涉案资金流向

截止到 2023年7月3日，此次黑客攻击事件波及10个区块链的57种资产，损失预计将高达上亿美金。其中，攻击者已于以太坊网络上总共兑换5196枚 ETH（约1010万美元）。

攻击可疑原因

Poly network跨链桥项目疑似遭受私钥泄露或多签服务被攻击，攻击者利用伪造的凭证向多条链的跨链桥合约进行取款操作。

Poly network为了实现跨链操作，需要在原先链锁定所需金额，然后跨链之后提取相应金额。但是这次的攻击行为导致了跨链前后金额相差甚远。在此次的攻击事件中有多个黑客用来攻击的地址，以0x906639ab20d12a95a8bec294758955870d0bb5cc 地址为例，如下面的两个记录，在原先链锁定了0.000000000000001，但却在跨链之后提款了2,516,430.11025522。

在原先链上锁定的操作可在poly网络上查到

但是，跨链后提取的操作却在poly网络上查不到

因此，有理由怀疑是否为签名泄露或者keeper被修改。

在对原因的进一步探索中发现，黑客是通过调用verifyHeaderAndExecuteTx函数进行取款操作，而我们在对攻击过程进行分析之后，发现keeper并没有被修改，还是使用的官方keeper。那么很可能是私钥泄露或多签服务被攻击，导致攻击者可以利用伪造的凭证取款。

除此之外，根据merkle树的工作原理，也可进一步说明可能是私钥泄露或多签服务被攻击。