¿Cómo robó el hacker PolyNetwork $ 600 millones? Expertos en seguridad señalan con los dedos

Más de siete horas después de que se informó por primera vez, los detalles sobre un exploit que atrapó $ 600 millones en activos digitales de PolyNetwork han tardado en emerger. En ausencia de una auditoría integral, los grupos de ciberseguridad han pronunciado un estribillo común a los programadores detrás de la red de compatibilidad entre cadenas: esto depende de usted.

Los fondos vinculados al ataque se han rastreado hasta tres direcciones distintas, una en cada Ethereum, Cadena inteligente Binancey Polígono.

En cuanto a la cadena de eventos que llevaron allí los fondos extraviados, los expertos en seguridad tienen opiniones diferentes, y algunos llegan a acusar a sus colegas de engañar al público.

Según un análisis inicial realizado por el auditor de seguridad BlockSec con sede en China, que advirtió que aún no había verificado, el robo podría ser el resultado de "la filtración de la clave privada que se utiliza para firmar el mensaje entre cadenas" o " un error en el proceso de firma de PolyNetwork que ha sido abusado para firmar un mensaje creado ".

Otros investigadores también insinuaron que las malas prácticas de seguridad pueden haber llevado al robo de claves privadas utilizadas por el equipo de PolyNetwork para autorizar transacciones.

Desarrollador de Ethereum e investigador de seguridad Mudit Gupta escribí que PolyNetwork utiliza una billetera multifirma para las transacciones. En su configuración, cuatro personas tienen acceso a la clave para firmar transacciones, y tres deben firmar: "El atacante se apoderó de al menos 3 guardianes y luego los usó para cambiar los guardianes a un solo guardián". En efecto, el hacker los bloqueó. (Gupta inicialmente pensó que Poly usaba un multigrupo 1/1).

El equipo de seguridad de Blockchain, SlowMist, dice que eso no es exactamente lo que sucedió. En cambio, dice, el atacante se aprovechó de una falla en una función de contrato inteligente para cambiar su guardián, redireccionando el flujo de fondos a la propia dirección del atacante. "No es el caso de que este evento haya ocurrido debido a la fuga de la clave privada del guardián", dijo reportaron.

PolyNetwork retuiteó la publicación del blog, mientras que Gupta no estuvo de acuerdo con SlowMist, sugiriendo impotencia grave o corrupción.

Independientemente de si el atacante obtuvo claves privadas o explotó un contrato inteligente débil, una forma de hacer cualquiera de esas cosas es estando a cargo. ¿Pero fue un trabajo interno? Después de todo, según la firma de análisis de blockchain CipherTrace, los llamados tirones de alfombra, un tipo de estafa de salida, fueron los forma más popular de fraude criptográfico el año pasado. 

Es demasiado pronto para saberlo. SlowMist dice que "ha captado el buzón de correo, la IP y las huellas dactilares del dispositivo del atacante a través del seguimiento dentro y fuera de la cadena, y está rastreando posibles pistas de identidad relacionadas con el atacante de Poly Network". Pero su investigación aún no ha llevado a que un ejecutivo de Poly tenga una pistola humeante. (O, si lo ha hecho, SlowMist aún no lo dice).

Mientras tanto, no está claro si el atacante podrá usar los fondos. PolyNetwork también ha pedido a los "mineros de los intercambios de blockchain y criptografía afectados que incluyan tokens en la lista negra" de las direcciones del explotador. En respuesta, Tether dijo que congeló $ 33 millones en USDT conectados al ataque, mientras que los ejecutivos de Binance, OKEx y Huobi se comprometieron a ayudar a limitar el daño.

El hacker, sin embargo, ha adoptado emitir burlas de la cadena de bloques de Ethereum, agregando mensajes a los bloques. "¿Y SI HAGO UNA NUEVA FICHA Y DEJO QUE EL DAO DECIDA DÓNDE VAN LAS FICHAS", escribieron en una mensaje.

Quizás, pero quizás alguien más debería escribir los contratos inteligentes para eso.

Fuente: https://decrypt.co/78250/how-did-polynetwork-hacker-steal-600-million-security-experts-point-fingers