In Kürze
- Über 600 Millionen US-Dollar an digitalen Assets wurden von PolyNetwork gestohlen.
- Sicherheitsexperten versuchen immer noch herauszufinden, was passiert ist.
Mehr als sieben Stunden nach der ersten Veröffentlichung wurden nur langsam Details zu einem Exploit bekannt, der 600 Millionen US-Dollar an digitalen Assets von PolyNetwork erbeutet hat. In Ermangelung einer umfassenden Prüfung haben Cybersicherheitsgruppen den Programmierern hinter dem kettenübergreifenden Kompatibilitätsnetzwerk einen gemeinsamen Refrain geäußert: Dies liegt an Ihnen.
Die mit dem Angriff verbundenen Gelder wurden auf drei verschiedene Adressen zurückgeführt – jeweils eine auf Ethereum, Binance-SmartChain und Vieleck.
Über die Kette von Ereignissen, die die missbräuchlichen Gelder dorthin gebracht haben, sind Sicherheitsexperten unterschiedlicher Meinung – manche gehen sogar so weit, ihren Kollegen vorzuwerfen, die Öffentlichkeit in die Irre zu führen.
Laut einer ersten Analyse des in China ansässigen Sicherheitsprüfers BlockSec, die noch nicht überprüft wurde, könnte der Diebstahl das Ergebnis von „entweder dem Verlust des privaten Schlüssels sein, der zum Signieren der kettenübergreifenden Nachricht verwendet wird“ oder „ ein Fehler im Signierprozess des PolyNetwork, der missbraucht wurde, um eine gestaltete Nachricht zu signieren.“
Andere Forscher deuteten auch an, dass schlechte Sicherheitspraktiken zum Diebstahl privater Schlüssel geführt haben könnten, die vom PolyNetwork-Team zur Autorisierung von Transaktionen verwendet wurden.
Ethereum-Entwickler und Sicherheitsforscher Mudit Gupta schrieb dass PolyNetwork eine Multisig-Wallet für Transaktionen verwendet. In seiner Konfiguration haben vier Personen Zugriff auf den Schlüssel zum Signieren von Transaktionen, und drei müssen unterschreiben: „Der Angreifer hat sich mindestens 3 Halter geschnappt und diese dann verwendet, um die Halter in einen einzigen Halter zu verwandeln.“ Tatsächlich hat der Hacker sie ausgesperrt. (Gupta dachte zunächst, Poly würde ein 1/1 Multisig verwenden.)
Das Blockchain-Sicherheitsteam SlowMist sagt, dass dies nicht genau passiert ist. Stattdessen habe der Angreifer einen Fehler in einer Smart-Contract-Funktion ausgenutzt, um seinen Halter zu wechseln und den Geldfluss an die eigene Adresse des Angreifers umzuleiten. „Es ist nicht der Fall, dass dieses Ereignis auf den Verlust des privaten Schlüssels des Halters zurückzuführen ist“, heißt es berichtet.
PolyNetwork twitterte den Blog-Post, während Gupta SlowMist stark widersprach und entweder auf grobe Impotenz oder Korruption hindeutete.
Unabhängig davon, ob der Angreifer private Schlüssel erlangt oder einen schwachen Smart Contract ausgenutzt hat, ist eine Möglichkeit, eines dieser Dinge zu tun, die Verantwortung zu übernehmen. Aber war es ein Insider-Job? Schließlich waren laut dem Blockchain-Analyseunternehmen CipherTrace sogenannte Rug Pulls, eine Art Exit-Scam, die beliebteste Form des Kryptobetrugs letztes Jahr.
Es ist zu früh, um es zu sagen. SlowMist sagt, dass es "das Postfach, die IP und die Gerätefingerabdrücke des Angreifers durch On-Chain- und Off-Chain-Tracking erfasst hat und mögliche Identitätshinweise im Zusammenhang mit dem Poly Network-Angreifer verfolgt." Aber seine Ermittlungen haben noch nicht dazu geführt, dass ein leitender Angestellter bei Poly eine rauchende Waffe in der Hand hält. (Oder, wenn ja, sagt SlowMist noch nicht.)
In der Zwischenzeit ist unklar, ob der Angreifer die Gelder verwenden kann. PolyNetwork hat auch „Miner betroffener Blockchain- und Krypto-Börsen gebeten, Token auf die schwarze Liste zu setzen“ von den Adressen des Exploiters. Als Reaktion darauf sagte Tether, es habe 33 Millionen US-Dollar in Verbindung mit dem Angriff eingefroren, während Führungskräfte von Binance, OKEx und Huobi versprachen, den Schaden zu begrenzen.
Der Hacker hat jedoch zu Verspottungen ausgeben aus der Ethereum-Blockchain, indem Nachrichten an Blöcke angehängt werden. „WAS, WENN ICH EIN NEUES TOKEN MACHE UND DAS DAO ENTSCHEIDEN LASSEN, WO DIE TOKENS GEHEN“, schrieben sie in einem Nachricht.
Vielleicht, aber vielleicht sollte jemand anderes die Smart Contracts dafür schreiben.
- "
- 9
- Zugang
- Vorteil
- Alle
- Analyse
- Analytik
- Details
- Prüfung
- Binance
- Blockchain
- Blog
- Fehler
- verursacht
- Übernehmen
- berechnen
- CipherTrace
- gemeinsam
- Vertrag
- Verträge
- Korruption
- Krypto
- Crypto-Austausch
- Internet-Sicherheit
- DAO
- technische Daten
- Entwickler:in / Unternehmen
- DID
- digital
- Digitale Assets
- Dollar
- Tritt ein
- Astraleum
- Event
- Veranstaltungen
- Warenumtausch
- Exekutive
- Führungskräfte
- Beenden
- Betrug beenden
- Experten
- Ausnutzen
- Fest
- Vorname
- Fehler
- Fluss
- unten stehende Formular
- Funktion
- Mittel
- Hacker
- Ultraschall
- HTTPS
- Huobi
- Identitätsschutz
- Impact der HXNUMXO Observatorien
- Flexible Kommunikation
- Untersuchung
- IP
- IT
- Job
- Wesentliche
- Tasten
- grosse
- geführt
- LINK
- mittlere
- Million
- Miners
- Multisig
- Netzwerk
- OKEx
- Personen
- Pool
- Arm
- Beliebt
- privat
- Private Key
- Private Schlüssel
- Öffentlichkeit
- Antwort
- Betrug
- Sicherheitdienst
- smart
- Smart-Vertrag
- Smart Contracts
- Tether
- Diebstahl
- Zeichen
- Tokens
- Tracking
- Transaktionen
- us
- USDT
- Wallet
- Jahr
