这个BUG的时候，感觉颇为复杂。扪心自问，如果这么一大笔钱放在你眼前，你会作何感想？为什么不礼貌地告诉项目方让他们修复这个BUG呢？不！我不能相信任何人。任何人在十亿美元资产面前都有可能心生歹念。我能想到的唯一方案就是自己保持匿名的情况下把资产转移到一个我控制的安全的钱包中。

有些阴谋论可能会说我是团队内鬼。 我并不是内鬼，但谁知道呢？ 我做的事是在任何内鬼行动之前就把这个BUG公之于众。

Q: 为什么整的这么复杂

A: Poly网络是一个非常好的系统，我认为它是一个黑客可以享受到的最有难度的挑战之一。我必须在其他内鬼或者黑客之前行动。

Q: 你的身份暴露了吗

A: 从来没有。我很清楚暴露自己身份的后果，即使我不作恶。所以我用了临时邮箱，IP，还有所谓的“设备指纹”，这些都无法追踪。我宁可在黑暗中拯救世界。

We appreciate your returning of assets and the explanation of your motivation. We would like to work with you to resolve the current and future security issues of PolyNetwork. Please complete the returning of assets as you promised and let's move on. （P）我们很感激你归还资产，也理解你的行为动机。我们愿意和你一道解决poly网络现在和未来可能出现的安全问题。请您按照约定继续归还资产。

Aug-11-2021 04:31:12 PM +UTC 白客Q&A 第二部分 （篇幅有限不放原文了）

Q: 30小时前到底发生了什么？

A: 说来话长。

不管你们信不信，我其实是被逼着发动攻击的。

Poly 网络是个精巧复杂的系统。我没能构建一个本地测试环境，所以我一开始没有做概念验证攻击（POC attack 指以暴露问题为目标，不对系统造成真正伤害）。最后我快要放弃的时候灵机一动发现了一个方法。经过一整晚的编码，我精心准备了一条针对ONTOLOGY 网络的攻击信息（poly网络的核心部署在ontology上）。

我本准备发动一个闪电战，迅速拿下 ETH, BSC, POLYGON, HECO 四个网络的控制权。但没想到HECO 网络出错了！ HECO的中继器和其它网络不一样，一个记账合约直接中继了我的攻击信息，记账权限被更新成了一个错误的变量。这毁掉了我的计划。

这会我本可以停止，但是我决定让大戏接着上演。万一Poly团队秘密修复了BUG，我岂不是白忙乎一场？但我并不想真的在加密世界造成恐慌。所以我没动那些空气币，大家也就不用担心它们被砸盘归零了。我只拿了主流币（除了SHIB），而且没有卖任何币。

背景介绍：这里因为我不是网络安全背景，不知道他怎么攻击的。但是根据白客的表述，他原计划是把四个网络的管理权限都拿到手就行，并不转移资金。但是因为HECO的中继器出了问题，BUG已经暴露，他干脆把其他三个网络的资产全部转移。

Q: 那你为什么要把USDC换成DAI？

A: 当时POLY团队的行为把我给惹恼了。他们连我的信息都不等就急着甩锅，让很多人直接痛恨我。我当然知道有很多假冒矿币，但是我没有当回事 ，因为我从来没打算去洗钱。而且把稳定币存进curve还可以挣点利息，作为手续费来和Poly团队进行更充分的谈判。

Is this mailbox yours negotiations@cock.li （P-加密）请问这个邮箱是你的吗？

Please confirm your email is polyhacker@yandex.com, not negotiations@cock.li, too many fake emails. （P-加密）请确认你的邮箱，我们收到了很多仿冒邮件

Aug-11-2021 04:55:54 PM +UTC 白客Q&A 第三部分 （篇幅有限不放原文了）

Q: 为什么打赏13.37以太坊

A: 我感受到了以太坊社区的温暖。我当时正忙着检查HECO链上的BUG。存币不成功我以为是网络问题（当时我藏在一个复杂的代理网络中），那哥们提醒了我，所以我回馈了他的善意。

背景：Tether锁定了白客钱包中的USDT,所以白客将USDC USDT打包存入Curve的交易总是不能通过。一个网名 “hanashiro.eth”的人发消息提醒他USDT已拉黑，所以白客打赏了他13.37ETH。 另外1337 是网络黑话‘精英’的意思。

Q: 为什么提到了tornado和DAO

A: 我见过太多的黑客事件了，所以我知道如果把钱存进tornado是很好的洗钱方法，但是也是很严重的。这和我的初衷不符。众筹黑客只是我见到很多乞丐以后的一个笑话。

背景：黑客打赏13.37ETH以后有无数人去他账户乞讨。

Q: 为什么归还资产

A: 这一直是我的计划！ 我对钱不是太感兴趣！我知道人们被黑客攻击后十分痛苦，但是你们也应该长点心吧？我在午夜前宣布了退款决定，这样很多相信我的人应该可以睡个好觉。

背景： 白客说退款是在 03:48:18 AM UTC， 他这里说午夜前所以他是在 UTC-4?

Q: 为什么慢慢地还款？

A:我需要一点时间和Poly 团队沟通。这是我保护自己身份，同时确保自己体面的唯一途径。而且我也需要休息一下。

Q: POLY 团队怎么样了

A: 我已经和他们建立了加密通信通道，所有的信息都在以太坊区块链上记录着，我将来可能会公开这些加密通信。这应该是短暂但是印象深刻的一课。我可以给点小建议，帮助他们更好地维护这个保管十亿资产的项目。Poly网络是一个设计精巧的系统，它可以用来保管更多的资产。不管怎么说，经过这次事件，他们有了更多的网络曝光不是吗？

I DON'T USE EMAIL. FUCK polyhacker@yandex.com & negotiations@cock.li （白）我不用email，去你码的诈骗犯

DISCLAIMER: I HAVE NEVER ASKED FOR BOUNTY FROM POLY NETWORK WHAT I HAVE SAID IS ON THE CHAINS （白）声明：我从来没有给poly团队要过什么奖金，我说过的话都记录在链。

Aug-11-2021 06:59:00 PM +UTC 白客Q&A 第四部分 （篇幅有限不放原文了）

Q: “你为什么使用中心化交易所呢，菜鸡？”

A: 你高兴就好 ：）

这次行动的最核心部分是要调用ONTOLOGY 网络里的一个合约（我的最爱）。要在ONTOLOGY 上操作合约必须要使用 ONG币。 ONG这个币现在在去中心交易所里并没有，我只能在一些（好像是中国的）中心化交易所里找到这种币。所以我干脆都在中心交易所里买币得了。怎么，难道你觉得我会在那里留下什么痕迹吗？

Q: “为什么要还款呢，胆小鬼？”

A: 你高兴就好：）

“当你评断他人的时候，你定义的不是别人，而正是你自己。”-- 厄尔·南丁格尔

我已经在做自己最享受的事情：黑客和教育。只有少数黑客可以理解现在DEFI界的安全问题。虽然你对很多黑客攻击司空见惯，但是那些攻击对于真正的黑客来说了然无趣。那些就是一些屎代码导致的资金损失而已，一点都没意思。就像是在暴打小盆友。

我承认，对Poly网络的攻击可能并不想你想象的那么花哨，但是我确实从中学到了很多新东西。我想说，搞清楚Poly网络结构中的盲点是我一生中的高光时刻。

我已经从加密世界的成长中获得了足够多的财富。现在我正在寻找生命的意义。我希望自己的生命中充满了独一无二的历险，所以我采取不断学习，不断探索黑客技术，不断挑战命运。“向死而生”-- 马丁·海德格尔

Aug-11-2021 07:03:37 PM +UTC 'We appreciate you sharing your experience and believe your action constitutes white hat behavior. But we can't touch user assets and Poly Network doesn't have its own token. Since , we believe your action is white hat behavior, we plan to offer you a $500,000 bug bounty after you complete the refund fully. Also we assure you that you will not be accountable for this incident.

