في 10 أغسطس ، تعرضت Poly Network لاختراق بقيمة 611 مليون دولار - وهو أكبر اختراق مرتبط بالعملات المشفرة حتى الآن. كان هذا الهجوم مثيرًا للاهتمام بشكل خاص مقارنة بأغلبية متسللي DeFi ، الذين يستخدمون عادةً شكلًا من أشكال القروض السريعة والمراجحة للاستغلال العقود الذكيةما هي العقود الذكية؟ العقد الذكي هو محترف كمبيوتر ... المزيد ومبالغ صغيرة من الأموال. في هذه الحالة ، وجد المخترق ثغرة سمحت له بتجاوز المفاتيح الخاصة وجعل العقد الذكي يرسل الأموال مباشرة إلى محافظ تحت سيطرته. أكدت CipherTrace أنه تم إرجاع جميع الأموال تقريبًا حتى الآن إلى شبكة Poly. أكدت شبكة Poly أيضًا على العائد على موجز Twitter الخاص بهم.
عندما يكون اختراق DeFi النموذجي ضد أدوات DeFi محددة ، مما يؤدي إلى خسائر أقل بكثير ، في هذه الحالة كان الهجوم ضد البنية التحتية لشبكة Poly ، مع التركيز على منصة DeFi نفسها واستهداف التحكم في العقود الذكية للبورصة اللامركزية (DEX). نتيجة لذلك ، أصبح العقد الرئيسي عبر السلسلة يتحكم فيه المخترق تمامًا ، مما سمح له بفتح الرموز التي كان من المفترض أن تكون مقفلة في العقد ، وإرسال الرموز المميزة إلى عناوين تحت سيطرتهم ، ثم كرر الهجوم عبر السلاسل.
كيف تم اختراق شبكة بولي
تعمل شبكة Poly كجسر قابلية للتشغيل البيني عبر سلسلة لتسهيل نقل الرموز المميزة بين بلوكشين مستقلين نسبيًا. على هذا النحو ، فإن أحد عقود Poly Network الذكية الرئيسية هو الجسر نفسه. لكي تعمل الجسور بين السلاسل بشكل فعال (على سبيل المثال لكي يتمكن المستخدمون من استخدام الشبكة لنقل الرموز المميزة عبر السلاسل) ، فإنهم بحاجة إلى الاحتفاظ بمبالغ كبيرة من السيولة. عندما يريد المستخدم "الجسر" بين السلاسل ، تحتاج Poly Network إلى حرق الأصول المكافئة على السلاسل المعنية بكفاءة / سكها.
يستخدم العقد الذي يصدر تحويلات الرمز المميز عبر السلاسل هذه "الحراس" للتحقق من المعاملات وتنفيذها. بمجرد أن يوقع الحارس على سلسلة المصدر ال CrossChainManager عقد على سلسلة الوجهة سيتحقق من توقيع Keeper للتأكد من صحته وينفذ ما يعادله على سلسلة الوجهة لإكمال "الجسر".
نظرًا لأن العقد الذكي ينفذ المعاملات وليس المستخدم نفسه ، فقد تمكن المخترق من استغلال CrossChainManager عقد ذكي واستبدل "الحراس" بحارس خبيث تحت سيطرتهم. نتيجة لذلك ، أصبح العقد الرئيسي عبر السلاسل على شبكة Poly يتحكم فيه المخترق بالكامل ، مما سمح له بفتح الرموز التي كان من المفترض أن تظل مقفلة في عقد الجسر ونقل الرموز المميزة إلى عناوين تحت سيطرته. ثم كرر المخترق الهجوم عبر السلاسل.
من هم الضحايا الحقيقيون لاختراق شبكة بولي؟
نتيجة لإجراءات المتسلل ، عانت أموال المستخدمين التي تم "قفلها" في هذه العقود من الخسارة الحقيقية. في حين لم يتم أخذ الرموز المميزة لأفراد معينين ، فمن خلال إزالة مثل هذا المبلغ الكبير المحبوس في البروتوكول ، لن يكون لدى Poly Network بعد الآن السيولة اللازمة لدعم نزوح جماعي على نطاق واسع إذا كان جميع المستخدمين يرغبون في سحب أموالهم من العقود. ومع ذلك ، نظرًا للطبيعة اللامركزية لـ DeFi ، فإن عدم وجود أي عمليات KYC والوصول عبر الحدود يعني أن تحديد هوية الضحايا الحقيقيين ومكان وجودهم يكاد يكون مستحيلًا.
