August har været en stor måned for hacks, da en af de største i cryptocurrency-historien blev trukket ud på Poly Network, med mærkelige resultater.
Cyberangrebet mod Poly-netværk har skabt overskrifter med adskillige bizarre drejninger og hovedkradsende drejninger. Man kan forestille sig, at det er lettere at plyndre cryptocurrency-børser end at røve en bank.
Tyveri af kryptovalutaer med høj indsats er tilsyneladende stigende. Det er dog vigtigt at påpege, at disse decentraliserede teknologier stadig er under udvikling siden deres begyndelse. Som med ethvert system, når sårbarheder opdages, er de rettet.
Poly Network-sagaen
Poly Network var uden tvivl denne måneds største hackerskandale.
Hackeren fandt en sårbarhed i de digitale kontrakter. Disse er, hvad Poly Network bruger til at flytte kryptoaktiver mellem forskellige kæder. Herigennem fandt de vej ind.
De fortsatte derefter med at udføre et monumentalt krypto-tyveri på tværs af tre kæder. Ethereum, Binance og Polygon Network blev alle ramt. De drænede over $600 millioner fra den decentraliserede finans (Defi) platform.
Ydermere opretholdt angriberen en offentlig tilstedeværelse under dette angreb. De gik endda så langt som til udgive en Q&A som hævdede, at angrebet var "for sjov".
Deres egentlige motiver for at røve pengene er dog ikke klare. Dette er fordi deres begrundelser er ret modstridende og forvirrende at følge. I deres Q&A hævder de, at de tog tokens "for at holde det sikkert."
De hævdede, at de tog pengene for at forhindre, at nogen insidere i Poly Network kunne finde sårbarheden. Men i stedet for at ordne det, besluttede de at tage pengene i stedet for.
De lod til at gøre det til deres ansvar at bekymre sig om sårbarheden. De fokuserede derefter deres opmærksomhed på at røve Defi platform ved at forsøge at finde den bedste måde at hvidvaske pengene ubemærket.
Angriberen foretog dog støjende transaktioner under kryptosamfundets vågne øje. Disse blev observeret på den offentlige blockchain. De købte endda en Cryptopunk NFT til 42,000 ETC, et tal, der er værd over 180 millioner dollars.
Et usædvanligt hackertræk
Det mærkelige er, at de til sidst returnerede 550 millioner dollars af de stjålne penge. Hackeren stak den anden halvdel i lommer i et stykke tid, på trods af at han forsøgte at forklare, at indtrængen var udført med gode intentioner.
I en Twitter tråd, sagde Poly Network, "Vi opfordrer minearbejdere af berørte blockchain- og kryptoudvekslinger til at sortliste tokens, der kommer fra ovenstående adresser ... Vi vil tage juridiske skridt, og vi opfordrer hackerne til at returnere aktiverne."
Tether, som driver stablecoin USDT, svarede til opfordringen til at blackliste de adresser, der bruges af angriberen.
Da dette skete, leverede en anden kryptovaluta-bruger ved navn Hanashiro en blank Ethereum-transaktion til angriberen med råd om at hjælpe hackeren med at manøvrere rundt i det skiftende landskab og sige, "brug ikke dit USDT-token, du er blevet [sic] sortlistet."
Den ubudne gæst svarede Hanashiro en halv time senere og sendte 13.37 ETH til en værdi af omkring $57,000 som et tegn på taknemmelighed. Hanishiro sendte derefter nogle af midlerne til velgørende organisationer.
Fællesskabsmedlemmer støtter hacker
Ordet om denne betaling kom rundt og spredte sig som en steppebrand. Dette antændte til et "guldfeber" på Ethereum-netværket.
Potentielle medskyldige begyndte at sende beskeder til den konto, som angriberen brugte, og give dem råd om, hvordan de kunne hvidvaske pengene for at opfordre til velgørenhedsbidrag.
Poly-netværk erklærede at de ville forfølge retssager mod angriberen og sige, at "lovhåndhævelse i ethvert land vil betragte dette som en stor økonomisk forbrydelse, og du vil blive forfulgt."
Da situationen eskalerede på grund af ikke-returnerede midler, blev Poly Network derefter tilbød den ubudne gæst $500,000 for at opdage sårbarheden.
Hackeren afviste dem. De havde trods alt tæt på en halv milliard dollars i stjålne aktiver.
Et sted i mellem, hvor Poly Network opfordrede hackeren til at returnere pengene, og de til sidst blev returneret, tilbød Poly Network den ubudne gæst et job som deres nye chef Sikkerhed Rådgiver, hvilket også blev afvist.
"Efter at have kommunikeret med Mr. White Hat er vi også nået til en mere fuldstændig forståelse af, hvordan situationen udviklede sig såvel som Mr. White Hats oprindelige intention," rapporterede Poly Network i en erklæring, hvor de refererer til den ubudne gæst ved denne moniker.
Sporing af hackene
Dette er dog ikke slutningen på historien. SlowMist, blockchain-økosystemsikkerhedsfirmaet, var i stand til med succes at udrede tråden, der førte tilbage til hackeren.