We hope that you can return all tokens as soon as possible. You can reserve the equivalent value of 500,000 USD in any assets to the current owner address. We will make up this part of the assets to Poly Network users.

Your contribution is very helpful to us. Again, we think this behavior is white hat behavior, therefor this 500,000 USD will be seen as completely legal bounty reward. We will also ensure that you will not be held accountable for this incident, and we will publicly express our gratitude to you.' （P-加密）我们很感谢您的分享，也相信这是一次白帽行动。但是我们不能动用用户的资产，Poly团队也没有发币。因为我们相信您是白客，我们准备在您归还资产后向您提供一份50万美元的赏金。最后，我们向您保证您不会被追究责任。

我们希望您能尽快归还全部资产。你可以留下50万美元等值资产，我们会用自有资金补偿用户。您的贡献对我们至关重要，所以这50万美元是合法的赏金收入。我们再次向您保证不会追究责任，也会公开向您表达谢意。

（白）归还 8400万 USDC

Aug-11-2021 07:12:14 PM +UTC

FOR MANY TIMES I THOUGHT I HAD SENT THE TRANSACTION BUT IT VANISHED. LOL （白） polygon网络也太不稳定了！ 我好多次以为我已经发送成功了交易，但不知怎么就消失了，哈哈哈。

Aug-11-2021 07:34:30 PM +UTC GUYS, ASK YOURSELF, IS THE POLY TEAM THE OWNER OF THE ASSETS? THEY ARE JUST THE MANAGER OF THE FUND! WILL YOU TEACH THEM HOW TO TRIGGER THEIR "BACKDOOR"? IN THE DEFI WORLD, YOU CAN TRUST NOBODY BUT THE CODE AND YOUSELF. TO THE "VICTIMS": I DON'T MEAN THE POLY TEAM IS NOT TRUSTWORTHY, BUT NONE OF YOU HAVE THE CHANCE TO CHALLENGE THEIR CODE WHICH SHOULD BE THE LAW. DON'T WORRY, YOU ARE NOT REAL VICTIMES. I SAVED YOU! （白）伙计们，好好想想，Poly 团队是这些资产的主人吗？当然不是，他们只是管理人而已！你会教他们怎么运用自己程序里的“后门”吗？在Defi的世界里，你们不能相信任何人！只能相信代码和你自己！

（白）归还 42000 UNI

Aug-11-2021 10:09:27 PM +UTC HELLO BEGGARS, WHY NOT ASKING MONEY FROM THE POLY MULTISIG WALLET? 0x71Fb9dB587F6d47Ac8192Cd76110E05B8fd2142f

（白）乞丐们，为啥不向Poly团队乞讨呢？他们的地址在此：...

Aug-11-2021 11:33:51 PM +UTC TO SUPPORTERS: DO NOT DONATE TO THIS ADDRESS. IT'S MIXING WITH THE POLY TOKENS. PLEASE SEND IT TO 0xA87fB85A93Ca072Cd4e5F0D4f178Bc831Df8a00B

2021 年 8 月12日 Aug-12-2021 01:46:42 AM +UTC SOME TIPS: AS YOU MAY ALREADY KNOW, I TRIGGERED A NATIVE CONTRACT ON ONTOLOGY WHICH CALLED CROSS CHAIN FUNCTIONS ON THE FOUR CHAINS. THE RELAYERS SHOULD IGNORE MY TRANSACTION SINCE IT'S NOT DEFINED IN THE CONFIG. THEN I NOTICED THE INVOCATION IS ALREADY RECORDED AND PROVED BY THE POLY CHAIN, SO I CAN QUERY THE LOGS AND REPLAY THEM ON THE DEST CHAINS"

（白-加密） 一个小提示：你们可能已经知道了，我通过ONTOLOGY 上的合约调用了其它四条链上的跨链函数。中继器本应该忽视我的请求，但是我发现我的调用已经被Poly批准和记录了，所以我通过这种方法在目标链上重放了攻击。

背景：从这开始是白客和Poly团队通过加密通道交流技术细节，因为技术背景不够翻译不足请见谅。

Aug-12-2021 02:06:00 AM +UTC YOU GUYS SHOULD HAVE ENOUGH FUND AND CREDIT TO START THE RECOVERING PHASE. FOR THE REST OF ASSETS, I'M CONSIDERING BUILDING A MULTISIG WALLET SHARED BETWEEN US. I WILL TRANSFER THE REMAININGS TO THAT WALLET. I WILL PROVIDE THE FINAL KEY AFTER IT'S SETTLED. YOU CAN CLAIM THAT YOU HAVE COLLECTED THE ASSETS EARLY. LET THE CRYPTO TALKS. I MAY DISCLOSE THIS MESSAGE LATER

Aug-12-2021 03:33:33 AM +UTC

THE POLY HAS WELL ENOUGH ASSETS TO START THE RECOVERING PHASE. I HAVE ASKED THE POLY TO SETUP A NEW MULTISIG WALLET. I CAN MOVE THE FUNDS ASAP. I WILL PROVIDE THE FINAL KEY WHEN EVERYONE IS READY.

（白）Poly团队已经拿到了足够多的退款来启动项目修复了。我让他们设立一个多钱钱包，最后的资产会转移到那里。当所有人的准备就绪的时候，我会公布私钥。

Aug-12-2021 05:00:14 AM +UTC 'We've had a fix. It had been cross-checked internally and reviewed by a well known security audit team.The multi-sig address we provided is safe, please send the remainings to that address. We will send you the 500k bounty when the remainings are returned except the frozen USDT.'

（P-加密）我们已经修补 了这个漏洞。而且代码已经被团队内部和外部的一个著名安全公司交叉检验过了。我们提供的多签地址很安全，请把剩余资产转入。我们会在您归还完毕（除了锁定的USDT）后给您转账50万美元。

· Aug-12-2021 08:31:09 AM +UTC

we are working on solutions based on your request

（P-加密）根据您的要求，我们正在商讨一个解决方案

· Aug-12-2021 10:12:10 AM +UTC

"We have prepared 160 ETH of bug bounty at 0x583E25dE879e90cF5fC637F8Dc16Db8F10D91C17, and we will transfer it to a designated address after receiving all the remaining assets.)

There are two options for the receiving address of user assets:

1. Transfer to the multi-sig address on Ethereum that we provided: 0x71Fb9dB587F6d47Ac8192Cd76110E05B8fd2142f. This solution is helpful for users to quickly restore control of their assets.

2. We prepare a 2-2 multi-sig address together. You will be one of the co-signers, and the other co-signer is our multi-sig address: 0x71Fb9dB587F6d47Ac8192Cd76110E05B8fd2142f. This solution requires you to sign and return the assets later.

At the same time, we expect to upgrade Poly Network and to fix the vulnerabilities tomorrow. We hope that we can receive the remaining assets today, so that Poly Network and the related projects can be resumed as soon as possible. We wish we can continue to have your assistance regarding security after this incident is resolved."

