Дальнейшие подробности стали известны после атаки 2 июля на межцепочечную мостовую платформу Poly Network, в результате которой хакер смог выпустить миллиарды токенов из воздуха с целью получения прибыли.

В своем твите от 2 июля Poly Network подтвердила, что стала последней жертвой эксплойта децентрализованных финансов (DeFi) после того, как злоумышленникам удалось манипулировать функцией смарт-контракта в протоколе межцепочечного моста, добавив, что временно приостановит обслуживание.

В последнем обновлении команда показала, что эксплойт затронул 57 криптоактивов на 10 блокчейнах, включая Ethereum, BNB Chain, Polygon, Avalanche, Heco, OKX и Metis.

Она не уточнила, какая сумма была украдена в результате атаки, но PeckShield ранее сообщила, что эксплойтер перевел криптовалюту на сумму не менее $5 млн.

Токены, переданные из сети Poly Network. Источник: Twitter/PeckShield
Токены, переданные из сети Poly Network. Источник: Twitter/PeckShield

"Мы уже начали общение с централизованными биржами и правоохранительными органами и обратились к ним за помощью", - заявила группа в обновлении от 3 июля.

Она также рекомендовала проектным группам и держателям токенов вывести ликвидность и разблокировать свои токены поставщика ликвидности.

Взлом сети Poly Network на сумму 34 миллиарда рублей

Аналитик по безопасности компании DeFi Архат сказал, что эксплойт стал результатом уязвимости смарт-контракта, которая позволила хакеру "создать вредоносный параметр, содержащий поддельную подпись валидатора и заголовок блока".

Это было принято смарт-контрактом, что позволило хакеру обойти процесс проверки и выпустить токены из Ethereum-пула Poly Network на свой адрес в других цепочках, таких как Metis, BNB Chain и Polygon.

Этот процесс повторялся для других цепочек, что позволило накопить запас жетонов.

В какой-то момент в кошельке хакеров находилось токенов на сумму около 42 миллиардов долларов, но они смогли конвертировать и украсть лишь часть из них, сказал аналитик.

"Таким образом, хакер смог намайнить миллиарды токенов на различных блокчейнах, которых раньше не существовало, и перевести их на собственные адреса кошельков".

Поставщик решений по безопасности блокчейна Dedaub назвал последний эксплойт Poly Network "взломом Poly Network на 34 миллиарда".

Техническое вскрытие взлома сети "34 миллиарда" Poly.

TL ; DR

Сеть Poly имела простую мультисигму 3 из 4 в течение 2 лет!

Просматривая финальное событие, мы обнаружили, что закрытые ключи к отмеченным адресам были скомпрометированы. pic.Twitter.com/Y0eMJXcYso

- Dedaub (@dedaub) 2 июля 2023 г.

Дедауб отметил слабые места в мультисигме протокола, заявив, что в течение двух лет в нем была простая схема мультисигмы "3 из 4", добавив:

"Изучая финальное событие, мы обнаружили, что закрытые ключи к отмеченным адресам были скомпрометированы".

Дедауб пояснил, что атака не была сложной, поскольку не были использованы логические ошибки. Он добавил, что Poly Network потребовалось семь часов для реагирования, что стоило платформе 5,5 млн долларов в украденных криптовалютах. К счастью, отсутствие ликвидности у многих токенов предотвратило дальнейшие потери.

После атаки генеральный директор Binance Чангпенг Чжао успокоил клиентов, заявив: "Это не затрагивает пользователей Binance. Мы не поддерживаем депозиты из этой сети".

Poly Network снова получила удар; предположительно из-за скомпрометированных горячих клавиш.

Это будет происходить до тех пор, пока наша отрасль не изменит свой подход к безопасности.

Аудит смарт-контрактов - это лишь поверхностная проверка.

ps Poly network не имеет НИКАКОГО отношения к Polygon. https://t.co/n1qI48b4Kb

- Мудит Гупта (@Mudit__Gupta) 2 июля 2023 г.

Cointelegraph связался с Poly Network для получения более подробной информации, но не получил ответа к моменту публикации.

В августе 2021 года сеть Poly была атакована одним из крупнейших в истории отрасли эксплойтов. Хакеры, которые, как выяснилось позже, были связаны с северокорейской хакерской группой Lazarus Group, похитили более 600 миллионов долларов.

Журнал: Tornado Cash 2.0: Гонка за создание безопасных и легальных миксеров для монет

Источник