در 10 آگوست، Poly Network دچار هک 611 میلیون دلاری شد که بزرگترین هک مرتبط با رمزارز تا به امروز بود. این حمله به ویژه در مقایسه با اکثر هکهای DeFi جالب بود که معمولاً از نوعی وام فلش و آربیتراژ برای سوء استفاده استفاده میکنند. قراردادهای هوشمندانهقراردادهای هوشمند چیست؟ قرارداد هوشمند یک کامپیوتر حرفه ای است… بیشتر و مقادیر کمتری از وجوه. در این مورد، هکر سوءاستفادهای را پیدا کرد که به او اجازه میداد کلیدهای خصوصی را دور بزند و قرارداد هوشمند را به سادگی وجوه را مستقیماً به کیف پولهای تحت کنترل خود بفرستد. CipherTrace تأیید کرده است که تقریباً تمام وجوه تاکنون به Poly Network بازگردانده شده است. Poly Network نیز در فید توییتر خود بازگشت را تایید کرده است.
در جایی که هک معمولی DeFi علیه ابزارهای خاص DeFi است و منجر به خسارات بسیار کمتری می شود، در این مورد حمله علیه زیرساخت شبکه Poly، متمرکز بر خود پلت فرم DeFi و هدف قرار دادن کنترل قراردادهای هوشمند صرافی غیرمتمرکز (DEX) بود. در نتیجه، قرارداد اصلی زنجیره متقاطع به طور کامل توسط هکر کنترل میشود و به او اجازه میدهد تا توکنهایی را که قرار بود در قرارداد قفل شده باشند، باز کند، توکنها را به آدرسهای تحت کنترل خود ارسال کند و سپس حمله را در زنجیرهها تکرار کند.
چگونه Poly Network هک شد
Poly Network به عنوان یک پل قابلیت همکاری متقابل زنجیره ای عمل می کند تا انتقال توکن ها بین دو بلاک چین نسبتاً مستقل را تسهیل کند. به این ترتیب، یکی از اصلی ترین قراردادهای هوشمند Poly Network خود پل است. برای اینکه پلها بین زنجیرهها به طور مؤثر عمل کنند (مثلاً برای اینکه کاربران بتوانند از شبکه برای انتقال توکنها در زنجیرهها استفاده کنند)، آنها باید مقادیر زیادی نقدینگی را حفظ کنند. هر زمان که کاربر بخواهد بین زنجیرهها "پل" ایجاد کند، Poly Network باید داراییهای معادل را در زنجیرههای مربوطه به طور موثر بسوزاند.
قراردادی که این انتقال توکن های متقابل زنجیره ای را صادر می کند از "نگهبانان" برای تأیید و اجرای تراکنش ها استفاده می کند. هنگامی که دروازه بان علامت می دهد زنجیره منبع la CrossChainManager قرارداد بر روی زنجیره مقصد امضای Keeper را از نظر اعتبار بررسی می کند و معادل آن را در زنجیره مقصد برای تکمیل "پل" اجرا می کند.
از آنجایی که قرارداد هوشمند تراکنش ها را اجرا می کند و نه خود کاربر، هکر توانست از آن سوء استفاده کند CrossChainManager قرارداد هوشمند و مبادله "نگهبانان" با نگهبان بدخواه تحت کنترل آنها. در نتیجه، قرارداد اصلی زنجیرهای متقاطع در شبکه پلی کاملاً توسط هکر کنترل میشود و به او اجازه میدهد تا توکنهایی را که قرار بود در قرارداد پل قفل میمانند باز کند و توکنها را به آدرسهای تحت کنترل خود منتقل کند. سپس هکر حمله را در زنجیره ها تکرار کرد.
قربانیان واقعی هک شبکه پلی چه کسانی هستند؟
در نتیجه اقدامات هکر، وجوه کاربرانی که در این قراردادها "قفل" شده بودند متحمل ضرر واقعی شدند. در حالی که توکنهای افراد خاص گرفته نشده بود، با حذف چنین مقدار زیادی که در پروتکل قفل شده بود، اگر همه کاربران بخواهند وجوه خود را از قراردادها بیرون بکشند، Poly Network دیگر نقدینگی لازم برای پشتیبانی از مهاجرت در مقیاس بزرگ را نخواهد داشت. با این حال، به دلیل ماهیت غیرمتمرکز DeFi، فقدان هرگونه فرآیند KYC و دسترسی فرامرزی به این معنی است که شناسایی قربانیان واقعی چه کسانی هستند و در کجا قرار دارند تقریبا غیرممکن است.
به طور کلی، این یک سوءاستفاده پیچیده برای یک قرارداد هوشمند با طراحی ضعیف است، با «خطر» و «رفتار» که بر کاربران Poly Network تأثیر میگذارد. سرمایه گذاران قربانیان واقعی هستند نه خود پلی نتورک. مسلماً، Poly Network با عدم اطمینان از کیفیت قرارداد هوشمند خود و در نتیجه در معرض خطر قرار دادن سرمایهگذاران با هکر، مسئولیت را به اشتراک میگذارد.
