Подальші подробиці з’являються після атаки 2 липня на крос-чейн-платформу Poly Network, яка призвела до того, що хакер зміг випустити мільярди токенів з повітря для отримання прибутку.
У дописі у Twitter від 2 липня Poly Network підтвердила, що стала останньою жертвою експлойту DeFi після того, як зловмисникам вдалося маніпулювати функцією смарт-контракту на протоколі перехресного мосту, додавши, що це тимчасово призупинить послуги.
В останньому оновленні команда виявила, що експлойт вплинув на 57 активів криптовалюти в 10 блокчейнах, включаючи Ethereum, BNB Chain, Polygon, Avalanche, Heco, OKx та інші, такі як Metis.
Не уточнюється, скільки було вкрадено під час атаки, але Peckshield раніше повідомляв, що експлуататор перевів криптовалюту на суму щонайменше 5 мільйонів доларів.
«Ми вже розпочали спілкування з централізованими біржами та правоохоронними органами та звернулися за допомогою до них», — заявила команда в оновленому оновленні від 3 липня.
Він також порадив командам проектів і власникам токенів зняти ліквідність і розблокувати свої токени LP (постачальника ліквідності).
Злом мережі Poly на 34 мільярди
Аналітик безпеки DeFi @0xArhat сказав, що експлойт був результатом уразливості смарт-контракту, яка дозволила хакеру «створити шкідливий параметр, що містить підроблений підпис валідатора та заголовок блоку».
Це було прийнято смарт-контрактом, який дозволив хакеру обійти процес перевірки, дозволяючи йому видавати токени з пулу Ethereum Poly Network на свою власну адресу в інших мережах, таких як Metis, BNB Chain і Polygon.
Процес повторювався для інших ланцюжків, дозволяючи сховку токенів накопичуватися.
У якийсь момент гаманець хакера містив токени на суму близько 42 мільярдів доларів, але зміг конвертувати та вкрасти лише незначну їх частину, сказав аналітик.
«Таким чином хакер зміг викарбувати мільярди токенів на різних блокчейнах, які раніше не існували, і перенести їх на власні адреси гаманців».
Останній експлойт Poly Network постачальник рішень для безпеки блокчейну Dedaub назвав «зломом 34 мільярдів Poly Network».
Getting to the bottom of the "34 billion" Poly network hack with a technical postmortem.
TL ; DR
Poly network had a simple 3 of 4 multisig arrangement over 2 years!
Looking at the final event we found that the private keys to the addresses marked were compromised. pic.twitter.com/Y0eMJXcYso
— Dedaub (@dedaub) July 2, 2023
Дедауб зазначив слабкі сторони в протоколі з кількома підписами, заявивши, що він мав просту систему мультипідпису «3 з 4» протягом двох років, додавши:
«Переглянувши останню подію, ми виявили, що приватні ключі до позначених адрес були скомпрометовані».
Дедауб пояснив, що атака не була складною, оскільки не було використано логічних помилок. Було додано, що Poly Network повільно відповідала, що зайняло сім годин, що коштувало платформі 5,5 мільйонів доларів у вигляді вкраденої криптовалюти. На щастя, відсутність ліквідності багатьох токенів запобігла подальшим втратам.
За темою: понад 204 мільйони доларів втратили через зломи та шахрайство DeFi у другому кварталі
Після атаки генеральний директор Binance Чанпен Чжао заспокоїв клієнтів, заявивши, що «це не впливає на користувачів Binance. Ми не підтримуємо депозити з цієї мережі».
Poly Network got rekt again; allegedly because of compromised hot keys.
It's going to keep happening untill our industry changes our approach to security.
Smart contract audits only scratch the surface.
ps Poly network has NOTHING to do with Polygon. https://t.co/n1qI48b4Kb
— Mudit Gupta (@Mudit__Gupta) July 2, 2023
Cointelegraph зв’язався з Poly Network для отримання додаткової інформації, але не отримав відповіді на момент публікації.
Мережа Poly була атакована один раз під час однієї з найбільших експлойтів у галузі в серпні 2021 року, коли хакери, які пізніше виявились пов’язаними з північнокорейським хакерським колективом Lazarus Group, вкрали понад 600 мільйонів доларів.
