10. augustil tabas Poly Network 611 miljoni dollari suurune häkkimine – seni suurim krüptoga seotud häkkimine. See rünnak oli eriti huvitav võrreldes enamiku DeFi häkkidega, mille ärakasutamiseks kasutatakse tavaliselt kiirlaene ja arbitraaži. arukad lepingudMis on nutikad lepingud? Nutikas leping on arvuti pro… rohkem ja väiksemaid rahasummasid. Sel juhul leidis häkker ärakasutamise, mis võimaldas tal privaatvõtmetest mööda minna ja lasta nutikal lepingul raha lihtsalt otse nende kontrolli all olevatesse rahakottidesse saata. CipherTrace on kinnitanud, et peaaegu kõik raha on seni Poly Networkile tagastatud. Poly Network kinnitas naasmist ka oma Twitteri kanalis.
Kui tüüpiline DeFi häkkimine on suunatud konkreetsetele DeFi instrumentidele, mille tulemuseks on palju väiksemad kahjud, siis antud juhul oli rünnak Poly Networki infrastruktuuri vastu, keskendudes DeFi platvormile endale ja sihiks detsentraliseeritud börsi (DEX) nutikate lepingute kontrolli. Selle tulemusel sai peamist ahelatevahelist lepingut täielikult häkker kontrollima, võimaldades tal avada žetoonid, mis pidid olema lepingu raames lukustatud, saata märgid nende kontrolli all olevatele aadressidele ja seejärel korrata rünnakut kogu kettide vahel.
Kuidas Poly Networki häkiti
Poly Network toimib ahelatevahelise koostalitlussillana, et hõlbustada žetoonide ülekandmist kahe suhteliselt sõltumatu plokiahela vahel. Sellisena on üks nende peamisi Poly Networki nutikaid lepinguid sild ise. Selleks, et kettidevahelised sillad toimiksid tõhusalt (nt kasutajad saaksid võrku kasutada žetoonide ülekandmiseks ahelate vahel), peavad nad säilitama suuri likviidsussummasid. Kui kasutaja soovib ahelate vahel silda luua, peab Poly Network tõhusalt põletama/vermima vastavates kettides samaväärsed varad.
Leping, mis väljastab need ahelatevahelised märgiülekanded, kasutab tehingute kontrollimiseks ja täitmiseks hoidjaid. Kui hoidja allkirjastab allikaahel the,en CrossChainManager lepingu kohta sihtkoha kett kontrollib hoidja allkirja kehtivust ja käivitab sihtahelas ekvivalendi, et "silla" lõpule viia.
Kuna nutikas leping teostab tehinguid, mitte kasutaja ise, sai häkker seda ära kasutada CrossChainManager nutikas leping ja vahetada "hoidjad" nende kontrolli all oleva pahatahtliku hoidja vastu. Selle tulemusena sai Poly Networki peamist ahelatevahelist lepingut täielikult häkker kontrollima, võimaldades tal avada märgid, mis pidid sillalepingu raames lukustatuks jääma, ja teisaldada märgid tema kontrolli all olevatele aadressidele. Seejärel kordas häkker rünnakut ahelate kaupa.
Kes on Poly Networki häkkimise tõelised ohvrid?
Häkkeri tegevuse tulemusena kandsid nendesse lepingutesse “lukustatud” kasutajate raha tegelikku kahju. Kuigi konkreetsetelt isikutelt žetoone ei võetud, ei oleks Poly Networkil enam likviidsust, et toetada laiaulatuslikku väljarännet, kui kõik kasutajad sooviksid lepingutest raha välja tõmmata. Kuid DeFi detsentraliseeritud olemuse tõttu on KYC protsesside ja piiriülese haarde puudumine peaaegu võimatu tuvastada, kes on tõelised ohvrid ja kus nad asuvad.