بشكل عام ، يعد استغلالًا معقدًا لعقد ذكي سيئ التصميم ، حيث يؤثر "الخطر" و "السلوك" على مستخدمي شبكة Poly. المستثمرون هم الضحايا الحقيقيون وليس بولي نتورك بأنفسهم. يمكن القول أن Poly Network تشارك المسؤولية مع المتسلل من خلال عدم ضمان جودة عقدهم الذكي وبالتالي تعريض المستثمرين لمخاطر كبيرة.
لا يوجد حاليًا ما يشير إلى أن كود Poly Network قد تلقى تدقيقًا على الإطلاق. البحث من خلال جيثب البروتوكول اتفاقيات إعادة الشراء لم يشر إلى إجراء أي عمليات تدقيق أو الإبلاغ عنها.
يقوم مخترق شبكة Poly Network بإرجاع أكثر من نصف الأموال المسروقة
ولدهشة أولئك الذين يراقبون سرقة شبكة بولي ، بدأ المهاجم في 11 أغسطس في إعادة بعض الأموال المسروقة. ترك هذا الكثيرين على الإنترنت يتساءلون ، لماذا؟
في جميع عمليات التبادل التي قام بها المخترق في محاولة للتعتيم على أثره ، يبدو أن المخترق أعاد في وقت ما استخدام محفظة كانت لديها بالفعل معاملات سابقة مع بعض التبادلات البارزة التي يمكن أن تحتوي على معلومات "اعرف عميلك" (KYC) على له.
هناك ادعاءات بأن المتسلل من المحتمل أن يكون قبعة بيضاء ، بالنظر إلى إعادة الأموال. ومع ذلك ، فمن غير المرجح للغاية أن تكون القبعة البيضاء قد اتخذت نفس الخطوات لمحاولة التعتيم على مسار الأموال إذا كانت تنوي دائمًا إعادة الأموال.
في وقت إنشاء هذه المدونة ، أكدت CipherTrace أنه تم إرجاع جميع الأموال تقريبًا إلى Poly Network في العناوين التي طوروها خصيصًا للمخترق لإعادة الأموال. هذه العناوين هي:
- 0x71Fb9dB587F6d47Ac8192Cd76110E05B8fd2142f
- 0xEEBb0c4a5017bEd8079B88F35528eF2c722b31fc
- 0xA4b291Ed1220310d3120f515B5B7AccaecD66F17
تم تجميد الأموال في 10 أغسطس (يوم الاختراق)
تم تجميد USDT
عادت الأموال في 11 أغسطس
عقد بولي: 85 مليون دولار أمريكي
عقد BSC: 256.2 مليون دولار في 3 عملات رئيسية (معظمها BTCB ، Binance مربوط ETH ، BUSD) و 2.637 مليون دولار في BNB
عقد Ethereum: 3.4 مليون دولار في SHIB و renBTC و Fei
عادت الأموال في 12 أغسطس
عقد Ethereum: 96.42 مليون دولار أمريكي
تداعيات مثل هذا الاختراق الكبير لـ DeFi
سيقوم المشرعون بتسريع تنفيذ لوائح DeFi ، خاصة وأن عدد المتسللين من DeFi اللوالب ، كما يتجلى في أحدث اختراق لشبكة Poly. في نهاية المطاف ، من المرجح أن يصنف المنظمون التبادلات اللامركزية (DEXs) على أنها مزودي خدمة الأصول الافتراضية (VASPs) وفقًا لتوصيات مجموعة العمل المالي. من المرجح أن تقوم FinCEN بتصنيف DEXs على أنها أعمال خدمات مالية (MSBs) ، مما يعني أن DEXs وتطبيقات DeFi الأخرى ستكون مطلوبة للوفاء بالتزامات مكافحة غسيل الأموال (AML) و KYC. أتوقع أيضًا أن تنظم هيئة تداول السلع الآجلة (CFTC) مجتمعات DeFi وأن تقوم لجنة الأوراق المالية والبورصات (SEC) بتنظيم قوانين DeFi للأوراق المالية.