در حال حاضر هیچ نشانه ای مبنی بر اینکه کد Poly Network تا کنون ممیزی دریافت کرده است وجود ندارد. جستجو از طریق GitHub پروتکل استراحت هیچ ممیزی انجام یا گزارش نشده است.
هکر Poly Network بیش از نیمی از وجوه سرقت شده را برمی گرداند
در تعجب کسانی که دزدی شبکه پولی را زیر نظر داشتند، در 11 آگوست مهاجم شروع به بازگرداندن برخی از وجوه دزدیده شده کرد. این موضوع باعث شد که بسیاری از اینترنت در این فکر باشند که چرا؟
در تمام مبادلاتی که هکر در تلاش برای مبهم کردن مسیر خود انجام داده است، به نظر می رسد که هکر در یک نقطه از کیف پولی استفاده کرده است که قبلاً تراکنش های قبلی با برخی از صرافی های برجسته داشته است که می تواند اطلاعات "مشتری خود را بشناسید" (KYC) را در آن شناسایی کند. به او.
با توجه به بازگشت وجوه، ادعاهایی مبنی بر اینکه هکر به طور بالقوه کلاه سفید است وجود دارد. با این حال، بسیار بعید است که یک کلاه سفید در صورتی که همیشه قصد برگرداندن پول را داشته باشد، اقدامات مشابهی را برای مبهم کردن مسیر وجوه انجام دهد.
در زمان ایجاد این وبلاگ، CipherTrace تأیید کرده است که تقریباً تمام وجوه به آدرسهایی که به طور خاص برای هکرها برای بازگرداندن وجوه ایجاد کرده بودند به Poly Network بازگردانده شده است. این آدرس ها عبارتند از:
- 0x71Fb9dB587F6d47Ac8192Cd76110E05B8fd2142f
- 0xEEBb0c4a5017bEd8079B88F35528eF2c722b31fc
- 0xA4b291Ed1220310d3120f515B5B7AccaecD66F17
وجوه مسدود شده 10 اوت (روز هک)
USDT منجمد شد
وجوه برگشتی در 11 اوت
قرارداد چند: 85 میلیون دلار USDC
قرارداد BSC: 256.2 میلیون دلار در 3 توکن اصلی (عمدتا BTCB، ETH متصل شده بایننس، BUSD) و 2.637 میلیون دلار در BNB
قرارداد اتریوم: 3.4 میلیون دلار در SHIB، renBTC و Fei
وجوه برگشتی در 12 اوت
قرارداد اتریوم: 96.42 میلیون دلار DAI
عواقب چنین هک بزرگ DeFi
قانونگذاران اجرای مقررات DeFi را تسریع خواهند کرد، به ویژه با توجه به اینکه تعداد هک های DeFi مارپیچی است، همانطور که در آخرین هک شبکه Poly نشان داده شده است. در نهایت، رگولاتورها احتمالاً صرافی های غیرمتمرکز (DEX) را به عنوان ارائه دهندگان خدمات دارایی مجازی (VASP) مطابق با توصیه های FATF طبقه بندی می کنند. FinCEN احتمالاً DEX ها را به عنوان مشاغل خدمات پولی (MSBs) طبقه بندی می کند، به این معنی که DEX ها و سایر برنامه های کاربردی DeFi برای انجام تعهدات ضد پولشویی (AML) و KYC مورد نیاز خواهند بود. من همچنین انتظار دارم که CFTC جوامع DeFi را تنظیم کند و SEC مقررات اوراق بهادار DeFi را تنظیم کند.
علاوه بر این، استانداردهای کیفیت قراردادهای هوشمند دقیق تر می شوند، استانداردهای حسابرسی ظاهر می شوند. علاوه بر این، "بازار بیمه" DeFi تکامل یافته و بالغ خواهد شد که می تواند به اندازه کافی ریسک های فنی DeFi را ارزیابی کند.
هکهای DeFi به ۲ میلیارد دلار در سال نزدیک میشوند - آینده چیست؟
این هک اهمیت امنیت قراردادهای هوشمند و استانداردهای حسابرسی را برای اطمینان از کیفیت و کاهش آسیبپذیریهای کد نشان میدهد.
طبق آخرین ما گزارش جرایم رمزنگاری شده و مبارزه با پولشویی، تا پایان ماه اوت، حجم هک DeFi که توسط مجرمان در سال 2021 به ثبت رسیده است، 361 میلیون دلار است. امروزه این تعداد تقریباً سه برابر شده است زیرا هک های DeFi اکنون 994 میلیون دلار را تشکیل می دهند که 90 درصد از کل حجم هک سال 2021 را تشکیل می دهد که کمی بیش از 1.1 میلیارد دلار است.
