2023年加密市场爆出的“POCHITA盗币案”,堪称当年DeFi领域最具冲击力的安全事件之一,案件以热门动漫角色“POCHITA”(出自《链锯人》)为代号,攻击者通过精准的漏洞利用,短短数小时内从多个跨链协议盗取超1.2亿美元资产,引发行业对智能合约安全与跨链机制深层次风险的集体反思。
案件背景:跨链协议成“重灾区”
事件核心受害者是跨链桥协议“Multichain”(后更名为Multichain)及其关联的跨链路由服务,Multichain作为当时全球用户量领先的跨链平台,支持以太坊、BNB Chain、Polygon等30多条公资产的跨链转移,依赖中继节点与预言机实现资产“跨链”,其核心设计缺陷为攻击者埋下了伏笔——多签钱包权限集中化与跨链路由状态验证机制薄弱。
攻击过程:三步“精准爆破”漏洞
根据区块链安全公司慢雾科技、PeckShield等机构的溯源分析,攻击者的操作堪称“教科书级”的漏洞利用:
-
权限接管:伪造多签签名
攻击者首先利用Multichain早期代码中的“签名伪造漏洞”,伪造了多签钱包的管理员签名,Multichain的跨链转移依赖多签节点验证交易合法性,而攻击者通过逆向工程破解了签名生成逻辑,成功获取了“任意资产调取权限”。 -
跨链“洗劫”:伪造路由状态
获取权限后,攻击者伪造了跨链路由的“目标链状态”,谎称资产需从目标链(如BNB Chain)转回源链(以太坊),通过伪造的路径验证,Multichain的预言机误判为“正常跨链请求”,自动将对应资产从目标链金库转移至攻击者控制的地址。 -
资金转移:快速“清洗”痕迹
盗取的资产包括ETH、USDT、USDC、WBTC等主流代币,总价值超1.2亿美元(按当时汇率),攻击者通过Tornado Cash等混币服务清洗资金,并通过去中心化交易所(如Uniswap、PancakeSwap)分批兑换为ETH,试图切断资金流向。