بالإضافة إلى ذلك ، ستصبح معايير جودة العقود الذكية أكثر صرامة ، وستظهر معايير التدقيق. علاوة على ذلك ، فإن "سوق التأمين" DeFi سوف يتطور وينضج بحيث يمكنه تقييم المخاطر التقنية المناسبة لـ DeFi بشكل مناسب.
تقترب عمليات اختراق DeFi من 2 مليار دولار لهذا العام - ما التالي؟
يجسد هذا الاختراق أهمية أمان العقود الذكية ومعايير التدقيق لضمان الجودة وتقليل نقاط الضعف في الكود.
وفقا لآخر ما لدينا تقرير جرائم العملة المشفرة ومكافحة غسيل الأموال، بحلول نهاية أغسطس ، بلغ حجم اختراق DeFi-hack الذي حققه المجرمون في عام 2021 ما قيمته 361 مليون دولار. اليوم ، تضاعف هذا الرقم ثلاث مرات تقريبًا حيث أن اختراق DeFi يشكل الآن 994 مليون دولار ، وهو ما يشكل 90٪ من إجمالي حجم الاختراق في عام 2021 والذي يتجاوز 1.1 مليار دولار بقليل.
نظرًا لأن عمليات اختراق DeFi والاحتيال تستمر في النمو بشكل كبير ربع سنويًا ، فإن مستقبل جريمة DeFi يبدو قاتمًا إذا كان الاتجاه سيستمر. إذا استمرت جرائم DeFi في النمو بشكل أكثر تعقيدًا ، كما تمت معاينته بواسطة اختراق Poly Network ، فمن المرجح أن يتم استهداف العقود الذكية بشكل متزايد لهجمات على نطاق أوسع.
الزائدة الدودية
في 11 أغسطس ، أجرى المخترق أسئلة وأجوبة "على السلسلة". يمكن الاطلاع على ما يلي من خلال فك تشفير بيانات الإدخال في بعض معاملاته.
سؤال وجواب ، الجزء الأول:
س: لماذا القرصنة؟
ج: للمتعة 🙂
س: لماذا بولي شبكة؟
ج: اختراق السلاسل المتقاطعة أمر ساخن
س: لماذا يتم نقل الرموز؟
ج: للحفاظ على سلامته.
عند اكتشاف الخطأ ، شعرت بشعور مختلط. اسأل نفسك ماذا تفعل لو واجهت الكثير من الحظ. سؤال فريق المشروع سياسيًا حتى يتمكنوا من إصلاحه؟ يمكن لأي شخص أن يكون الخائن يعطى مليارًا واحدًا! لا يمكنني الوثوق بأي شخص! الحل الوحيد الذي يمكنني التوصل إليه هو توفيره في حساب _ موثوق به أثناء الاحتفاظ بنفسي _مشروع _ وآمن_.
الآن يشم الجميع إحساسًا بالتآمر. داخلي؟ لست أنا ، ولكن من يعرف؟ أتحمل مسؤولية الكشف عن الثغرات الأمنية قبل أن يخفيها أي من الداخل ويستغلها!
س: ما سبب التطور؟
ج: شبكة بولي هي نظام لائق. إنها واحدة من أكثر الهجمات تحديًا التي يمكن أن يستمتع بها المتسلل. وكان علي أن أكون سريعًا للتغلب على أي من الداخل أو المتسللين ، لقد استغلته كجدل إضافي 🙂
س: هل أنت معرض؟
ج: لا. أبدا. لقد فهمت مخاطر تعريض نفسي حتى لو لم أفعل الشر. لذلك استخدمت بريدًا إلكترونيًا مؤقتًا أو IP أو _SO CALLED_ FINGERPRINT ، والتي لا يمكن الوصول إليها. أفضل البقاء في الظلام وإنقاذ العالم.
https://etherscan.io/tx/0x1fb7d1054df46c9734be76ccc14fa871b6729e33b98f9a3429670d27ec692bc0
سؤال وجواب ، الجزء الثاني:
س: ما الذي حدث بالفعل قبل 30 ساعة؟
قصة طويلة.