（P-加密）我们已经在 xxx 这个地址准备了160ETH 的赏金，而且会在您归还完资产后打入指定地址。

现在关于剩下的资产，我们有两个提议：

1. 打入我们掌管的钱包xxx。这样用户可以最快速的恢复他们的资产。

2. 我们准备了一个2-2 多签地址，由我们和您共管，这样的话最后动用资产还是需要您的私钥授权。

与此同时，我们正在修复Poly网络的bug，明天应该会完工。我们希望您今天可以归还资产，这样Poly网络和其他关联项目都可以尽快恢复。这次事件之后我们还希望和您就安全问题继续进行合作。

背景：这条关键信息白客后来解密的时候说自己没有及时读到，漏过去了。

· Aug-12-2021 11:16:53 AM +UTC

N FROM YOU, 2 FROM ME, MAKE A N+2/N+1 WALLET. 1 KEY WILL BE PUBLISHED, 1 KEY IS THE BACKUP. USE ADDRESSES: 0xDbfa1dC4c1F2bd322b067b8160830F478823059D AND 0x114A38E1f18504BfCc8e4cbfEfff879d2607cE62. TEST IT BEFORE USING IT.

（白-加密）做一个 N+2 /N+1 的多签钱包（需要N+2个私钥中的N+1个才可以解锁资产），其中你们掌管N个，我掌管2个。一个用于公布，另一个以备不测。用这两个地址xxxx, xxxx, 别忘了先测试一下。

· Aug-12-2021 11:50:38 AM +UTC

https://gnosis-safe.io/app/#/safes/0x34D6B21D7B773225A102b382815e00Ad876E23C2/transactions, please sign it

(P-加密) 请签字这笔交易 xxxxx

· Aug-12-2021 12:02:50 PM +UTC

TO DEFI NOOBS: MY INITIAL ATTEMPT WAS DEPOSITING THE STABLES FOR INTERESTS, ITS BENIGN AND SAFE. I DIDNT EVEN WANT TO CAUSE IMBALANCE OF THE STABLE POOLS BY SWAPPING. MY PLAN WAS HOLDING 3CRV UNTIL I REALIZED WITHDRAWING INTO USDC WOULD BE STUPID, THEN I HAD NO CHOICE BUT TO CONVERT THEM INTO DAI. ITS CLEARLY TRACABLE, WHY IS IT LAUNDERING?

（白）致Defi新手们：我的初衷是把稳定币存进去收点利息，这是良性的也很安全。我甚至还考虑到资产数量会不会影响稳定币资金池的构成比例。我原计划是持有3crv（curve的理财token）,但后来（USDT被封）我意识到提现为USDC和USDT是行不通的，只好把钱都换成了DAI。这些都是可以追踪的交易，和洗钱不沾边。

· Aug-12-2021 12:13:23 PM +UTC

TO DEFI NOOBS: WHY DO YOU THINK I HAVE NO WAY TO TRANSFER THE MONEY? BECAUSE ITS TOO MUCH? TORNADO IS POWERFUL ENOUGH, I COULD JUST TRANSFER 100ETH EVERY MONTH, HOW WOULD YOU IDENTIFY THE CASH FLOW? I TEASED THE CROWD, BUT I NEVER TRIED

（白）致Defi新手们：为啥你们认为我没法洗钱呢？因为数量太大吗？Tornado现在已经很强大了。如果需要的话我每个月洗100ETH完全没有问题。昨天那些话都是逗你们玩的，我从没想过这么做。

· Aug-12-2021 12:25:53 PM +UTC

TO CRYPTO NOOBS: IN THE DEFI WORLD, CODE IS LAW. THEN WHO IS THE ARBITRATOR? WE, THE HACKERS, ARE THE ARMED FORCES. IF YOU ARE GIVEN WEAPONS AND GUARDING BILLIONS FROM THE CROWD WHILE BEING ANONYMOUS, WILL YOU BE A TERRORIST OR THE BATMAN?

（白）致加密币新手们：在Defi的世界里，代码即法律。那么问题来了，谁是仲裁者呢？ 我们黑客，是这个世界的武装力量。如果给你武器来守护数以十亿记的大众财产，还是匿名的情况下，你会做一个恐怖分子还是蝙蝠侠？

· Aug-12-2021 12:42:47 PM +UTC

TO SECURITY NOOBS: NO SYSTEM IS PERFECT. I DONT THINK YOU SHOULD BLAME THE POLY TEAM OR THEIR AUDITORS. FROM MY EXPERIENCE, IT'S NOT TRIVIAL FOR A SINGLE ENTITY TO UNDERSTAND THE WHOLE LOGIC OF THE POLY NETWORK SYSTEM, IT'S EVEN HARDER TO FIGURE OUT THE SUBTLE BUG. WHAT I EXPECT YOU TO KNOW IS THAT DO NOT BET YOUR WHOLE LIFE ON SOMETHING YOU MAY NEVER UNDERSTAND!

（白）致网络安全新手们： 没有任何系统是绝对安全的。我不认为你们应该去责怪Poly团队或者他们的审计团队。从我的角度来看，任何人去完全理解Poly网络整个系统的运行逻辑都不是一件容易的事，更别提找到这个细微的BUG了。我希望你们得到的教训是：不要把全部资产、全部希望放在一个你不理解的项目里！

· Aug-12-2021 01:04:04 PM +UTC

TO SECURITY NOOBS: CEX OR DEX, WHICH ONE IS SAFER? IT DPENDS ON WHETHER YOU KNOW HOW TO PROTECT YOURSELF. IN MY CASE, THE TOTAL COST IS HUNDERDS OF USD. NO KYC. EVERYTHING IN THE DEX IS TEMPORARY. I WOULD CALL IT THE BAIT.

（白）致网络安全新手们： CEX（中心化交易所） 和 DEX（去中心化交易所），哪个更安全点？这取决于你是否知道如何保护自己。以我这次行动来说，所有的花费就是几百刀。没有KYC（交易所身份验证）。所有在交易所的记录都是假的。是‘诱饵’。

· Aug-12-2021 01:30:31 PM +UTC

JUST CONFIRMED THE SHARED MULTISIG WALLET WITH THE POLY!!!

（白）刚刚和Poy团队确认了共管多签钱包的地址！

· Aug-12-2021 01:39:08 PM +UTC

（白）向共管钱包归还 1023 wBTC

· Aug-12-2021 02:52:12 PM +UTC

（白）向共管钱包归还 9600万 DAI

· Aug-12-2021 03:25:04 PM +UTC

NOW COMES THE LAST TOKEN, ETH! HOWEVER, I AM TERRIFIED FOR THE FIRST TIME! THEY ARE CALLING ME MR. 600 MILLION, BUT THE PRICE OF ETH IS GOING DOWN RECENTLY, WHAT IF MY BALANCE CAN NOT COVER THE DEBT? ETH TO THE MOON PLZ!

（白）现在就剩下最后一个代币，ETH了。 但是，我现在感觉有点害怕。现在人们都叫我 “六亿美元先生”，但是这两天ETH的价格下跌了，这些资产已经没有六亿美元了。请大家把ETH拉上天！

· Aug-12-2021 03:40:04 PM +UTC

（白）向共管钱包归还 28953 ETH

· Aug-12-2021 05:22:29 PM +UTC

We have received all the assets and we expect to restart Poly Network as soon as possible this week. Therefore, to restore all assets according to the original ratio, we hope that you can provide us with the private key of one of the multi-sig addresses .)

