Взлом Poly Network раскрывает недостатки DeFi, но сообщество приходит на помощь

Хотя казалось, что взломы криптовалют идут на спад, совсем недавно рынок стал свидетелем одной из самых крупных атак в молодой истории децентрализованных финансов (DeFi), когда неизвестный хакер смог воспользоваться лазейкой в межцепочечном протоколе Poly Network`s digital framework, унеся с собой 610 миллионов долларов с трех разных блокчейнов.

Poly Network - это совместный проект, возглавляемый Ontology, Neo и Switcheo. Его цель - создать "альянс гетерогенных протоколов совместимости", объединяющий блокчейн в более крупную межцепочечную экосистему. Благодаря своей инфраструктуре, протокол позволяет пользователям беспрепятственно обмениваться токенами на разных блокчейнах.

Рассказывая об этом, основная команда разработчиков Poly Network сообщила, что в результате атаки было скомпрометировано около 273 миллионов долларов из Ethereum, 85 миллионов долларов в USD Coin (USDC) из сети Polygon и 253 миллиона долларов из смарт-цепочки Binance. Кроме того, в результате атаки были потеряны значительные суммы renBTC, фейковых Bitcoin (wBTC) и фейковых Ether (wETH).

Что касается того, как произошел взлом, Антон Буков, соучредитель агрегатора DeFi 1inch Network, рассказал Cointelegraph, что одна из подсистем Poly Network, предназначенная для пересылки взаимодействий смарт-контрактов пользователей между различными блокчейнами, оказалась неисправной:

"Хакер использовал поддельные транзакционные взаимодействия на одной цепочке, чтобы заставить систему заключить контракт на другой, передав права собственности на хранилище активов публичному ключу хакера. Разработчики и аудиторы Poly Network не заметили уязвимость, позволяющую осуществлять множество произвольных вызовов пользователей через смарт-контракт, имеющий множество привилегий."

Надевание белой шляпы

Джон Джеффрис, главный финансовый аналитик CipherTrace, сказал Cointelegraph, что этот инцидент был особенно интересным по сравнению с любыми прошлыми взломами DeFi, которые обычно использовали форму флэш-кредитования и арбитража для эксплуатации смарт-контракта и кражи средств:

"Хакер, по сути, нашел эксплойт, который позволил ему обойти приватные ключи и заставить контракт просто отправить средства самому себе". В ходе всех подмен, которые хакер совершил в попытке запутать свой след, похоже, что в какой-то момент он использовал кошелек, в котором уже были предыдущие транзакции с некоторыми известными биржами, которые могли бы идентифицировать его KYC-информацию".

Кроме того, Джеффрис не совсем уверен в намерениях хакера, даже несмотря на то, что все украденные средства теперь вернулись на свои места. Маловероятно, что "белая шляпа" предприняла бы шаги по запутыванию следа средств, если бы всегда намеревалась вернуть деньги", - считает он.

Странный, но интересный поворот событий: вскоре после взлома хакер Poly Network провел самоинтервью в стиле Ask Me Anything, используя встроенные сообщения в транзакциях Ethereum. На вопрос о том, почему именно сеть Poly Network была выбрана в качестве цели, хакер ответил: "Взлом перекрестных цепочек - это горячая тема", добавив, что они потратили много времени, пытаясь найти уязвимости в сети, чтобы использовать их.

Мало того, хакер утверждает, что в его планы не входило получение 610 миллионов долларов, а скорее обнародование уязвимости для широких масс до того, как разработчики Poly Network смогут тайно исправить ошибку. "Я хотел бы дать им [Poly Network] советы о том, как защитить свои сети, чтобы в будущем они могли претендовать на управление миллиардным [долларовым] проектом". Далее он добавил:

"Когда я заметил жука, у меня были смешанные чувства. Спросите себя, что бы вы сделали, если бы столкнулись с таким состоянием. Вежливо попросите команду проекта, чтобы они исправили ошибку? Любой может оказаться предателем, получив один миллиард. Я не могу доверять никому! Единственное решение, которое я могу придумать, это сохранить его на надежном счете".

Средства возвращаются

В четверг компания Poly Network опубликовала заявление, в котором сообщила, что все 610 миллионов долларов США были переведены на мультисигнальный кошелек, который находится в ее ведении вместе с хакером. Остались только токены Tether (USDT) на сумму $33 млн, которые были заморожены сразу после известия об атаке.

Хакер Poly Network начал с того, что вернул значительную часть украденных средств по межцепочечному протоколу DeFi. Действительно, чуть более чем через сутки после события компания CipherTrace подтвердила, что по меньшей мере $265+ миллионов были возвращены в Poly Network в виде $1 миллиона в USDC; $256,2 миллиона в основном через Bitcoin BEP-2 (BTCB), Binance pegged-Ether и Binance USD (BUSD); $2,637 миллиона в Binance Coin (BNB); и $3,4 миллиона в Shiba Inu (SHIB), renBTC и Fei.

С самого начала злоумышленник утверждал, что готов вернуть всю сумму похищенных средств - обещание было выполнено в прошлый четверг, - заявив, что его целью было преподать компании Poly дорогой урок о недостатках ее системы безопасности.

Однако Том Робинсон, главный научный сотрудник аналитической компании Elliptic, специализирующейся на блокчейне, считает, что перемена мнения могла быть связана с тем, что хакеру было крайне сложно отмыть/обналичить украденные активы из-за прозрачности блокчейна.

Себастьян Бюргель, основатель протокола конфиденциальности данных HOPR на базе Ethereum, сказал Cointelegraph, что, хотя кражи никогда не бывают хорошими, он считает впечатляющим тот факт, что сообщество DeFi смогло объединиться - от Tether, заморозившего USDT на 33 миллиона долларов, до OKEx и Binance, протянувших руку помощи в отслеживании утечки средств - и не дать хакеру вывести или обменять ни один из задействованных активов, добавив:

Надеюсь, это будет способствовать большему вниманию к безопасности и аудиту". Энтузиазм DeFi заразителен, но важно помнить, что на кону стоит огромная ценность. Желание действовать быстро не может превалировать над безопасностью".

"Нет, спасибо", - говорит "мистер Белая шляпа".

Определив, что мотивы хакера абсолютно чисты, представитель Poly Network заявил, что компания готова предложить этому человеку - которого компания окрестила "Мистер Белая Шляпа" - вознаграждение в размере 500 000 долларов США через сообщение следующего содержания: "Мы вышлем вам вознаграждение в размере 500 тысяч, когда будут возвращены остальные средства, кроме замороженных USDT".

Удивительно, но хакер вежливо отказался, заявив, что никогда не отвечал на предложение. "Я отправлю все их деньги обратно", - сказал он, поставив подпись.

Соответствующее: Как взламывают протоколы DeFi?

Когда все средства вернулись на место - за исключением вышеупомянутого замороженного USDT - похоже, что крупнейший взлом в истории децентрализованных финансов наконец-то завершился. И хотя личность хакера по-прежнему остается загадкой, китайская компания SlowMist, занимающаяся кибербезопасностью, недавно выпустила обновление, в котором утверждалось, что ее служба безопасности смогла определить адрес электронной почты, IP-адрес и отпечаток пальца устройства злоумышленника.

Надеемся, этот эпизод послужит суровым напоминанием о том, что безопасность всегда должна иметь первостепенное значение при закладке фундамента любого проекта, независимо от его технологического предложения. Поэтому будет интересно посмотреть, как стартапы и другие фирмы, работающие в сфере DeFi, будут продолжать развиваться и модернизировать свои существующие системы безопасности, потому что в следующий раз хакер может не захотеть возвращать деньги.