Децентрализованная финансовая платформа Poly Network, которая позволяет пользователям передавать криптовалюты между различными блокчейнами, во вторник стала целью массового взлома, сообщила компания в Twitter.
По сообщениям BBC, хакеры украли около 600 миллионов долларов США в криптовалютах - около 267 миллионов долларов США в эфире, 252 миллиона долларов США в токенах Binance Smart Chain и около 85 миллионов долларов США в монетах. Взлом больше, чем атака 2014 года на криптовалютную биржу Mt. Gox, что делает его одним из крупнейших ограблений криптовалюты.
Сеть Poly работает на смартчейне Binance, а также на блокчейнах Ethereum и Polygon, каждый из которых вчера подвергся атаке.
Вскоре после этого объявления Poly Network попыталась установить контакт с злоумышленниками через сообщение в Twitter, в котором говорилось: «Сумма денег, которую вы взломали, - одна из самых больших в истории DeFi».
Poly Network призвала злоумышленников поговорить с ней и «выработать решение» и пригрозила судебными последствиями. Он добавил: «Деньги, которые вы украли, принадлежат десяткам тысяч членов криптосообщества, а значит, и людям».
Злоумышленники и трекеры
Poly Network опубликовала три адреса, на которые были переведены украденные токены, и призвала затронутые блокчейн и криптобиржи внести токены в черный список из этих кошельков. В то время в кошельках злоумышленников хранилось несколько токенов криптовалюты, включая USD Coin, Wrapped Bitcoin, Wrapped Ether и Shiba Inu.
Криптобиржи Huobi, Binance и OKEx предложили свою помощь, поддержку и сотрудничество в Twitter, но генеральный директор Binance Чанпэн Чжао сказал: «Нет никаких гарантий. Мы сделаем все, что в наших силах».
Tether Holdings Ltd., эмитент Tether, крупнейшего в мире стейблкоина, с тех пор заморозила около 33 миллионов долларов США токенов Ethereum, которые были украдены в результате взлома.
SlowMist, компания по обеспечению безопасности экосистемы блокчейнов, опубликовала отчет с анализом атаки. Основываясь на отчете, Poly Network написала в Твиттере, что хакеры «воспользовались уязвимостью между вызовами контрактов».
Компания по обеспечению безопасности блокчейнов BlockSec опубликовала предварительный отчет о взломе, в котором в качестве потенциальных причин взлома была отмечена возможная утечка закрытого ключа или ошибка в процессе подписания Poly Network.
Однако, согласно отчету SlowMist, взлом был выполнен следующим образом.
Poly Network имеет привилегированный контракт с именем EthCrossChainManager, который имеет право запускать сообщения из другой цепочки блоков. Есть функция, которая позволяет всем сторонам выполнять кросс-чейн транзакции. Функция проверяет запросы транзакций и добавляет их в блокчейн.
Критический недостаток заключается в том, что функцию можно использовать для вызова контракта EthCrossChainData, который хранит список открытых ключей, которые аутентифицируют входящие данные из других цепочек. Контракт EthCrossChainData принадлежит EthCrossChainManager. Таким образом, злоумышленники могут обманом заставить EthCrossChainManager вызвать EthCrossChainData и пройти проверку единственного владельца. Используя правильные данные, они могут запускать функцию, изменяющую открытые ключи.
Урок выучен?
Объясняя взлом, пользователь Twitter сказал, что самый важный урок этого события заключался в том, что в контрактах с перекрестной ретрансляцией необходимо гарантировать, что специальные контракты не могут быть вызваны каждым пользователем.
Джейсон Бенник, генеральный директор компании Blockrails, занимающейся виртуальными транзакциями, написал в Твиттере, что атака Poly Network не была взломом DeFi, а просто примером слабых мер безопасности.
Ифань Хэ, генеральный директор Red Date Technology и исполнительный директор одобренной правительством Китая блокчейн-платформы BSN, сказал Forkast.News: «Poly Network в основном построила там черный ход. Это усвоенный урок. Если вы хотите [быть] полностью прозрачно, сделайте это [как можно более справедливо] ".
Он добавил, что взлом Poly Network не повлиял на BSN, потому что он не использовал публичную сеть Poly Network. Вместо этого только разрешенная версия Poly Network интегрируется с BSN, оставляя ее полностью невредимой.
Согласно отчету Chainnews, SlowMist уже отследил кошельки, IP-адреса и отпечатки пальцев устройств хакеров и в настоящее время ищет новые ключи к разгадке их личности.
SlowMist также обнаружил, что исходные средства злоумышленников были в Monero, а затем конвертированы в Binance Coin, Ether и MATIC. SlowMist сообщил, что получил эту информацию от китайской криптобиржи Hoo и других бирж. Некоторые пользователи Twitter также утверждали, что средства хакеров исходили из Hoo.
SlowMist сказал, что атака, вероятно, была «давно спланированной, организованной и подготовленной». Некоторые криптоэксперты также заявили, что кошельки хакеров были привязаны к учетным записям Binance, FTX и OKEx, что указывает на то, что они, возможно, выполнили процедуры «знай своего клиента» на этих биржах - информацию, которая может быть использована для отслеживания преступников.
Хакеры включили в транзакции несколько сообщений, одно из которых гласило: «Было бы взломано миллиард, если бы я переместил оставшиеся shitcoins! Я только что сохранил проект? их здесь ".
Хакеры возвращают
Поскольку SlowMist продолжает свой след, злоумышленники, похоже, передумали. Теперь они планируют вернуть средства, о чем свидетельствуют сообщения, оставленные в цепочке блоков Ethereum.
Хакеры запросили кошелек с мультиподписью, который подготовила Poly Network. Сейчас компания ожидает возврата украденных средств.
Хотя Red Date`s сказал, что лично не верит, что децентрализованные системы безопасны, в случае взлома есть положительный момент.
«Каждый может отслеживать [хакеров], каждый может работать вместе, чтобы выяснить, кто это сделал, и я думаю, что такое давление является хорошей частью публичной цепи», - сказал он.
Он сказал, что давление может быть причиной того, что преступники потенциально согласились вернуть украденные средства и почему некоторые деньги могут быть возвращены.
Он также сказал, что такие атаки правдоподобны, сказав: «Пока вы децентрализованы, пока у вас открытый исходный код, люди всегда могут найти уязвимости».
Данные крипто-разведывательной компании CipherTrace показывают, что взломы DeFi достигли рекордного уровня за первые семь месяцев 2021 года, при этом убытки составили 474 миллиона долларов США, согласно отчету Reuters.
Источник