（P-加密）我们已经收到了所有的资产，希望这周可以重启Poly网络。所以我们希望您可以提供给我们一个共管账号私钥，这样我们就可以把所有的资产比例回复到原始状态。

· Aug-12-2021 05:38:07 PM +UTC

"We are discussing with Tether team about the locked USDT."

（P-加密）我们正在和Tether讨论解锁USDT的问题

背景：后来白客解密这条信息的时候注明他当时没有及时读到这条信息（missed）

· Aug-12-2021 06:05:23 PM +UTC

I WOULD SAY ITS A BIT RISKY TO RELAUNCH THE ORIGINAL MAINNET IN THIS WEEK. AFTER THIS INCIDENT, THE POLY IS EXPOSED TO MANY GREEDY HACKERS. YOU MAY PROVIDE A DECENT BOUNTY TO OTHER SECURITY EXPERTS SO THAT THEY WILL STAND ON YOUR SIDE. IN THE MEANWHILE, OFFERING A NEW TOKEN FOR COMPENSATION SEEMS TO BE THE STANDARD PROCEDURE IN THE DEFI WORLD. I THINK PEOPLE WILL UNDERSTAND THE SITUATION.

（白）我觉得这一周重启Poly网络有点冒险。经过这次事件，Poly已经被很多贪婪的怀黑客注意到了。你们可以向其他的安全专家提供一笔赏金让他们也来帮忙。同时你们也可以发行一个新Token来补偿受害者，这似乎是Defi世界的默认做法。我觉得大家会理解的。

· Aug-12-2021 07:18:17 PM +UTC

I FELT SORRY FOR ANY INNOCENT PEOPLE WHO WERE AFFECTED BY MY WILD ADVENTURE. I TRIED TO AVOID INTRODUCING ANY NOISES TO THE CRYPTO WORLD: NO TOUCHING SHITCOINS, NO DOING HUGE SWAP, NO DUMPING VALUABLE ASSETS. HOWEVER, EVEN THE AVENGERS HAVE TO FACE ENDLESS LAWSUITS FROM THE CIVILIANS. SERIOUSLY I AM CONSIDERING TAKING THE LIMITED BOUNTY AS ONE SOURCE OF THE COMPENSATION FUND FOR UNEXPECTED VICTIMS, BUT IT'S HARD TO PROVE THAT YOUR LOSS IS MY FAULT ESPECIALLY WHEN YOU ARE ALREADY GAMBLING BEYOND YOUR CAPABILITY. ANOTHER EMBARASSING FACT IS THAT REFUGEES HAVE ALREADY TAKEN OVER MY MESSAGE LIST, IT'S HARD FOR YOU TO COMPETE AGAINST THEM WITH YOUR TRUE STORY. ANY WAY, I WILL TRY TO DO SOMETHING. DONATIONS ARE ACCEPTED AT 0xA87fB85A93Ca072Cd4e5F0D4f178Bc831Df8a00B, IT WILL BE THE MAIN SOURCE OF THE FUND.

（白）对于那些被我狂野冒险影响到的无辜人群，我很抱歉。我已经采取了一些措施来避免过多影响加密世界，包括：不碰空气币，不做大额交易，不卖资产。 可是连复仇者联盟都要面对无尽的法律诉讼。现在我正在严肃考虑要不要拿一些赏金来补偿受害者。可难点是你很难证明你的损失是由于我的行动造成的（尤其是那些加杠杆的赌徒）。还有一个尴尬的事实是，“难民”已经霸占了我的消息列表，即使你是真的受害者，你也很难和他们竞争。无论如何，我还是要试着做一些事情，如果有人想捐款，请打给这个地址xxxx，我会用它作为补偿受害者的资金。

· Aug-12-2021 10:18:45 PM +UTC

白客Q&A 第五部分 （篇幅有限不放原文了）

Q: 为什么要做问答实录呢，是你在忏悔吗

A: 这更像是一个日记，记录着一些让我自豪的事情。

Q: 为什么打字全用大写

A: 我不在乎金钱

（黑客似乎误解了这个问题，CAPITAL 即是大写也是资本的意思）

Q: 你的英语为什么这么渣

A: 因为英语不是母语（身份线索1）。我只是想表达自己的真实感情，没有过多修饰。更何况按着“shift”键打字一点也不轻松。

Q: 你是白帽黑客还是黑帽黑客

A: 我也很享受评断别人贴标签，但是这一点不简单。不光是在法律框架下行动的人才叫‘白帽黑客’。你口中的“黑帽”也可能是个好人。一样米养百样人。黑白之间还有灰。

Q: 难道白帽黑客不应该直接通知开发者修补漏洞吗？

A: 请回去读第一部分的 Q1-Q4. Defi世界是个黑暗森林，每年都有数以百计的项目跑路，我不相信任何人（包括开发者）

Q: 为什么从一开始就隐藏身份

A: 任何因素都有可能导致危险，即使你做的是合法善行。作为安全专家我很在意安全。

Q: 为何解释这么多？

A: 回去读第四部分的 Q2。教育别人对我来说很重要。我可以分享一下自己是如何克服自己的傲慢和贪婪的情绪的，这一点不比黑客攻击轻松。

实话实说，当时这个攻击奏效的时候我太兴奋了，而且有很多计划之外的变故（第二部分Q1），我几乎忘记了自己的初衷。我发布的第一条信息（第三部分Q1）说的是我的一些个人创造性想法。我花了一些时间在留言清单里寻找有趣且理性的创意。因为我很自信自己的身份是隐匿的，所以只要不造成任何损失我就可以慢慢来。后来看到那些defi“难民”，我渐渐冷静下来了。我意识到即使暂时地接管这些资产也是一个无法原谅的笑话，这已经造成了很多的苦难。

我解释一下之前的“十亿美金空气币”的玩笑。我意思是如果我把空气币也都提走，那这件事的新闻标题就是十亿美金，会更吸引眼球。但是结果还是一样的，即使是空气币我也不会去砸盘。但是好像这个玩笑不怎么样。至于“DAO”的玩笑，我是在问社区何时退款，如何退款。但是好像也造成了很多困扰，是不负责任的。

我从来不害怕身份暴露，洗钱也一点不麻烦（看我之前的新手教程）。我只是意识到了我必须谨言慎行，因为任何决定都会影响很多人的生活！如果我把资产留在这然后撒手不管，我自己还是是百万富翁，还是可以过得不错，但是数以千计的人会对自己的命运失去控制。这和我的人生哲学相冲突（第四部分Q2）。

所以我很快给Poly团队发了一封附带签名交易的匿名邮件，如果他们收到了我的邮件，就可以按照指示发布这笔交易（这样两方就接头了）。这个行动太蠢了，因为我要等他们发布交易之前我自己不能发布任何信息（以太坊工作机制）。现在看来他们是没看到那封邮件，但是这个不成功的接头行动浪费了我好几个小时。

接下来的故事你们都知道了，我停止了不负责任的游戏，退回了所有资产。正如我之前计划的，之前保证过的那样。

Q: 即使你现在没有暴露，他们也掌握了你的线索，你现在肯定很慌！

A: 在这一点上我比别人有信心得多。现实世界里我是一个高端黑客（身份线索2）。我从小（身份线索3）就致力于黑客事业，现在也在网络安全界工作。说正经的，作为安全专家，我们的工作是在黑暗中拯救世界。

