NULS遭受黑客攻击，紧急硬分叉回应，百万枚NULS被盗币销毁

编辑：文刀 | 文章作者：JX kin

12月20日，加密货币项目NULS不幸遭到黑客袭击，其团队账户中的200万枚NULS币惨遭席卷。三天后的凌晨，NULS社区宣布于22日下午18时发现此安全漏洞，并立即采取措施，连夜对主网进行了硬分叉升级以应对此事。此时，已有约54万枚被盗NULS流入市场，价值接近90万元。

在技术应对的同时，NULS团队迅速联络各大交易所，要求暂停NULS的充值与提现功能。经过排查，项目联合创始人冉小波揭露了黑客利用特殊手段使某节点未经其他节点验证即打包并确认这笔恶意交易，从而成功盗取资产的情况。

在23日凌晨，NULS发布新版本程序并在区块高度878000处执行硬分叉操作。这意味着黑客手中的NULS币将不会得到新主网的认可，无法进行交易，实质上等于“作废”。

冉小波确认已修复相关漏洞，并指出团队无意追回这批资产。为彻底消除隐患，硬分叉之后，尚未进入市场的剩余145万多枚NULS币将被永久锁定并直接销毁。

回顾整个事件，黑客于12月20日星期五趁冉小波出差之际发动攻击，划走团队账户内的200万个NULS币。直至22日晚上，财务管理人员才在NULS社区理事会讨论过程中发现异常交易记录，彼时距离资产被盗已过一天之久。公告显示，流入市场的被盗NULS约为54.83万个，按当时的市价估算，价值达90余万元。

在短短两小时内，团队发现问题并追踪到了所有被盗资产转移的地址。随后，他们紧急联络各交易所关闭NULS充值及提现通道，防止更多被盗资产流入市场。

团队与理事会内部讨论后，决定采用硬升级策略。于是，技术团队核心成员在接下来的5小时内完成了编码和测试，于北京时间23日凌晨3点发布了新版本的NULS系统。一个小时后，NULS官方社区公布了解决方案，提醒各节点尽快升级系统。此后，被盗NULS币因不受新链认可而无法交易，实际上已被“作废”。

NULS项目自2017年10月启动以来，作为一个老牌公链项目，一直允许用户在其网络上开发和使用智能合约，实现跨链互操作和即时链构建等功能。尽管黑客攻击导致团队承受约332万元的损失，但幸运的是，其他用户账户并未受到损害。

区块链安全团队慢雾科技分析指出，黑客能绕过NULS网络的交易签名验证算法，利用构造的特定交易避开验证实施攻击。冉小波解释说，虽然这个问题与签名算法有关，但并非算法本身存在问题，而是黑客利用某种特殊手段，促使某个节点打包这笔未通过验证的交易，并绕开其他节点的验证，从而转移了团队账户内的资产。他推测黑客可能熟悉NULS底层技术，但无法确定具体身份。

经历硬分叉升级后，NULS正在逐步恢复正常运行。OKEx等交易平台目前仍维持暂停NULS代币充提的状态。目前，NULS团队已修复系统并进行全面的安全审查，力求未来杜绝类似问题的发生。而在区块链行业中，项目方与黑客之间的攻防战已成为常态，任何微小的疏忽都可能导致黑客有机可乘，进而引发严重后果，例如Mt.Gox交易所被盗案以及"The DAO"事件。

对于项目方而言，慢雾科技建议，若对自己项目的底层代码不够自信，可寻求第三方安全公司的帮助进行代码审计；另外，项目方也可主动推行“漏洞赏金计划”，激励用户和开发者上报漏洞，以便更好地防范潜在风险。

如今，NULS已在开源仓库中拥有33个项目，在基础模块和应用模块方面分别达到7个和超过10个。同时，NULS在跨链领域取得了突破性进展，已实现在ChainBox区块链之间的无缝交互，并预计在未来几个月内打通与其他主流资产的跨链交互。

冉小波及团队决定不再尝试找回被盗资产，并通过硬分叉升级后永久锁定并销毁剩余的145万多枚未流入市场的NULS币，以此作为对每一行代码审慎态度的警示。

您如何看待通过硬分叉的方式来应对黑客攻击的做法呢？