صدق أو لا تصدق ، لقد أُجبرت على لعب اللعبة.
شبكة POLY هي نظام متطور ، لم أتمكن من بناء بيئة اختبار محلية. لقد فشلت في إنتاج نقطة انطلاق في البداية. ومع ذلك ، جاءت لحظة AHA قبل أن أستسلم. بعد التنقيح طوال الليل ، قمت بصياغة رسالة واحدة إلى شبكة علم الأورام.
كنت أخطط لإطلاق برنامج BLITZKRIEG رائع للاستفادة من الشبكة الأربعة: ETH و BSC و POLYGON و HECO. ومع ذلك ، أخطأت شبكة HECO! لا يتصرف RELAYER مثل الآخرين ، فقد نقل الحارس فقط تفجيري بشكل مباشر ، وتم تحديث المفتاح إلى بعض المعلمات الخاطئة. لقد أفسد خطتي.
كان يجب أن أتوقف في تلك اللحظة ، لكنني قررت أن أترك العرض يستمر! ماذا لو قاموا بتصحيح الخطأ بشكل سري دون أي إخطار؟
ومع ذلك ، لم أرغب في إثارة غضب حقيقي من عالم CRYPTO. لذلك اخترت تجاهل العملات المعدنية القذرة ، لذلك لم يكن على الناس أن يقلقوا من أنهم سيذهبون إلى الصفر. لقد استهلكت رموزًا مهمة (باستثناء الشيب) ولم أبيع أيًا منها.
س: إذن لماذا بيع / مبادلة الإسطبلات؟
ج: لقد استغلت من قبل فريق البوليس للحصول على ردهم الأولي.
لقد حثوا الآخرين على لومني وكرهتي قبل أن أتيحت لي فرصة للرد! بالطبع علمت أن هناك عملات DEFI مزيفة ، لكنني لم آخذها بجدية منذ أن لم يكن لدي أي خطة لغسلها.
من ناحية أخرى ، قد يكتسب إيداع الإسطبلات بعض الفوائد لتغطية التكلفة المحتملة ، لذلك لدي المزيد من الوقت للتفاوض مع فريق بولي.
https://etherscan.io/tx/0xd4ee4807c07702a3202f45666983855d7fa22eb1c230e4c1e840fc9389e54729
سؤال وجواب ، الجزء الثالث:
س: لماذا البقشيش 13.37؟
ج: شعرت بالدفء من مجتمع الإيثيريوم.
لقد كنت مشغولاً بالتحقيق في مشكلات من HECO وأقوم بتفكيك نصوصي. اعتقدت أن الأمر يتعلق بمشكلات تتعلق بالشبكات ، ولماذا لا يمكنني الإيداع (كنت خلف وكيل متطور). لذلك شاركت نواياي الحسنة مع الرجل.
س: لماذا تسأل TORNADO و DAO؟
ج: بعد أن شهدت الكثير من عمليات القرصنة ، أدركت أن الإيداع في تورنادو قرار حكيم ولكنه يائس. كان ذلك ضد نواياي الأصلية. كونك الهاكر المزاحم كان مجرد مزاح سيئ بعد لقاء الكثير من المتسولين 🙂
س: لماذا العودة؟
ج: هذه هي الخطة دائمًا! أنا لست مهتمًا جدًا بالمال! أعلم أن الأمر مؤلم عندما يتعرض الأشخاص للهجوم ، لكن ألا يجب عليهم تعلم شيئًا من تلك الاختراقات؟ لقد أعلنت قرار الإعادة قبل منتصف الليل ، لذا يجب أن يتمتع الأشخاص الذين لديهم إيمان بي براحة جيدة 😉
س: لماذا العودة ببطء؟
ج: أحتاج إلى وقت للتحدث مع فريق البوليس. آسف ، هذه هي الطريقة الوحيدة التي أعرفها لإثبات كرامتي أثناء إخفاء هويتي. وأنا بحاجة إلى بعض الراحة.
