致社区，MonoX被盗事件进展

昨晚（11月30日22点左右），自动做市商协议MonoX疑遭闪电贷攻击。官方社群人员反馈称，攻击者耗尽Polygon和Ethereum上的流动性池，获利约3100万美元。随后，MonoX确认合约遭攻击并展开调查。

MonoX表示，2021年11月30日，Monox合约遭到黑客攻击。黑客对Polygon及Etherum上的流动性池进行了攻击并耗尽其链上资产。目前官方团队已联合合作伙伴与审计公司展开全面调查。团队对本次事件的发生表示诚挚的歉意，团队将随时与Monox社区同步事件发展。MonoX表示，攻击者利用兑换合约，推高MONO价格后，使用MONO购买池中的所有其他资产。此外，MonoX希望与黑客进行沟通。

今日，MonoX发表社区公开信，具体内容如下：

致Monox社群，

此刻，我们怀着无比沉重的心情向您叙述该事件截止此刻的进展情况：

在这过去的24小时，我们感到艰难、痛苦。无论如何致歉，亦或用任何的言语皆无法描述黑客攻击事件发生后团队的感受。在一年多前，怀着对于区块链的热情与对DeFi发展的寄望，我们开始搭建Monox，其使命是让用户和项目能够更加容易得参与到DeFi当中。

我们感谢一路走来，所有支持过我们的朋友、合作伙伴、投资者以及我们最热爱的用户社区。

像昨天这样的日子是极为可怕的，我们无法回避，且必须直面合约被攻击导致所有用户资产丢失的残酷现实。我们的支持者将他们的信任放在了我们身上，放在了Monox之上，而昨天，我们却让他们失望了。

对我们而言，安全性一直是重中之重之事。我们进行了为期三个月的测试网+Bug悬赏，并在推出前进行了3次审计。在这些审计中，任何被标记为高风险的问题都被立即解决。目前，我们正在继续与我们的安全合作伙伴合作，以更好地了解事件的完整经过，并确保这种情况不会再次发生。自5月以来，我们一直在与一家安全公司合作，他们一直担任我们的安全顾问。

地址数量

首先，我们想快速得分析本次损失的资金以及钱包地址。

本次事件中，共计406个以太链上及15,523个Polygon链上的地址受到黑客攻击的影响。在这些地址中，有42个ETH和2,653个Polygon地址在不止一个池子里做LP。

由于黑客攻击，大约有3100万美元的资金被盗取。

黑客事件是如何发生的

该漏洞是由一个智能合约的错误引起的，该错误允许出售和购买相同数量的代币。在本次黑客事件中，漏洞导致交易发生的是我们的原生MONO代币。当攻击发生时，tokenIn与tokenOut相同，智能合约执行了交易。

任何来自tokenIn和tokenOut交换的价格更新都是由智能合约独立验证的。由于tokenOut最后被验证，这导致了MONO价格被大量拉高。黑客然后用高价的MONO来购买我们池子里的所有其他资产，并抽走了资金。

攻击是通过脚本完成的，且具有极高的组织。

也有一些来自更广泛的DeFi社区的报告（也有一些来自更广泛的DeFi社区的报告（那些中立的参与者）。本着透明的精神，我们在这里提供更详细的信息供你阅读。

-BlockSec团队: https://twitter.com/BlockSecTeam/status/1465690478414761992

-Mudit Gupta: https://twitter.com/Mudit__Gupta/status/1465726874974187524?s=20

-Rekt： https://rekt.news/monox-rekt/

我们在过去24小时内做了什么

-试图通过在ETH主网上的交易提交信息，与攻击者取得联系，展开对话。

-暂停智能合约的运行，并将实施一个修复方案，以接受更严格的测试。在想出一个适当的补偿计划后，我们将在我们的安全伙伴同意后恢复运行。

-联系大型交易所，监测并可能阻止与攻击有关的任何钱包地址。

-与我们的安全顾问合作，在识别黑客以及如何降低未来风险方面取得进展 。

-交叉审查 Tornado 现金钱包与同样使用我们平台的钱包的交互情况。

-搜索任何由前端与我们的Dapp交互留下的元数据。

-根据他们与我们产品的交互，详细映射了可能被认为是 可疑 “的钱包地址。例如，在攻击之前移除大量的流动性。

-正在对持有被盗资金的钱包进行监控。到目前为止，100个ETH已经从被盗资金中发送到Tornado现金钱包。其余的目前未有发生转移。  

-此外，我们将提交一份正式的警方报告。

如果我们的社区成员认为他们可以提供帮助，请在Discord或Telegram中与我们的团队成员联系。

保险

我们想提醒我们的用户，我们从Tidal获得了100万美元的保险，我们正在努力分配当中。  

接下来的步骤

解决这个问题是我们思考的首要问题，最重要的是我们如何恢复我们社区的损失。在不久的将来，我们将完善推出补偿计划。

不言而喻，在合约被彻底审计之前，我们不会考虑重新部署。

我们知道社区再次信任我们需要时间，但团队不会离开，我们计划仍然搭建我们的产品，为DeFi的资本效率带来变化。我们知道并接受这里的利害关系并努力做正确的事。

这只是我们故事的开始。我们将继续在MonoX上工作，并在安全方面加倍努力。想再次对我们的社区说非常感谢你的爱和支持。这是一个挫折，但我们比以往任何时候都更致力于为MonoX和DeFi空间共建一个光明的未来。