我知道安全咨询是十分辛苦的工作，公关和声誉至关重要。所以如果对他们有利的话，我不介意一些安全团队利用这次事件去打广告。引起人们对安全的关注也是很重要的任务。

如果任何黑客可以在一个月之内找到我的社会信息，我会送给他一个个人小礼物。如果没人做得到，我可能不会再继续泄露个人身份线索了。有人来挑战吗？

即使我被找到了，我仍然对自己的正直感到自豪！

2021年8月13日

· Aug-13-2021 12:13:03 PM +UTC

白客Q&A 第六部分 （篇幅有限不放原文了）

Q: 有些安全团队说他们已经找了特种力量去抓你

A: 你意思是他们给FBI 打电话了吗？有什么证据？事实上我不认为他们有联系过我，我会检查一下自己的信息列表。我很高兴一些安全团队可能会从这场“游戏”中受益。对研究人员来说，研究攻击本身就是一种享受。

Q: 对于这些安全团队你有什么说的？

A: 对我来说，观察区块链业内顶级安全团队的应急反应很有趣。

这是我了解到的时间线（注：时间线可能是错误的）：一开始，大多数专家都在谈论是团队内鬼用单个的记账员私钥盗走了资产。据我所知，@kelvinfichter是第一个指出ETH合约中最关键但也最明显错误的人。然后慢雾团队咬了我的“身份鱼饵”，宣布了关于资金踪迹的好消息。难道他们不觉得我的行动资金钱包标记为“Hoo交易所”这也太明显了吗？不管如何，他们让社区冷静了下来。这虽然副作用，不过也十分重要。然后他们好像是去忙于应对各种媒体和社区的采访和质疑了。他们帮我做了教育科普工作，我还是很高兴的，蝙蝠侠找到了哈维·丹特（双面人）！谢谢你们，漫雾团队。其他安全团队似乎没有慢雾那么活跃，但他们也解释了这次攻击的更多细节。我认为Certik是第一个发布关于ONTOLOGY调用的团队。派盾提到了启动交易和特殊签名人。牛逼！

Q: 关于Defi/区块链安全，有什么想说的吗？

网络安全是一项艰巨的工作，无论是在传统世界还是加密世界。大多数情况下，安全专家只在事件后才被叫过来，写写事件复盘报告，有时会追踪罪犯。但是也有一些加密项目不是非常迫切地寻回资金，毕竟这不是他们自己的钱嘛。他们会告诉真正的受害者：“抱歉，我们尝试了，但绝对安全谁也没法保证”。

另一个有趣的事实是，很少看到任何专业的安全团队（在黑客动手前）报告已上线合约的关键漏洞。他们总能在这些项目“死后”告诉你死因，但是为什么从来没见过安全团队提前发现过百万乃至数十亿美元漏洞的案例？难道是因为项目方没付钱吗？我想大多数安全团队都比我有钱，有些团队可能比我更有能力，你相信他们从来没有遇到过类似的诱惑吗？还是其中的一些人向邪恶屈服了？这让人想起了电影《网络谜踪》。这只是我的阴谋论，这就是我不相信任何人的原因，但你们可以永远信任我。

Aug-13-2021 03:03:25 PM +UTC

（P-加密）为了安全地重启Poly网络，我们计划分5步走：1.修复漏洞。我们会和多个安全团队合作，先修补关键漏洞；同时提供一个全球赏金计划，邀请更多的安全团队和白帽组织来做安全审核。2.主网升级。经过安全审计后，我们会尽快升级主网并回复跨链功能。其他的高级功能升级会被暂缓。3.逐步恢复相关项目的功能。通过安全团队审核后，我们会逐步开放一些其他使用Poly的项目的跨链功能。4.资产恢复。经过您秘钥授权后，我们会尽快恢复资产，让用户自由地冲提。5.重新开放所有服务。所有资产恢复以后，我们会恢复poly网络的所有功能。

2021 年8月14日

Aug-14-2021 04:43:05 AM +UTC

"This is the PR to fix vulnerability, add whiteList contract and method by KSlashh · Pull Request #12 · polynetwork/eth-contracts"

(P-加密）这是我们修复漏洞的代码：xxxxx

2021 年8月15日

Aug-15-2021 01:21:49 PM +UTC

We will update the mainnet and enable the cross-chain functions tomorrow. In addition to the 160 ETH Bounty (converted from $500k at then) we previously promised, we will release a new $500k Bounty Program for global security agencies. Before that we also expect to get your comments on this Hotfix PR

(P-加密）我们明天会升级主网，重启跨链功能。另外除了之前许诺给您的160ETH （购买市价50万美元），我们还会给全球的安全机构提供一个50万美元的赏金计划。另外能不能听听您对于昨天那个修补程序的看法？

背景：后来白客解密这条信息的时候注明他当时没有及时读到这条信息（missed）

Aug-15-2021 03:29:07 PM +UTC

（白-加密）说实话我认为Poly网络是一件杰作！它比其他的跨链项目都设计地更为细致。但是因为其复杂性，也更难审查。我试着说服社区Poly有成为最成功的跨链项目的潜质（它本来就是），但是现在有一些安全团队正在贬低你们的项目来夸耀他们的分析报告。我从没有想过伤害专心做项目的开发者，但是我也控制不了媒体。你们也知道，Poly网络需要注册，这一部分是中心化的我没法控制我也不信任，所以我只能在（有可能的）内鬼来得及行动之前引爆漏洞来拯救资产。对于你们的中心化，我还是认为这是一个十亿美元项目里的大漏洞，不论合约有多安全。你们可以随意公布这条信息。顺便问一句，我听说这个项目里的用户大多数是亚裔或者中国Defi玩家，但是我在公开信息渠道没有听到任何声音，你们有什么渠道了解社区信息的吗？

Aug-15-2021 04:51:43 PM +UTC

（白）我真是受宠若惊。我一直在寻找有趣但是理性的创意，和你们分享一二：

1.可以把ETH网络变成一个真正匿名的推特或者微信。正如你们所见，我和Poly团队在谈判中遇到的障碍是事件进展缓慢的真正原因，最主要的是我们花了数小时时间才达成一致到底如何通信！ 以太坊有潜力成为一个安全且匿名的通信渠道，但是对于一般用户来说很不友好。从以太坊区块链中提取信息需要一点技术，更别提给信息加密了。我还没做过相关调研，不知道有没有类似项目。另外网络手续费也不是一般人能负担得起的（那些“难民”乞丐倒是一点没耽误）。有没有什么办法能把ETH网络费降下来让大家发的起消息？或者做一个链上Snapchat？

2.当我在Defi世界中漫游的时候，影响力和难度是我寻找目标的两个主要因素。就像我之前说的那样，Defi界中的黑客没有网络世界（他应该是指非加密币界）中的硬核黑客有趣，但是还是很热，因为加密币泡沫还有太多玩命冲的韭菜。我接下来会花大多数时间去学习和探索一些对真实世界更重要的项目，但是或许某个黑夜也会来加密界看看有没有什么漏洞可以研究。根据我在这次事件中的所作所为，我觉得用这个地址去做白帽攻击，人们应该会更放心一点。

对了，菜鸟们，你们要知道，黑客攻击和黑客攻击之间是不同的：有些行为是绝对犯法的，比如跑路或者偷盗别人的私钥；但是有一些，比如我这种试探漏洞的，则像是念咒语来唤醒野兽。在这次Poly攻击中，我只是使用一些合法的指令，调用了系统内部逻辑去‘毁灭自己’。而且，这个过程不会对他们的代币经济系统造成任何伤害。不像是有些黑客，他们攻击得手后会把项目方的代币进行砸盘来牟利，这通常会对整个项目造成永久性损伤。这就是说，我未来的冒险中不会出现这种情况，毕竟保护资产一直是我的首要目标。