س: فريق البوليس؟
ج: لقد بدأت بالفعل الحديث معهم بإيجاز ، السجلات موجودة على الإيثيريوم. قد أنشرها أو لا يجوز أن أنشرها. إن الآلام التي عانوا منها مؤقتة ولكنها لا تُنسى.
أود أن أعطي لهم نصائح حول كيفية تأمين شبكاتهم ، حتى يكونوا مؤهلين لإدارة مشروع المليار في المستقبل. شبكة POLY هي نظام مصمم بشكل جيد وسوف تتعامل مع المزيد من الأصول. لقد حصلوا على الكثير من المتابعين الجدد على تويتر ، أليس كذلك؟
https://etherscan.io/tx/0xe954bed9abc08c20b8e4241c5a9e69ed212759152dd588bb976b47eca353a5bc
القيمة مأخوذة من Poly Network Hack
سلسلة | TX هاش | الأصول | كمية | $ قيمة |
BSC | 0x534966864bda354628d4f1c66db45cbefcdda7433e9576e7664fea01bb05be9a | BNB | 6,613.44 | $2,460,861.21 |
BSC | 0xd59223a8cd2406cfd0563b16e06482b9a3efecfd896d590a3dba1042697de11a | USDC | 87,603,373.77 | $87,624,502.53 |
BSC | 0x4e57f59395aca4847c4d001db4a980b92aab7676bc0e2d57ee39e83502527d6c | ETH | 26,629.16 | $85,896,083.66 |
BSC | 0x50105b6d07b4d738cd11b4b8ae16943bed09c7ce724dc8b171c74155dd496c25 | BTCB | 1,023.88 | $47,427,704.52 |
BSC | 0xd65025a2dd953f529815bd3c669ada635c6001b3cc50e042f9477c7db077b4c9 | BUSD | 32,107,854.11 | $32,124,918.14 |
BSC | 0xea37b320843f75a8a849fdf13cd357cb64761a848d48a516c3cac5bbd6caaad5 | USDC | 298.9405633 | $299.04 |
ETH | 0xad7a2c70c958fcd3effbf374d0acf3774a9257577625ae4c838e24b0de17602a | ETH | 2,857.49 | $8,977,279.13 |
ETH | 0x5a8b2152ec7d5538030b53347ac82e263c58fe7455695543055a2356f3ad4998 | USDC | 96,389,444.23 | $96,430,660.58 |
ETH | 0x3f55ff1fa4eb3437afe42f4fea57903e8e663bc3b17cb982f1c8d4c8f03a2083 | WBTC | 1,032.12 | 46,971,609.47 |
ETH | 0xa7c56561bbe9fbd48e2e26306e5bb10d24786504833103d3f023751bbcc8a3d9 | DAI | 673,227.94 | $673.628.12 |
ETH | 0xc917838cc3d1edd871c1800363b4e4a8eaf8da2018e417210407cc53f94cd44e | UNI | 43,023.75 | $1,242,040.44 |
ETH | 0xe05dcda4f1b779989b0aa2bd3fa262d4e6e13343831cb337c2c5beb2266138f5 | شيب | 259,737,345,149.52 | $1,974,082.34 |
ETH | 0xb12681d9e91e69b94960611b227c90af25e5352881907f1deee609b8d5e94d7d | الرينبتك | 14.47265047 | $659,141.75 |
ETH | 0x06aca16c483c3e61d5cdf39dc34815c29d6672a77313ec36bf66040c256a7db3 | USDT | 33,431,197.73 | $33,391,733.96 |
ETH | 0xc797aa9d4714e00164fcac4975d8f0a231dae6280458d78382bd2ec46ece08e7 | WETH | 26,109.06 | $82,052,128.62 |
ETH | 0xd8c1f7424593ddba11a0e072b61082bf3d931583cb75f7843fc2a8685d20033a | الاتحاد الدولي للفروسية | 616,082.59 | $616,082.59 |