Üldiselt on see halvasti kavandatud nutika lepingu keerukas ärakasutamine, mille "risk" ja "käitumine" mõjutavad Poly Networki kasutajaid. Investorid on tõelised ohvrid, mitte Poly Network ise. Väidetavalt jagab Poly Network vastutust häkkeriga, kuna ei taga oma nutika lepingu kvaliteeti, asetades seeläbi investorid märkimisväärsele riskile.
Praegu pole ühtegi märki selle kohta, et Poly Networki koodi oleks kunagi kontrollitud. Otsimine protokolli GitHubi kaudu repod ei näidanud, et auditeid oleks tehtud või sellest teatatud.
Poly Networki häkker tagastab üle poole varastatud rahast
Poly Networki varguse jälgijate suureks üllatuseks hakkas ründaja 11. augustil osa varastatud raha tagastama. See jättis paljud Internetis mõtlema – miks?
Kõigis vahetustes, mida häkker on teinud, et oma jälge hägustada, näib, et häkker oli ühel hetkel taaskasutanud rahakotti, millel olid juba varasemad tehingud mõne silmapaistva börsiga, mis võisid oma klienti tuvastada (KYC) tema.
Arvestades raha tagastamist, väidetakse, et häkker võib olla valge müts. Siiski on äärmiselt ebatõenäoline, et valge müts oleks astunud samu samme, et püüda raha jälge hägustada, kui nad oleks alati kavatsenud raha tagastada.
Selle ajaveebi avaldamise ajal on CipherTrace kinnitanud, et peaaegu kõik rahalised vahendid on Poly Networkile tagastatud aadressidele, mille nad olid spetsiaalselt häkkerile raha tagastamiseks välja töötanud. Need aadressid on:
- 0x71Fb9dB587F6d47Ac8192Cd76110E05B8fd2142f
- 0xEEBb0c4a5017bEd8079B88F35528eF2c722b31fc
- 0xA4b291Ed1220310d3120f515B5B7AccaecD66F17
Rahalised vahendid külmutati 10. augustil (häkkimise päev)
USDT külmutatud
Raha tagastati 11. augustil
Polüleping: 85 miljonit USDC
BSC leping: 256.2 miljonit dollarit kolmes suuremas žetoonis (enamasti BTCB, Binance'iga seotud ETH, BUSD) ja 3 miljonit dollarit BNB-s
Ethereumi leping: 3.4 miljonit dollarit SHIB-is, renBTC-s ja Feis
Raha tagastati 12. augustil
Ethereumi leping: 96.42 miljonit dollarit DAI
Sellise suure DeFi häkkimise tagajärjed
Seadusandjad kiirendavad DeFi eeskirjade rakendamist, eriti kuna DeFi häkkide arv kasvab spiraalselt, nagu seda iseloomustab ka see uusim Poly Networki häkkimine. Lõppkokkuvõttes klassifitseerivad reguleerijad tõenäoliselt detsentraliseeritud börsid (DEX-id) virtuaalsete varade teenusepakkujateks (VASP) vastavalt FATF-i soovitustele. FinCEN klassifitseerib tõenäoliselt DEX-id rahateenuste ettevõteteks (MSB), mis tähendab, et DEX-id ja muud DeFi rakendused peavad täitma rahapesuvastaseid (AML) ja KYC kohustusi. Samuti eeldan, et CFTC reguleerib DeFi kogukondi ja SEC reguleerib DeFi väärtpaberimäärusi.
Lisaks muutuvad arukate lepingute kvaliteedistandardid rangemaks, tekivad auditistandardid. Lisaks areneb ja küpseb DeFi kindlustusturg, mis suudab adekvaatselt hinnata ja õigete DeFi tehniliste riskide alusel.
DeFi häkkimine läheneb aastas 2 miljardile dollarile – mis saab järgmiseks?
See häkkimine näitab nutikate lepingute turvalisuse ja auditistandardite tähtsust, et tagada koodi kvaliteet ja vähendada turvaauke.