Det gjorde de ved at afsløre deres postkasse, IP-adresse og enhedsfingeraftryk ved hjælp af on-chain og off-chain tracking.
Med den tekniske hjælp fra SlowMists partner Hoo Tiger Symbol, sammen med flere deltagende udvekslinger, var SlowMist-sikkerhedsteamet i stand til at konstatere, at angriberens oprindelige kryptokilde varMonero (XMR).
De overførte derefter midlerne til BNB, ETH og MATIC på børsen. Efter dette hævede de penge til flere adresser og lancerede derefter hacks på tre børser.
Bygden af aktiviteter på blockchain gjorde det nemmere at spore dem. Men de konkluderede, at denne angriber grundigt undersøgte, planlagde og organiserede hacket, før det blev henrettet.
Flere hacks, andet offer
Den næste begivenhed, der udspillede sig i denne saga, kom fra Fetch.ai, et kunstig intelligens-laboratorium beliggende i Cambridge, som anmodet at Binance arbejder på at identificere og spore hackerens bevægelser, efter at hackeren brød deres cryptocurrency-konti den 6. juni.
Netværket begrænsede hackerens konti. På den måde forhindrer de dem i at trække aktiver tilbage. Som følge heraf solgte angriberen angiveligt disse midler til en tredjepart inden for en time.
Fetch.ai anmodede Binance om at sætte et hold på den ubudne gæsters konti på børsen. For at forværre spørgsmålet yderligere imødekom en højesteret anmodningerne, så hændelsen kunne undersøges fuldt ud og løses gennem juridiske kanaler.
Rapporter viser, at Binance vil overholde retskendelserne. Ikke desto mindre vil de ikke være i stand til at anmode om en inddrivelsesordre, før de fremlægger beviser, der viser, at de har været ofre i denne sag.
"Vi er nødt til at aflive myten om, at kryptoaktiver er anonyme. Virkeligheden er, at med de rigtige regler og applikationer kan de spores, spores og gendannes,” sagde Syedur Rahman, som er partner hos Rahman Ravelli og repræsenterer Fetch.ai.
Binance var allerede under beskydning som finansielle institutioner rundt om i verden har gransket børsen. Det Forenede Kongerige har sammen med flere andre lande udstedt formaninger om at bruge udvekslingen. I mellemtiden har andre gennemført forbud helt.
Japansk Liquid Crypto brudt
Poly Network var ikke den eneste sikkerhedshændelse i august. Flydende krypto. Trusselaktører angreb også en japansk kryptobørs med base i Tokyo. De udlodde 97 millioner dollars i kryptovalutaer bestående af BTC, ETH, TRX ogXRP. Hackerne var rettet mod hot wallets.
Liquid Crypto svarede af siger det flytter midlertidigt alle aktiver offline til punge med kølerum. Desuden suspenderede de alle transaktionstjenester.
Børsen rapporterede, at de "i øjeblikket sporer aktivernes bevægelse og arbejder sammen med andre børser for at fryse og inddrive midler."
Ifølge et blogindlæg har virksomheden forklarede at hackeren målrettede en Multi-Party Computation pung (MPC). MPC'er bruges til at opbevare og administrere kryptovalutaer i Singapores datterselskab, QUOINE PTE. Liquid Crypto tilbød dog ikke en erklæring, der forklarer, hvordan ubudne gæster var i stand til at bryde ind.
"Vi undersøger i øjeblikket og vil give regelmæssige opdateringer. I mellemtiden vil ind- og udbetalinger blive suspenderet,” sagde børsen i en tweet.
Derudover viser Liquid Crypto-tweets cryptocurrency-adresserne, som blev brugt af hackerne til at eksfiltrere de stjålne aktiver.
Bug bounties kunne tilbyde en løsning til hacks
I et nyligt blogindlæg sagde Poly Network, at det ville lancere et $500,000 bug-bounty-program. Dette vil byde forskere og hackere velkommen til at opdage og rapportere eventuelle sårbarheder i deres software.
Ifølge bug bounty notering on Immunefi, den maksimale dusørudbetaling er $100,000. Med attraktive incitamenter fra samarbejder med positive aktører på cybersikkerhedsområdet kan dette ses som et ekstra lag af aktivbeskyttelse.
At holde dårlige skuespillere tilbage i kapløbet om at finde huller, der kan udnyttes, er uden tvivl nøglen, når det kommer til at finde ud af knæk. Hvem der finder dem først, er en anden sag.
Et bug bounty-program er et crowdsourcing-initiativ. Det kompenserer personer, der finder og rapporterer softwaresårbarheder, som kan udføres gennem kodeaudit og penetrationstest.
Dette giver virksomheder og medlemmer af cybersikkerhedsindustrien mulighed for at finde løsninger, før trusselsaktører opdager dem til at bruge til deres egen fordel.
Ansvarsfraskrivelse
Alle oplysninger på vores websted offentliggøres i god tro og kun til generelle informationsformål. Enhver handling, som læseren foretager sig på oplysningerne på vores websted, er strengt på deres egen risiko.
Kilde: https://beincrypto.com/bug-bounties-a-possible-solution-to-cryptocurrency-exchange-hacks/