Port3 Network bị hack về 0! PORT3 sụp đổ 82%, đội ngũ chính thức thông báo huỷ và phát hành lại

去中心化 AI 數據網路 Port3 Network 遭駭客利用 CATERC20 跨鏈代幣方案的邊界條件驗證漏洞，非法鑄造 10 億枚 PORT3 代幣拋壓，幣價一小時內閃崩 82%。Port3 聯絡 CEX 凍結可疑代幣流向，並重新發行代幣與部署新合約。PORT3 代幣已近乎歸零，官方將公布資產快照時間與操作指引。

CATERC20 漏洞讓去中心化成為致命後門

Port3 Network 於當地時間 11 月 23 日午後接近兩點透過 X 公告被駭原因，揭示了一個看似安全的跨鏈方案如何成為災難性漏洞。PORT3 的目標是支援多條鏈的發展，因此採用了 @nexa_network 的跨鏈代幣方案 CATERC20。這個方案理論上能夠讓代幣在不同區塊鏈之間流通，對於希望建立多鏈生態的項目來說極具吸引力。

然而，CATERC20 存在一個邊界條件驗證漏洞：當代幣所有權被拋棄（renounce ownership）後，相關函式會回傳數值 0，而這剛好符合所有者驗證條件。這種設計缺陷在智能合約領域極為危險，因為它將「沒有所有者」的狀態錯誤地解讀為「任何人都可以是所有者」。

Port3 Network 表示，為了加強去中心化，已主動拋棄合約管理員權限，卻無意間為駭客留出後門。這個決策本身是符合加密貨幣精神的——去中心化項目通常會在某個階段拋棄管理員權限，以證明團隊無法任意操控代幣供應或合約功能。然而，在 CATERC20 的實現中，這個良好的初衷反而成為致命弱點。

更令人擔憂的是，此缺陷在先前安全審計中並未被揭露。這暴露了當前區塊鏈安全審計的局限性。許多審計公司專注於檢查常見漏洞模式，但對於特定跨鏈方案的邊界條件可能缺乏深入測試。CATERC20 作為相對小眾的跨鏈解決方案，其特殊的驗證邏輯可能未被審計團隊充分理解。

CATERC20 漏洞攻擊流程

步驟一：Port3 為了去中心化拋棄合約所有權

步驟二：renounce ownership 後函式返回 0

步驟三：駭客發現 0 符合所有者驗證條件

步驟四：駭客獲得鑄幣權限非法鑄造 10 億枚 PORT3

步驟五：大量代幣拋售市場導致 1 小時內閃崩 82%

1 小時閃崩 82% 交易所緊急停充提

（來源：CoinMarketCap）

駭客非法鑄造的 10 億枚 PORT3 代幣對市場造成了毀滅性衝擊。在短短一小時內，PORT3 幣價閃崩高達 82%，這種暴跌速度在加密貨幣市場也屬罕見。通常，即使是重大利空消息，市場也需要數小時甚至數天時間來消化。但當大量無成本的代幣突然湧入市場時，拋售壓力是瞬間且壓倒性的。

事發後，Port3 Network 表示已聯絡中心化交易所，凍結可疑代幣流向。主要交易所迅速反應，暫停了 PORT3 的充值和提款功能。這種緊急措施旨在防止駭客將非法獲得的代幣轉移到交易所套現，同時也保護了在交易所持有 PORT3 的用戶免受進一步損失。

然而，去中心化交易所（DEX）上的交易無法被停止，這也是為什麼幣價能在如此短時間內崩盤的原因之一。駭客可能在 DEX 上大量拋售，而普通投資者在察覺異常前已經遭受巨大損失。從鏈上數據來看，大量交易發生在 Uniswap 等去中心化平台上,這些交易無法被逆轉或凍結。

目前 PORT3 代幣已經近乎歸零，從攻擊前的價格跌至幾乎沒有價值。對於持有 PORT3 的投資者而言，這是一場災難。那些在攻擊前買入或長期持有的用戶,其投資幾乎全部化為烏有。這也是為什麼官方決定重新發行代幣成為唯一可行的解決方案。

官方決定重發代幣與合約重啟生態

面對代幣歸零的現實，Port3 Network 做出了重大決定：透過重新發行代幣、部署新合約來修復此問題。這意味著當前的 PORT3 代幣將被正式宣布作廢，一個新的代幣將取而代之。官方將公布資產快照時間與操作指引，讓用戶能夠按照一定比例將舊代幣兌換為新代幣。

這種「重啟」策略在加密貨幣歷史上並非先例。2016 年 The DAO 遭駭後，以太坊社群投票決定硬分叉，回滾被盜交易,最終形成了現在的以太坊（ETH）和以太坊經典（ETC）。不過，Port3 Network 的情況有所不同——這不是整個區塊鏈的分叉，而是單一項目代幣的重新發行。

新代幣的發行涉及幾個關鍵問題。首先是快照時間的選擇。官方需要確定在攻擊發生前的某個時間點，記錄所有持有者的餘額，作為新代幣分配的依據。這個時間點的選擇至關重要——太早可能遺漏攻擊前的正常交易，太晚則可能包含駭客操縱的交易。

其次是兌換比例。最公平的做法是 1:1 兌換，即持有 1 枚舊 PORT3 的用戶可以獲得 1 枚新代幣。然而，考慮到部分用戶可能在攻擊期間以極低價格買入（試圖抄底），官方可能需要設計更複雜的分配機制，以平衡各方利益。

第三是新合約的安全性。這次攻擊源於 CATERC20 方案的缺陷，新代幣可能需要採用不同的技術方案。Port3 Network 可能會放棄 CATERC20，轉而使用更成熟的跨鏈橋接方案，或者乾脆先專注於單鏈部署，待技術完全成熟後再考慮多鏈擴展。

官方同時提醒用戶，換幣期間切勿點擊非官方連結，以免遭釣魚詐騙。這個警告極為重要。每當發生重大安全事件後,詐騙分子往往會趁機發送釣魚郵件或偽造的兌換網站,誘騙用戶提供私鑰或助記詞。用戶必須只信任來自官方推特、官方網站和官方公告頻道的資訊。

Port3 Network 未來挑戰與社群信任重建

這次攻擊事件對 Port3 Network 造成的損害不僅是經濟上的，更是信任層面的。投資者和用戶可能會質疑：如果團隊在第一次就沒能識別 CATERC20 的缺陷，如何保證新代幣不會出現類似問題？安全審計既然未能發現漏洞，新代幣的審計又有多少可信度？

Port3 Network 需要採取多項措施來重建信任。首先是透明化事故調查報告，詳細說明漏洞的技術細節、駭客的攻擊手法以及團隊的應對過程。其次是聘請多家頂級安全公司對新合約進行獨立審計,並公開審計報告。第三是設立漏洞賞金計畫,鼓勵白帽駭客主動尋找潛在問題。

從更廣泛的角度看,這次事件也為整個加密貨幣行業提供了教訓。去中心化固然是核心理念,但在拋棄管理員權限之前,必須確保合約經過充分測試且沒有邊界條件漏洞。跨鏈方案雖然能夠擴大生態,但引入第三方技術時必須進行深入的技術盡職調查。