Meie viimaste andmete kohaselt Krüptoraha kuritegevuse ja rahapesu tõkestamise aruanne, augusti lõpuks moodustab kurjategijate poolt 2021. aastal tasaarveldatud DeFi-häkkimise maht 361 miljonit dollarit. Tänaseks on see arv peaaegu kolmekordistunud, kuna DeFi häkkimised moodustavad nüüd 994 miljonit dollarit, moodustades 90% kogu 2021. aasta häkkimismahust, mis ületab veidi üle 1.1 miljardi dollari.
Kuna DeFi häkkimised ja pettused jätkavad kvartalite lõikes plahvatuslikku kasvu, näib DeFi kuritegevuse tulevik sünge, kui see trend peaks jätkuma. Kui DeFi kuriteod muutuvad veelgi keerukamaks, nagu Poly Networki häkkimine näitas, on nutikad lepingud tõenäoliselt üha enam suunatud suuremahuliste rünnakute jaoks.
Lisa
11. augustil pidas häkker "ahelasiseseid" küsimusi ja vastuseid. Järgnevat saab vaadata mõne tema tehingu sisendandmete dekodeerimisel.
K & V, ESIMENE OSA:
K: MIKS HAKKIDA?
V: LÕBU JAOKS 🙂
K: MIKS POLY NETWORK?
V: RISTKETI HÄKKIMINE ON KUUM
K: MIKS TOKENI EDASTADA?
V: SELLE OHUTUSNÕUDED.
VÕTTE LAHJAMISEL OLI MUL SEOTUD TUNNE. KÜSIGE ENNAST, MIDA TEHA, ET OLETE NII PALJU FORTUNE. KÜSIDES PROJEKTITIIMI POLITIITSELT, ET NAD SAAKSID seda parandada? KEEGI VÕIB OLLA REETUR, kellele anti miljard miljardit! MA VÕIN USALDA KELLEGI! AINUS LAHENDUS, MILLEGA MA VÕIN TULENA, ON SALVESTAMINE SELLE _KINDLASELE_KONTOLE, KUI HOIDAN ISE _ANONÜÜMID_ JA _TURVALISED.
NÜÜD LÕHNAAVAD KÕIK VANDENÕIDU TUNNE. INSIDER? MITTE MINA, AGA KES TEAB? VÕTAN VASTUTUSE AVALDADA HAVATAVA KESKUS ENNE, kui SIISID SEDA PEJAB JA KASUTAB!
K: MIKS NII KEERUNUD?
V: POLY VÕRK ON KORRALIK SÜSTEEM. SEE ON ÜKS KÕIGE VÄLJAKUTSUVAM RÜND, MIDA HÄKKER NAUDU SAAB. JA MA PIDIN OLEMA KIIRE, ET KÕIGI INSIIDERI VÕI HÄKKERID võita, Võtsin seda BOONUSVÄLJAKUTSEKS 🙂
K: KAS OLED PALJUD?
V: EI. MITTE KUNAGI. SAASIN MÕISTA RISKI END ALJASTADA ISEGI KUI MA KUJU EI TEE. NII KASUTASIN MA AJUTIST MEILIT, IP-d VÕI _NII NIMETATUD_ SÕRMEJÄLGIT, MIS OLI JÄLGIMATU. EELISTAN JÄÄDA PIMEDUSSE JA PÄÄSTA MAAILMA.
https://etherscan.io/tx/0x1fb7d1054df46c9734be76ccc14fa871b6729e33b98f9a3429670d27ec692bc0
K & V, TEINE OSA:
K: MIS TEGELIKULT JUHTUS 30 TUNDI TAGASI?
V: PIK LUGU.
Uskuge või mitte, MA OLIN _SUNNITUD_ MÄNGU MÄNGIMA.
POLY NETWORK ON KEERUNUD SÜSTEEM, MUL EI JÕUDNUD EHITADA KOHALIKKU TESTIMISE KESKKONDA. MUL ALGUSEL POC-I TOOTAMINE EI TEHTUD. AHA HETK TULI KUID JUBA ENNE, KUIDAS MA LOOBIN TOHI. PÄRAST TERVE ÖÖ SILUMIST KOHUSTASIN MA ONTOLOOGIAVÕRGUSSE _ÜHE_ SÕNUMI.