Aug-15-2021 05:22:20 PM +UTC

白客Q&A 第七部分 （篇幅有限不放原文了，这部分只有回答，问题是网友之前提的，我自己补充了一下）

Q：Poly这个项目还能继续使用吗

A: 我很有把握Poly团队有意愿和能力去修复、巩固他们项目的安全，毕竟之前的系统已经十分完善了。我唯一的担忧是，poly网络最核心的部分不是很去中心化，但这个我也无能为力。也许我是错的。

Q：最后一部分资产存放在多签钱包里，是怎么回事

A: 我掌握着两个私钥，一个用于公布，另一个是备用的。你可以向Poly团队询问细节。

Q：以后还会再做黑客吗？

A: 这个故事有个完美结局，但这不是我历险的终点。你觉得这个地址的信用会不会帮到黑暗骑士？

Q：你现在在干什么

A: 现在是周末了，我正在看《人之怒》（这算不算身份线索4？）

· Aug-15-2021 06:28:58 PM +UTC

（白）这不是问答环节，而是我的郑重警告！因为我无法倾听所有的声音，我十分担心你们有些人根本不了解这个野蛮加密世界里的危险。我也希望媒体更严肃的报道我的意见。我花了很多时间来解释网络安全，我声明自己一直很安全隐匿，为什么呢？难道是为了吹嘘自己吗？有些人把我的行为解读成“他这都是虚张声势，他怂了，因为安全团队已经抓到他了”。 能醒醒吗你们？安全团队也不是神，他们救不了你！我也救不了你！你只能学着保护自己！我已经和你们解释了现在安全产业的现状（第六部分Q1,Q3）。作为安全专家，我们知道怎么追踪坏人，同理，我们也知道怎么隐藏行踪。在现实世界里你有政府和警察，但是加密世界里没有！我费劲和你们说我没有暴露，告诉你们洗钱一点也不费劲，就是为了说服你们，总有黑客可以完美作案，对你们造成永久损伤但是他自己脱身而去，不留行踪！别再天真了，别太相信所谓的“专家”，尤其是那些声称“很明显加密世界可以被监管”的人。你们得要么学会保护自己，要么就滚开别玩了。

2021年8月16日 · Aug-16-2021 03:31:16 AM +UTC

NOT APPROPRIATE FOR DISCLOSURE DUE TO PRIVACY CONCERNS

（P-加密） 因为隐私因素，不能和您透露这些。

背景：这是回复之前白客问他们有没有和中国社区的沟通渠道

Aug-16-2021 11:30:42 AM

"Today the Poly Network mainnet has been relaunched, and the cross-chain transfer has been enabled for some projects . Thank you very much for your support and assistance. We have carefully reviewed your suggestions to everyone. As you mentioned yesterday, "SINCE PROTECTING THE ASSETS IS ALWAYS MY FIRST PRIORITY", we hope to restore the ability to use and make cross-chain transfers of major assets to our users as soon as possible. We would like to know in which way you plan to transfer your private key to us. This will speed up the process of giving the control of assets back to users."

（P-加密） 今天Poly网络的主网重启了，一些项目的跨链功能也恢复了。十分感谢您的支持帮助。我们仔细回顾了您对于大家的建议。就像您昨天说的那样“保护资产一直是我的头号目标”，我们也希望能尽快恢复用户的资产，让他们自由地存取、跨链。您打算怎么给我们共管账户私钥呢？我们先沟通可以加速资产恢复进程。

· Aug-16-2021 01:45:13 PM

（白）感谢您的建议。关于这个故事99%都是正确的，但是缺了最关键的一点：你们并不了解我。金钱对我来说并不重要，有些人收钱去做黑客攻击，但是我宁愿付钱去做有意思的事情。我正在考虑接受Poly的奖金，并把它作为一个公开奖池。如果谁不服，能去黑掉Poly，现在他可以得到双倍奖励了。如果Poly不给我奖励（大家好像都这么想的），那我也有足够的钱去做这件事。虽然只是一个很好玩的点子，但为什么不呢？如果你还是理解不了我的想法，去问问你的富人朋友，金钱是什么。

我相信Poly的代码，我赞赏这个项目的整体设计，但是我从来不相信Poly团队的人。我唯一的负罪感是从那些defi难民处来的。从我做出那个决定以来所有的事就确定了。我有点差异你们竟然管他们叫“专业谈判团队”，回去看看他们的措辞和语气好吗？如果Poly团队一开始就弄明白我的想法，就能少丢人现眼一点了。我公布他们的请求只是为了让这个项目继续走下去。是什么给了你错觉，觉得他们在主导这个游戏？

背景：白客在回复网友提问。

· Aug-16-2021 04:56:11 PM +UTC

白客Q&A 第八部分 （篇幅有限不放原文了）

Q: 什么时候公布公管钱包的秘钥呢

A: 我之前说过“我会在所有人准备好的时候公布秘钥”。现在我还是这么想的，但是我有点怕这会变成一个没完没了的争斗。所以我有可能会在社区了解了一切后提前公布秘钥。

Q: 现在的合约安全性如何

A: 一言难尽。我把这次行动的细节作为一个挑战留给了这些安全团队，在第一部分Q3,Q4, 第二部分Q1中留下了一些线索。可能有些人假装看不见这些吧。如果你能好好看看我的日记，好好读一下代码，也许就能理解我的行为了，你也就知道为什么把资产转移出去才是保证它们安全的方法。

在这次黑客行动中，我欺骗了记账合约，让它们批准了一个可以更新管理员合约中记账者身份的交易。然后我就取得了管理员合约权限，管理员有权合法操作资金池。有些天真的黑客会说：当你取得权限以后就应该和开发者团队通报，否则你就不是个好东西。当然，事实是我继续了行动，不仅为了有趣（主要原因），还因为我之前提到的信任问题。Poly的所有审计和安全设计都是针对跨链管理员合约（ECCM）的，但是ECCM有最高权限吗？并没有！资金池会向跨链管理员代理合约（ECCMP）询问谁有权限，ECCMP才是资金池的主人。简单来说 ，Vault的主人拥有超级权限，可以绕过ECCM里所有的安全机制。

超级权限在Defi世界里好像是个常规做法。很多开发团队设计的系统也有类似的机制，他们从来没有想过将来怎么处理十亿美金级别资金的信任问题。我更愿意看到某个项目把数以亿计的资金保管在一个无需信任的系统中，而且不需要什么私有链作为中继。信任开发者签名私钥约等于信任一个多签钱包。现在整个项目进展都暴露在大众眼中，如果大家都准备好最后一步了，我会很高兴卸下这个监督的重担。

2021 年8月17日 · Aug-17-2021 12:54:02 PM +UTC

MY BAD JOKE TODAY: P: SIR, COULD YOU PLEASE UNLOCK THE ACCOUNT WE SCREWED UP LAST WEEK? T: WHICH ONE? P: THE WHITE HAT HACKER. HE IS THE SAVIOR. T: NO. WE WERE TOLD THAT HE WAS A BAD GUY. P: WHO SAID THAT? T: IT'S YOU. P: ... P: BUT HOW COULD I PAY HIM IN T? T: ... T: ANY WAY YOU SHOULD NOT TRUST ANY ANONYMOUS GUY IN THE CRYPTO WORLD. P: SURE, BUT I PREFER TRUSTING MY CHIEF SECURITY ADVISOR RATHER THAN A DICTATOR. JUST FOR FUN

（白）今天有个笑话，博君一笑：

Poly：请问您能不能解锁一下我们账户里的USDT呢？就是上周我们被黑的那些。

Tether：哪个？

Poly:就是那个白帽黑客，他实际上是个好人。

Tether：不行，有人告诉我们说他是坏人。

Poly: 谁说的?

