Дополнительные подробности становятся известны после атаки 2 июля на кроссчейн-мост-платформу Poly Network, в результате которой хакер смог выпустить миллиарды токенов из воздуха для получения прибыли.
В сообщении в Твиттере от 2 июля Poly Network подтвердила, что стала последней жертвой эксплойта DeFi после того, как злоумышленникам удалось манипулировать функцией смарт-контракта в протоколе межсетевого моста, добавив, что он будет временно приостанавливать предоставление услуг.
В последнем обновлении команда сообщила, что эксплойт затронул 57 криптоактивов в 10 блокчейнах, включая Ethereum, BNB Chain, Polygon, Avalanche, Heco, OKx и другие, такие как Metis.
Он не уточнил, сколько было украдено в ходе атаки, но Peckshield ранее сообщал, что эксплуататор перевел криптовалюту на сумму не менее 5 миллионов долларов.
Токены, переданные из Poly Network. Источник: Twitter/PeckShield
«Мы уже начали общение с централизованными биржами и правоохранительными органами и обратились к ним за помощью», — заявила команда в обновлении от 3 июля.
Он также посоветовал проектным группам и держателям токенов вывести ликвидность и разблокировать свои токены LP (поставщика ликвидности).
Взлом Poly Network на 34 миллиарда долларов
Аналитик безопасности DeFi @0xArhat сказал, что эксплойт был результатом уязвимости смарт-контракта, которая позволила хакеру «создать вредоносный параметр, содержащий фальшивую подпись валидатора и заголовок блока».
Это было принято смарт-контрактом, позволяющим хакеру обойти процесс проверки, позволяя им выпускать токены из пула Ethereum Poly Network на свой собственный адрес в других цепочках, таких как Metis, BNB Chain и Polygon.
Этот процесс был повторен для других цепочек, что позволило накопить запас токенов.
По словам аналитика, в какой-то момент кошелек хакера содержал токены на сумму около 42 миллиардов долларов, но смог конвертировать и украсть только часть из них.
«Таким образом, хакер смог создать миллиарды токенов на различных блокчейнах, которых раньше не существовало, и перевести их на адреса собственных кошельков».
Последний эксплойт Poly Network был назван поставщиком решений безопасности блокчейна Dedaub «34-миллиардным взломом Poly Network».
Разобраться со взломом сети Poly «34 миллиарда» с помощью технического вскрытия.
тл ; ДР
Сеть Poly имела простую мультиподписную схему 3 из 4 в течение 2 лет!
Глядя на финальное событие, мы обнаружили, что закрытые ключи к отмеченным адресам были скомпрометированы. pic.twitter.com/Y0eMJXcYso
— Дедауб (@dedaub) 2 июля 2023 г.
Дедауб отметил недостатки в мультиподписи протокола, заявив, что в течение двух лет он имел простую схему мультиподписи «3 из 4», добавив:
«Глядя на финальное событие, мы обнаружили, что закрытые ключи к отмеченным адресам были скомпрометированы».
Дедауб объяснил, что атака не была сложной, так как не использовались логические ошибки. Он добавил, что Poly Network медленно реагировала на ответ в течение семи часов, что обошлось платформе в 5,5 миллионов долларов в виде украденной криптовалюты. К счастью, отсутствие ликвидности во многих токенах предотвратило дальнейшие потери.
Связанный с этим: более 204 миллионов долларов было потеряно из-за взломов и мошенничества с DeFi во втором квартале
После атаки генеральный директор Binance Чанпэн Чжао успокоил клиентов, заявив, что «это не влияет на пользователей Binance. Мы не поддерживаем депозиты из этой сети».
Poly Network снова получила признание; якобы из-за скомпрометированных горячих клавиш.
Это будет происходить до тех пор, пока наша отрасль не изменит наш подход к безопасности.
Аудит смарт-контрактов — это лишь поверхностная часть.
ps Poly network не имеет НИЧЕГО общего с Polygon. https://t.co/n1qI48b4Kb
— Мудит Гупта (@Mudit__Gupta) 2 июля 2023 г.
Коинтелеграф обратился к Poly Network за дополнительной информацией, но не получил ответа на момент публикации.
Poly Network уже однажды подвергалась атаке в ходе одной из крупнейших эксплойтов в отрасли в августе 2021 года, когда хакеры, которые, как позже выяснилось, были связаны с северокорейским хакерским коллективом Lazarus Group, украли более 600 миллионов долларов.
Журнал: Tornado Cash 2.0: гонка за создание безопасных и законных миксеров монет
Источник: Сointеlеgrаph