PLAANISIN LÄBITADA LAHE BLITZKRIEGI, ET VÕTTA ÜLE NELI VÕRGUST: ETH, BSC, POLYGON & HECO. SIISKI LÄHEB HECO VÕRGUST VALE! RELEER EI KÄITU NAGU TEISED, HOIDJA JÄRGIS MINU KASUTAMISE OTSE EDASI JA VÕTI VÄRSKENDATUD MÕNELE VALE PARAMEETRILE. SEE RIKKAS MU PLAANI.
OLEksin SELLEL HETKEL PEALDANUD LÕPMA, AGA OTSUSTASIN LÄHETUSEL EDASTADA! MIS MIS ON KUI NAD LAHENDAVAD VEGA SALAJA ILMA TEATISETA?
SIISKI, MA EI TAHTNUD PÕHJUSTADA _PÄRIS_ KRÜPTOMAAILMA PAANIKAT. NII VALISTUSIN SITAMÜNTE IGORREERIDA, NII EI PEAKS INIMESED MURETSEMA, ET NEED NULLI LÄHEB. Võtsin TÄHTSAD TOKENID (V.A. SHIB) JA EI MÜÜNUD NEIST ÜHTEGI.
K: MIKS SIIS TALLI MÜÜA/VAHETADA?
V: POLYI MEESKOND NENDE ALGSE VASTUSE PÄRAST VIHES.
NAD KUNUTASID TEISEID MIND SÜÜDISTAMA JA VIHAMA, ENNE MUL VASTASID! MUIDUGI TEADSIN, et ON võlts-DEFI-MÜNTE, KUID MA EI VÕTNUD SEDA TÕSISELT, SEST MUL POLNUD PLAAN NEID PESTA.
VAHEPEAL VÕIB TALLI HOISEMINE VÄLJA TEENUDA POTENTSIAALSETE KULUDE KATTAMISEKS INTRVE, ET JÄÄKS ROHKEM AEGA POLY MEESKONNAGA läbirääkimisteks.
https://etherscan.io/tx/0xd4ee4807c07702a3202f45666983855d7fa22eb1c230e4c1e840fc9389e54729
K & V, KOLMAS OSA:
K: MIKS JOOTARSE 13.37?
V: TUNDSIN ETHEREUMI KOGUKONNA SOOJUST.
OLEN HINGAS HECO PROBLEEMIDE UURIMISE JA OMA Skriptide SILUmisega. Arvasin, et SEE ON VÕRGUSTIKUD PROBLEEMID, MIKS MA EI SAANUD DETSEPSEERIDA (OLIN KEERUNUD PUHVARRI TAGA). NII JAGASIN KUTIGA OMA HEATAHET.
K: MIKS KÜSIDA TORNADO JA DAO käest?
V: OLEN NÄINUD NII PALJU HÄKKIMISEID, TEADSIN, et TORNADOLE HOIDUMINE ON TARK, KUID MEELEheiteline OTSUS. SEE OLI MINU ALGSE KAVATSUSE VASTU. PALJU PALJU KERJUJAGA KOHTUMISE PÄRAST KOHTUMISEKS OLLA RAHVAHÄKKER OLLA MINU HALB NALI 🙂
K: MIKS TAGASTADA?
V: SEE ON ALATI PLAAN! MA _EI OLE_ RAHA VÄGA HUVITATUD! MA TEAN, KUI INIMESTE RÜNDAMISEL ON VALUS, AGA KAS NAD EI PEAKS NENDEST HAKKIMISEST MIDAGI ÕPPIMA? TAASTAMISE OTSUSE TEATASIN ENNE SÜDÖÖD, ET MINU SEESSE USKUJAL OLEVAD INIMESED PEAKSID HEALT PUHAMA 😉
K: MIKS TAASTADA AEGLASELT?