Tether: 你啊.

Poly: ... 但是我们要给他付款USDT

Tether: ... 总之呢，你们不能相信一个匿名的人。

Poly: 好啊，但是他现在是我们的首席安全官了，我们更愿意相信他而不是你。

2021 年8月18日 · Aug-18-2021 07:15:38 AM +UTC

（P）亲爱的白帽先生：

根据您在链上留言中的想法，我们Poly团队觉得和您有共同的愿景 – 就是在区块链上创造一个安全、透明、去中心化的跨链合约。如果我们能携手前进，这将是业内的一段佳话。我们认为第一步是不是可以把之前约定的160ETH 奖金，作为一个安全基金由您管理？如果您个人不需要的话可以把它们奖励给未来为业内安全作出杰出贡献的人。区块链是一个崭新的世界，但是短时间内它和很多人的生活息息相关。从这个事件发生开始，我们的团队就夜以继日地工作，以尽快回复Poly网络。现在有很多项目使用Poly网络作为基础设施，我们想尽量减少对它们的影响。所以最快的恢复网络服务是我们的头等大事。Poly网络上的资金并不属于我们团队，而是用户的（现在有很多用户仍处于恐慌中）。我们希望您能尽快把共管私钥提供给我们，这样我们就可以恢复用户资产，解除恐慌。

（中间一大段说他们团队愿景的我懒得翻译了）

在这次事件之前，我们已经决定了会把Poly网络逐渐升级为一个完全去中心化的网络。这原计划将在大概两个月后实行（代码链接https://github.com/polynetwork/Zion）。这次升级以后网络会有全新的共识机制、代码构架和代币模型。我们本计划在8月18号Poly主网上线周年纪念日公布这个消息。所以您可以放心，我们去中心化的目标和您是一致的。

（中间一大段说他们的升级计划实际上就是解决白客顾虑的去中心化问题，他们还邀请白客来一起建设Poly。就不翻译了）

背景：个人感觉Poly的这篇作文又臭又长，缺少重点。

· Aug-18-2021 12:16:49 PM +UTC

DEAR POLY, GLAD TO SEE THAT YOU ARE MOVING THINGS TO THE RIGHT DIRECTION! YOUR ESSAYS ARE VERY CONVINCING WHILE YOUR ACTIONS ARE SHOWING YOUR DISTRUST, WHAT A FUNNY GAME. YOU DON'T EVEN THINK TO UNLOCK MY USDT ACCOUNT. I AM NOT READY TO PUBLISH THE KEY IN THIS WEEK. IF YOU ARE WORRY ABOUT THE INTEREST, I COULD SIGN THE TRANSACTION OF DAI TOKEN TO THE PREVIOUS MULTISIG WALLET, THEN YOU CAN DEPOSIT THE STABLES LIKE WHAT I DID LAST WEEK. NOW IT'S THE SAME SITUATION WITH A FEW DAYS AGO: IF YOU TRUST ME, YOU CAN HAVE A GOOD REST AND FOCUS ON THE REPAIRING AND RESTORING PROCESS. HERE IS ONE THING THAT YOU CAN ALWAYS TRUST ME: HOLDING BTC & ETH IS BETTER THAN TRADING THEM.

（白）亲爱的Poly团队：我很高兴你们前进的方向是正确的。你们的小作文令人信服但是你们的行动展现出了对我的不信任，有意思。你们甚至不想解锁我的USDT钱包。我这周不准备公布私钥。如果你们担心的是资产生息问题，那我可以向共管钱包签字，把DAI存入curve。 现在问题又回到了原点，如果你们信任我，那你们就可以去好好休息或者专心修复项目。至少把BTC和ETH放在我这HOLD比拿去胡乱交易要强多了。

背景：白客应该是想解锁USDT以后再公布秘钥。但是Poly应该是想归还所有资产再解锁USDT。

· Aug-18-2021 04:27:54 PM +UTC

(P)亲爱的白帽先生：谢谢您的建议，但是完全返回用户的资产之前我们是不可能好好休息的。对于我们来说，还有很多工作需要完成。其中尽快恢复资产是头等大事。至于您提到的冻结USDT的问题，我们已经和Tether联系过了。Tether说如何处理这些锁定的USDT需要经过他们仔细考虑，谨慎抉择。我们认为他们应该会很快做出决定，别忘了我们也需要这部分USDT来完成资产恢复。我们理解您要把DAI存入curve生息的主意，但是我们没有权利这么使用用户资产。我们想要做的是把DAI转换成USDC 然后还给用户，一切滑点由我们团队承担。所以我们希望您能把DAI先还给我们，这样我们就可以有时间转换USDC来减少滑点损失。与此同时，您没有回复我们关于奖金的提议，所以我们自作主张把160ETH的奖金存入了您的地址。希望您能用它来激励安全专家们为区块链的未来做出贡献。关于Poly网络的去中心化升级，我们希望用多签中继链验证者来监管升级，如果您愿意的话我们希望您也可以来做为验证者。最后，我们还是希望您能在本周公布私钥，因为数以千记的用户正在等待我们归还资产。资产归还越快，负面影响就越小。这是我们希望为用户所做的。

Aug-18-2021 10:49:39 PM +UTC

I SEE YOUR POINT. PLEASE BE PATIENT. JUST SIGNED TRANSACTIONS OF USDC & DAI A FEW HOUR AGO.

（白）我知道了。请耐心点。我已经签字了你们之前发给我的 DAI/USDC交易。

· Aug-18-2021 11:18:19 PM +UTC

I GOT TONS OF CHINESE COMMENTS ON MY BSC ADDERSS. SOME RANDOM STUFF IS FUN. BUT WHY ARE THEY ASSUMING HACKERS ARE BLACK PEOPLE? ISNT THAT WEIRD?

（白-加密）我在BSC链上收到了一堆来自中国的留言。有很多有趣的东西，但为什么他们在说黑客是黑人？

背景：他这里应该是用了机翻。把黑帽、黑客之类的翻译成了黑人。

2021 年8月19日 · Aug-19-2021 03:19:43 PM +UTC

（白）这不是问答环节，而是从我的角度看到的一个真实的故事。和一个中国团队合作可能是我这辈子最怪的经历。这群人（poly团队）给我的感觉很不一致：他们做东西的时候漫不经心，但是修补漏洞又特别迅速；他们很会讨价还价、自吹自擂；他们懂得如何给甜枣如何挥大棒；他们设计出了一个复杂的加密协议，但是现实生活中缺乏沟通能力。我一直努力通过以太坊网络和他们合作，这本应该优雅又高效，但是事实并非如此。光是初步建立加密通信通道就花了几个小时时间。因为这个加密通道是为了我们双方沟通合约漏洞的，现在漏洞已经修复，我会在此公布我们所有的加密通信。

