Дополнительные подробности становятся известны после атаки 2 июля на кроссчейн-мост-платформу Poly Network, в результате которой хакер смог выпустить миллиарды токенов из воздуха для получения прибыли.
В сообщении в Твиттере от 2 июля Poly Network подтвердила, что стала последней жертвой эксплойта DeFi после того, как злоумышленникам удалось манипулировать функцией смарт-контракта в протоколе межсетевого моста, добавив, что он будет временно приостанавливать предоставление услуг.
В последнем обновлении команда сообщила, что эксплойт затронул 57 криптовалютных активов в 10 блокчейнах, включая Ethereum, BNB Chain, Polygon, Avalanche, Heco, OKx и другие, такие как Metis.
Он не уточнил, сколько было украдено в ходе атаки, но Peckshield ранее сообщал, что злоумышленник перевел криптовалюту на сумму не менее 5 миллионов долларов.
«Мы уже начали общение с централизованными биржами и правоохранительными органами и обратились к ним за помощью», — заявила команда в обновлении от 3 июля.
Он также посоветовал проектным группам и держателям токенов вывести ликвидность и разблокировать свои токены LP (поставщика ликвидности).
Взлом Poly Network на 34 миллиарда долларов
Аналитик безопасности DeFi @0xArhat сказал, что эксплойт был результатом уязвимости смарт-контракта, которая позволила хакеру «создать вредоносный параметр, содержащий фальшивую подпись валидатора и заголовок блока».
Это было принято смарт-контрактом, позволяющим хакеру обойти процесс проверки, позволяя им выпускать токены из пула Ethereum Poly Network на свой собственный адрес в других цепочках, таких как Metis, BNB Chain и Polygon.
Этот процесс был повторен для других цепочек, что позволило накопить запас токенов.
По словам аналитика, в какой-то момент кошелек хакера содержал токены на сумму около 42 миллиардов долларов, но он смог конвертировать и украсть только часть из них.
«Таким образом, хакер смог создать миллиарды токенов на различных блокчейнах, которых раньше не было, и перевести их на адреса своих собственных кошельков».
Последний эксплойт Poly Network был назван поставщиком решений безопасности блокчейна Dedaub «34-миллиардным взломом Poly Network».
Getting to the bottom of the "34 billion" Poly network hack with a technical postmortem.
TL ; DR
Poly network had a simple 3 of 4 multisig arrangement over 2 years!
Looking at the final event we found that the private keys to the addresses marked were compromised. pic.twitter.com/Y0eMJXcYso
— Dedaub (@dedaub) July 2, 2023
Дедауб отметил недостатки в мультиподписи протокола, заявив, что в течение двух лет он имел простую схему мультиподписи «3 из 4», добавив:
«Глядя на финальное событие, мы обнаружили, что закрытые ключи к отмеченным адресам были скомпрометированы».
Дедауб объяснил, что атака не была сложной, так как не использовались логические ошибки. Он добавил, что Poly Network медленно реагировала на ответ в течение семи часов, что обошлось платформе в 5,5 миллионов долларов в виде украденной криптовалюты. К счастью, отсутствие ликвидности во многих токенах предотвратило дальнейшие потери.
Связанный с этим: более 204 миллионов долларов было потеряно из-за взломов и мошенничества с DeFi во втором квартале
После атаки генеральный директор Binance Чанпэн Чжао успокоил клиентов, заявив, что «это не влияет на пользователей Binance. Мы не поддерживаем депозиты из этой сети».
Poly Network got rekt again; allegedly because of compromised hot keys.
It's going to keep happening untill our industry changes our approach to security.
Smart contract audits only scratch the surface.
ps Poly network has NOTHING to do with Polygon. https://t.co/n1qI48b4Kb
— Mudit Gupta (@Mudit__Gupta) July 2, 2023
Коинтелеграф обратился к Poly Network за дополнительной информацией, но не получил ответа на момент публикации.
Poly Network уже однажды подвергалась атаке в ходе одной из крупнейших эксплойтов в отрасли в августе 2021 года, когда хакеры, которые, как позже выяснилось, были связаны с северокорейским хакерским коллективом Lazarus Group, украли более 600 миллионов долларов.