V: MA VAJAN AEGA, et POLYI MEESKONNAGA RÄÄKIDA. KAHJU, SEE ON AINUS VIIS, ET MA TEAN OMA VÄÄRIKUST TÕESTADA, ENDA identiteeti varjates. JA MA VAJAN PUHKA.
K: POLY MEESKOND?
V: HAKKASIN JUBA NENDEGA LÜHIDALT RÄÄKIMA, PALGID ON ETHEREUMIS. MA VÕIN NEID AVALDADA VÕI MITTE AVALDADA. VALUD, MIS NAD ON KANNATUD, ON AJUTISED, KUID MEELDEJÄÄVAD.
TAHAKSIN ANDA NIPPID, KUIDAS OMA VÕRKE TURVATADA, ET NAD ON TULEVIKU MILJARDI PROJEKTI HALDAMISEKS KÕLBLIKUD. POLY NETWORK ON HÄSTI DISAINITUD SÜSTEEM JA SEE KÄSITLEB ROHKEM VARAGA. NEIL ON TWITTERIS PALJU UUSI JÄLGIjaid, eks?
https://etherscan.io/tx/0xe954bed9abc08c20b8e4241c5a9e69ed212759152dd588bb976b47eca353a5bc
Väärtus võetud Poly Network Hackist
kett | TX räsi | eelis | summa | $ väärtus |
BSC | 0x534966864bda354628d4f1c66db45cbefcdda7433e9576e7664fea01bb05be9a | BNB | 6,613.44 | $2,460,861.21 |
BSC | 0xd59223a8cd2406cfd0563b16e06482b9a3efecfd896d590a3dba1042697de11a | USDC | 87,603,373.77 | $87,624,502.53 |
BSC | 0x4e57f59395aca4847c4d001db4a980b92aab7676bc0e2d57ee39e83502527d6c | ETH | 26,629.16 | $85,896,083.66 |
BSC | 0x50105b6d07b4d738cd11b4b8ae16943bed09c7ce724dc8b171c74155dd496c25 | BTCB | 1,023.88 | $47,427,704.52 |
BSC | 0xd65025a2dd953f529815bd3c669ada635c6001b3cc50e042f9477c7db077b4c9 | BUSD | 32,107,854.11 | $32,124,918.14 |
BSC | 0xea37b320843f75a8a849fdf13cd357cb64761a848d48a516c3cac5bbd6caaad5 | USDC | 298.9405633 | $299.04 |
ETH | 0xad7a2c70c958fcd3effbf374d0acf3774a9257577625ae4c838e24b0de17602a | ETH | 2,857.49 | $8,977,279.13 |
ETH | 0x5a8b2152ec7d5538030b53347ac82e263c58fe7455695543055a2356f3ad4998 | USDC | 96,389,444.23 | $96,430,660.58 |
ETH | 0x3f55ff1fa4eb3437afe42f4fea57903e8e663bc3b17cb982f1c8d4c8f03a2083 | WBTC | 1,032.12 | 46,971,609.47 |
ETH | 0xa7c56561bbe9fbd48e2e26306e5bb10d24786504833103d3f023751bbcc8a3d9 | DAI | 673,227.94 | $673.628.12 |
ETH | 0xc917838cc3d1edd871c1800363b4e4a8eaf8da2018e417210407cc53f94cd44e | UNI | 43,023.75 | $1,242,040.44 |
ETH | 0xe05dcda4f1b779989b0aa2bd3fa262d4e6e13343831cb337c2c5beb2266138f5 | SHIB | 259,737,345,149.52 | $1,974,082.34 |
ETH | 0xb12681d9e91e69b94960611b227c90af25e5352881907f1deee609b8d5e94d7d | renBTC | 14.47265047 | $659,141.75 |
ETH | 0x06aca16c483c3e61d5cdf39dc34815c29d6672a77313ec36bf66040c256a7db3 | USDT | 33,431,197.73 | $33,391,733.96 |
ETH | 0xc797aa9d4714e00164fcac4975d8f0a231dae6280458d78382bd2ec46ece08e7 | WETH | 26,109.06 | $82,052,128.62 |
ETH | 0xd8c1f7424593ddba11a0e072b61082bf3d931583cb75f7843fc2a8685d20033a | EIF | 616,082.59 | $616,082.59 |