一开始，我就是想要让这次事件有个完美结局，所以我执着于解锁并归还那些锁定的USDT。我能理解那些中国人害怕被我骗，所以我提出我可以归还远远多于USDT的资产，这样他们反正也不亏。于是我归还了BSC 和 matic 网络上的所有资产。 但是我觉得自己的好心被当成了驴肝肺。他们就坐在那一个劲地催我。有可能是他们收到的压力太大，太紧张了。

然后我发现了一个可以解决他们的烦恼同时保证我体面的方法，那就是设立一个共管账号。这是一个坚实的承诺，做到这一步，即便我怀有恶意，也失去了伤害任何人的能力。我很诧异他们竟然不能理解我提出公管钱包的意义，几个小时都不回复我的建议。（后来证明是我的错，我错过了他们的回复信息，直到今天我回顾所有留言列表的时候才发现他们有给我及时回信）然后他们就开始试图用一些奖金来贿赂我，太搞笑了！难道我看起来像是个讹人的小混混吗？亲爱的中国商人们，金钱不是万能的！他们关于解锁USDT的回复太模糊了。我归还其他资产的时候Poly如果去解锁了USDT不是更合理吗？ 现在他们成了“用计诈得坏人归还所有资产”的赢家，好像也不用冒险解锁USDT了。我对于他们的伪善和无能有一点小失望，因为对于加密币爱好者来说，解决信任问题本应该不难：我可以签名批准USDT的转账交易，然后他们可以把解锁和转账交易放在智能合约的一比交易中。这可以干净利落地把所有资产都转移到安全的钱包中。有可能Poly团队修复协议实在是太忙了（他们的确做得很快）。尽管他们毫无理由地怀疑我，我还是在处理事件的过程中尽量保持诚实开放，回答社区的各种提问来增加信任。

接下来最怪异的事情发生了：那一大群中国难民竟然消失了！我自己的和共管地址的消息列表里都再也没有他们的踪迹了。这太奇怪了，因为我在努力恢复他们的资产损失，而且也想和他们交流一下关于这个项目的观点。与此相对的是Poly团队和我说现在还有数以千计的用户在忧心忡忡。现在我成了一个真正的丑角：按照自己的方式做正确的事情，却无情地被大众羞辱。我现在有点疑惑，一个道德领袖到底应该怎么做呢，或许是我太认真了吧。不管怎样，事情还是朝着好的方向发展。Poly团队的资产恢复工作出奇的高效。我很高兴看到稳定币跨链功能可以恢复，我也同意流动性对于资产恢复至关重要。尽管如此我还是没做好准备本周就公布秘钥，我可以提供足够的WBTC和ETH流动性让他们先启动流程。我有点累了。这真是一场狂野又奇怪的旅程。

接下来是加密通信解密环节，实话说我确实错过了一些Poly给我的关键信息，很抱歉！

（接下来白客公布了之前和Poly团队的加密通信，我已经在前面翻译过了这里不再赘述）

· Aug-19-2021 05:04:00 PM +UTC

（社区留言）亲爱的白帽先生，我是一个中国人，在这次事件中我的资产现在也至于您的保护之下。我刚刚读了您的日记，想要和您解释一下为什么这里看不到太多中国社区的声音。主要原因是中国社区成员大多分布在多个500人微信群中。另外在中国，大家喜欢作为一个集体发出声音而不是表达自己的意见。如果您愿意的话我可以把您拉进一个微信群。现在大家都称您为“黑客老师”因为您给我们上了一课。另外，因为我的资产现在被您冻结，所以有一点损失，您能给我0.1ETH补偿一下吗？

· Aug-19-2021 07:40:50 PM +UTC

（社区留言）嗨，哥们儿，我是一个中国人，有1个BTC和4万USDC现在被冻着。我读了以太坊区块链上的所有留言。我的英语不太行，所以如果有词不达意的地方你多担待。我觉得Poly团队是有点吓坏了，因为金额实在太大。我一开始也被吓懵了。你说的‘难民消失’问题，那是因为一开始出现的大批乞丐只是看热闹不嫌事大，他们并没有遭受损失。我加入了一个电报群，了解了事情动向。但是大多数人并不知道如何读写链上信息。谢谢你让我们了解到了很多Defi风险，将来我们会更慎重地对待。

Aug-19-2021 08:09:52 PM +UTC

IF THEY DON'T KNOW HOW TO SEND TRANSACTIONS, HOW COULD THEY EXPECT A BETTER LIFE THAN REFUGEES IN THIS DEFI WORLD?

（白）如果他们连如何发信都不会，那他们在Defi世界里也只能做个难民了。

· Aug-19-2021 08:40:56 PM +UTC)

（白）感谢您的信息，但我不能比准您的补偿请求，因为你的钱包没有和poly合约的交互记录。我从来没想过和中国社区交流会有困难。那现在这些教育就没什么意义了，我都不知道他们是否能理解我表达的东西。补偿基金也没意义了，大家不要再给我捐款了。我会把所有捐款和Poly赏金发回共管钱包，让他们去补偿受害者吧。我曾以为自己可以主导事情进展，即使Poly团队一开始很恐慌。但是我错了。现在他们已经度过危机，就把中国事交给中国人处理吧。

（后面还有几条白客和中国社区的互动留言，就不翻译了。）

· Aug-22-2021 08:48:22 PM +UTC

（白）归还捐赠地址中的所有以太坊 （165.3ETH）

· Aug-22-2021 11:06:57 PM +UTC

Loganx2025: THANK YOU FOR COMPILING THE TRANSACTIONS! I HAVE NEVER EXPECTED THAT MY PRIVATE JOURNEY WOULD BE RECORDED IN THIS WAY.

（白）谢谢你帮我整理这些通讯记录，Loganx2025 。我从来没想到自己的旅行会被这样记录。

· Aug-22-2021 11:40:48 PM +UTC

TO MEDIA FRIENDS (@CoinDesk, @tomrobin AND OTHERS), THANK YOU FOR REFILLING THE POPCORNS EVERYDAY. PERSONALLY I DON'T THINK THERE ARE AS MANY AS TWISTS YOU WOULD IMAGINE, THOUGH READING THE MISINTERPRETATIONS IS FUN. I DON'T REALLY WANT THOSE MESSAGES TO BE EXAGGERATED SINCE I HAVE BEEN WORKING HARD ON REBUILDING THE TRUST AND CONFIDENCE IN A TOUGH AND COMPLICATED WAY. I WOULD REALLY APPRECIATE IF YOU COULD CITE THE ONCHAIN RESPONSES FROM THE POLY TEAM INSTEAD OF FOCUSING ON MY VOICES ONLY. AND THEIR STATEMENT IS MUCH MORE POLITELY THAN MINE SINCE THEY DON'T WRITE IN ALL CAPITAL. HAPPY ENDING IS COMING. YOU MAY NOT HAVE CHANCE TO INTRODUCE MORE TWISTS, BUT YOU CAN ALWAYS FIND MORE FUNNY DETAILS IN THE STORY.

（白）致媒体朋友们（Coindesk，Tomrobin等等）谢谢你们每天种瓜。个人而言我觉得这个故事里没有那么多反转，看着那些误解文章倒是挺有趣。我从来没想要自己的留言被夸大或者过度解读，因为我忙于重建信心和信任，这项工作艰难而复杂。我真心希望你们可以把Poly团队的回复也报到处去，而不是只关注于我的声音。他们的回复更比我的更有礼貌一些，毕竟我全部大写。

美好结局即将到来。你们可能再也没法发现更多的反转了，但是能从记录中找到一些好玩的小细节也说不定。