2021年4月5日上午3:00左右，Polkatrain的智能合约在LBP拍卖期间遭到黑客套利回扣攻击，其中57000 DOT（价值约300万美元）被盗。事故发生后，Polkatrain团队第一时间联系了BSC、Binance和安全审计公司成立了Polkatrain自治委员会，共同对事件进行跟踪处理。目前，BSC团队和Binance已协助Polkatrain追踪地址，并且正在恢复过程中。

攻击分析

据网安信安全团队分析，本次攻击事件是源于Polkadot生态系统更新时，上线具有交换功能和折扣机制的POLT_LB，当Polkatrain用户购买Polkatrain本机令牌PLOT时，他们将能获得一定数量的返利，但系统是通过交换功能发送返利，这一设计存在严重缺陷，黑客通过扫描获取了缺陷并进行了大量套利。此外，由于本次更新并没有设置最大返利数值，将无法确定恶意套利者是否已经用完总的返利，也无法确定后续的损失是否还会扩大。

解决方案

可想而知，未来即将有大量价格非常低的POLT进入了市场，这对平台的发展极为不利。基于此点，Polkatrain团队与Hoo.com交易所协商决定，将统一作废此前已经充值的所有POLT，并以1：1的比率映射新令牌，以确保各方的利益，而且从LBP第一个拍卖的异常POLT开始将被一一锁定，但不影响映射后的新令牌正常的POLT交易和拍卖交易，交易将在 2021年4月10日之前开始。Polkatrain也从此事件中吸取教训，目前已经全面修复平台漏洞，提高了安全性和风险控制能力，并透露将在LB流动性挖掘期间，同时启动V2.0。

在天使轮投资机构和KOL得知这一事件后，很快接受了Polkatrain被黑客攻击的事实，非常认可Polkatrain团队的相关做法，不仅给予了精神上的支持，而且一些投资机构还进行了额外的投资，由此可见他们对Polkatrain的发展依然保持乐观态度。

网安信安全团队提醒，首先，任何企业在更新业务功能时，务必要进行周密的安全检测，对新功能的逻辑设计部分，必须进行多次安全测试，对相关漏洞进行修复与加固，将一切可能的安全隐患消除；其次，对有价值的数字资产要做好严密的安全防护，尤其是在活动期间，要严防黑客进行DDOS攻击，薅羊毛攻击，套利攻击等等。