Polü | 0x1d260d040f67eb2f3e474418bf85cc50b70101ca2473109fa1bf1e54525a3e01 | USDC | 85,089,610.91 | $85,061,020.80 |
Polü | 0xfbe66beaadf82cc51a8739f387415da1f638d0654a28a1532c6333feb2857790 | USDC | 108.694578 | $108.66 |
Poly võrgu häkkerite aadressid
Poly Network tuvastas avalikult kolm aadressi, mida väidetavalt ründaja kontrollis:
- 0xC8a65Fadf0e0dDAf421F28FEAb69Bf6E2E589963 (ETH)
- 0x0D6e286A7cfD25E0c01fEe9756765D8033B32C71 (BSC)
- 0x5dc3603C9D42Ff184153a8a9094a73d461663214 (POLYGON)
Allikas: https://ciphertrace.com/poly-network-suffers-largest-crypto-hack-ever-recorded/
- &
- 11
- konto
- Materjal: BPA ja flataatide vaba plastik
- väidetavalt
- Lubades
- AML
- teatas
- rahapesuvastane
- rakendused
- arbitraaž
- eelis
- vara
- audit
- AUGUST
- Miljard
- binants
- Blogi
- BRIDGE
- Bug
- ehitama
- BUSD
- ettevõtted
- Põhjus
- CFTC
- CipherTrace
- nõuete
- kood
- Mündid
- Ühenduste
- kogukond
- Vandenõu
- jätkama
- leping
- lepingud
- Kuritegevus
- Kuriteod
- Kurjategijad
- piiriülese
- krüpto
- DAO
- andmed
- päev
- Detsentraliseeritud
- Defi
- Dex
- DID
- keskkond
- ETH
- ethereum
- Vahetused
- Väljarändamine
- Ekspluateeri
- ees
- võlts
- FinCen
- sõrmejälg
- Määrama
- välklamp
- vorm
- pettus
- lõbu
- raha
- tulevik
- mäng
- GitHub
- hea
- Kasvama
- näksima
- häkker
- häkkerid
- häkkimine
- hacks
- Kuidas
- Kuidas
- HTTPS
- Identity
- info
- Infrastruktuur
- Insider
- huvi
- Internet
- Koostalitlusvõime
- Investorid
- IP
- küsimustes
- IT
- pidamine
- Võti
- võtmed
- KYC
- suur
- hiljemalt
- algatama
- Õppida
- Likviidsus
- Laenud
- kohalik
- Pikk
- peamine
- Enamus
- Tegemine
- miljon
- segatud
- raha
- järelevalve
- liikuma
- võrk
- võrgustike loomine
- võrgustikud
- teade
- Ontoloogia
- et
- Muu
- Paanika
- Plaaster
- Inimesed
- planeerimine
- inimesele
- PoC
- era-
- Privaatvõtmed
- Pro
- projekt
- volikiri
- avaldama
- Küsimused ja vastused
- kvaliteet
- vähendama
- määrused
- Regulaatorid
- REST
- Tulu
- Oht
- ohutu
- säästmine
- Skaala
- SEC
- Väärtpaberite
- turvalisus
- müüma
- tunne
- jagatud
- Aktsiad
- Märgid
- nutikas
- arukas leping
- Tarkvaralepingud
- So
- standardite
- alustatud
- jääma
- varastatud
- toetama
- üllatus
- süsteem
- rääkimine
- Tehniline
- ajutine
- Testimine
- vargus
- aeg
- nõuanded
- sümboolne
- märgid
- Tehingud
- Usalda
- puperdama
- Kasutajad
- vassid
- virtuaalne
- virtuaalse vara teenuse pakkujad
- maht
- Haavatavused
- haavatavus
- rahakott
- Rahakotid
- WHO
- jooksul
- maailm
- null