بولي | 0x1d260d040f67eb2f3e474418bf85cc50b70101ca2473109fa1bf1e54525a3e01 | USDC | 85,089,610.91 | $85,061,020.80 |
بولي | 0xfbe66beaadf82cc51a8739f387415da1f638d0654a28a1532c6333feb2857790 | USDC | 108.694578 | $108.66 |
عناوين بولي شبكة هاكر
حددت شبكة Poly علنًا ثلاثة عناوين يُزعم أن المهاجم يتحكم فيها:
- 0xC8a65Fadf0e0dDAf421F28FEAb69Bf6E2E589963 (ETH)
- 0x0D6e286A7cfD25E0c01fEe9756765D8033B32C71 (BSC)
- 0x5dc3603C9D42Ff184153a8a9094a73d461663214 (POLYGON)
المصدر: https://ciphertrace.com/poly-network-suffers-largest-crypto-hack-ever-recorded/
- &
- 11
- حسابي
- الكل
- مزعوم
- السماح
- AML
- أعلن
- مكافحة غسل الاموال
- التطبيقات
- موازنة
- الأصول
- ممتلكات
- التدقيق
- أغسطس
- مليار
- binance
- المدونة
- BRIDGE
- علة
- نساعدك في بناء
- BUSD
- الأعمال
- سبب
- CFTC
- CipherTrace
- مطالبات
- الكود
- عملات معدنية
- المجتمعات
- مجتمع
- مؤامرة
- استمر
- عقد
- عقود
- نسبة الجريمة
- جرائم
- المجرمين
- عبر الحدود
- التشفير
- DAO
- البيانات
- يوم
- اللامركزية
- الصدمة
- التنفيذ المباشر
- فعل
- البريد الإلكتروني
- البيئة
- ETH
- ethereum
- الاستبدال
- هجرة جماعية
- استغلال
- مواجهة
- زائف
- جهاز مكافحة الجرائم المالية
- بصمة
- حل
- Flash
- النموذج المرفق
- احتيال
- مرح
- أموال
- مستقبل
- لعبة
- GitHub جيثب:
- خير
- النمو
- الإختراق
- القراصنة
- قراصنة
- القرصنة
- الخارقة
- كيفية
- كيفية
- HTTPS
- هوية
- معلومات
- البنية التحتية
- مطلع
- مصلحة
- Internet
- التوافقية
- المستثمرين
- IP
- مسائل
- IT
- حفظ
- القفل
- مفاتيح
- KYC
- كبير
- آخر
- إطلاق
- تعلم
- سيولة
- القروض
- محلي
- طويل
- رائد
- أغلبية
- القيام ب
- مليون
- مختلط
- مال
- مراقبة
- خطوة
- شبكة
- الشبكات
- الشبكات
- إعلام
- علم الوجود
- طلب
- أخرى
- ذعر
- بقعة
- مجتمع
- تخطيط
- المنصة
- اضغط لتتحدث
- خاص
- مفاتيح خاصة
- برو
- تنفيذ المشاريع
- الوكيل
- نشر
- سؤال وجواب
- جودة
- تخفيض
- قوانين
- الجهات التنظيمية
- REST
- عائدات
- المخاطرة
- خزنة
- إنقاذ
- حجم
- ثانية
- ضمانات
- أمن
- بيع
- إحساس
- شاركت
- مشاركة
- لوحات
- سمارت
- عقد الذكية
- العقود الذكية
- So
- المعايير
- بدأت
- إقامة
- مسروق
- الدعم
- مفاجأة
- نظام
- الحديث
- تقني
- مؤقت
- الاختبار
- سرقة
- الوقت
- نصائح
- رمز
- الرموز
- المعاملات
- الثقة
- أو تويتر
- المستخدمين
- الأوعية الدموية
- افتراضي
- مزودي خدمة الأصول الافتراضية
- حجم
- نقاط الضعف
- الضعف
- محفظة
- محافظ
- من الذى
- في غضون
- العالم
- صفر