از آنجایی که هکها و کلاهبرداریهای DeFi به رشد فزاینده در سه ماهه ادامه میدهند، اگر این روند ادامه داشته باشد، آینده جرایم DeFi تاریک به نظر میرسد. اگر جنایات DeFi همچنان پیچیده تر شوند، همانطور که توسط هک Poly Network پیش نمایش شده است، قراردادهای هوشمند احتمالاً به طور فزاینده ای برای حملات در مقیاس بزرگتر هدف قرار می گیرند.
ضمیمه
در 11 آگوست، هکر یک پرسش و پاسخ "در زنجیره" برگزار کرد. موارد زیر را می توان با رمزگشایی داده های ورودی برخی از تراکنش های وی مشاهده کرد.
پرسش و پاسخ، بخش اول:
س: چرا هک؟
پاسخ: برای سرگرمی 🙂
س: چرا شبکه پلی؟
A: هک زنجیره متقابل داغ است
س: چرا ژتون ها را منتقل می کنیم؟
A: برای ایمن نگه داشتن آن.
هنگام مشاهده اشکال ، من احساس مختلطی داشتم. از خود بپرسید که چه کارهایی برای شما پیش آمده است؟ از تیم پروژه به طور سیاسی درخواست می کنید تا بتوانند آن را برطرف کنند؟ هرکسی می تواند خائنی باشد که یک میلیارد به او هدیه داده شده است! من نمی توانم به هیچ کس اعتماد کنم! تنها راه حلی که می توانم از راه برسانم این است که آن را در یک حساب _TRUSTED_ در حالی که خود را _ ANONYMOUS_ و _ ایمن نگه می دارم ، ذخیره می کنم.
حالا همه بوی توطئه می دهند. خودی؟ نه من، اما چه کسی می داند؟ من مسئولیت افشای آسیب پذیری را قبل از پنهان کردن و بهره برداری از آن توسط خودی ها بر عهده می گیرم!
س: چرا اینقدر پیچیده؟
A: شبکه پلی سیستم مناسبی است. این یکی از چالش برانگیزترین حملاتی است که یک هکر می تواند از آن لذت ببرد. و من باید برای شکست دادن هر خودی یا هکری سریع عمل می کردم، آن را به عنوان یک چالش برتر در نظر گرفتم 🙂
س: آیا شما در معرض دید هستید؟
پاسخ: نه. هرگز. من خطر افشای خودم را درک کردم حتی اگر کار بدی انجام ندهم. بنابراین من از ایمیل موقت، IP یا اثر انگشت _SO CALLED_ که غیرقابل ردیابی بودند استفاده کردم. من ترجیح می دهم در تاریکی بمانم و جهان را نجات دهم.
https://etherscan.io/tx/0x1fb7d1054df46c9734be76ccc14fa871b6729e33b98f9a3429670d27ec692bc0
پرسش و پاسخ، بخش دوم:
س: واقعاً 30 ساعت پیش چه اتفاقی افتاد؟
A: داستان بلند.
باور کنید یا نه، مجبور شدم بازی را انجام دهم.
شبکه پلی یک سیستم پیچیده است، من موفق به ایجاد یک محیط آزمایش محلی نشدم. من در ابتدا موفق به تولید POC نشدم. با این حال، AHA MOMEMNT درست قبل از اینکه من تسلیم شوم آمد. پس از رفع اشکال در تمام شب، یک پیام _یگانه به شبکه هستی شناسی ساختم.
من قصد داشتم یک BLITZKRIEG جالب را برای در اختیار گرفتن چهار شبکه: ETH، BSC، POLYGON و HECO راه اندازی کنم. با این حال، شبکه HECO اشتباه می کند! رله مانند بقیه رفتار نمی کند، یک نگهدارنده فقط اکسپلویت من را مستقیماً منتقل کرد، و کلید به برخی از پارامترهای اشتباه به روز شد. این برنامه من را خراب کرد.
من باید در آن لحظه متوقف می شدم، اما تصمیم گرفتم نمایش را ادامه دهم! اگر آنها باگ را مخفیانه و بدون اطلاع رسانی وصله کنند چه می شود؟
با این حال، من نمی خواستم باعث وحشت_واقعی_دنیای کریپتو شوم. بنابراین من تصمیم گرفتم که سکه های SHIT را نادیده بگیرم، تا مردم نگران نباشند که آنها به صفر بروند. من ژتون های مهم را برداشتم (به جز SHIB) و هیچکدام از آنها را نفروختم.
س: پس چرا اصطبل ها را بفروشیم/مبادله کنیم؟
A: من توسط تیم پلی برای پاسخ اولیه آنها عصبانی شدم.
آنها از دیگران خواستند قبل از اینکه فرصتی برای پاسخ دادن داشته باشم، مرا سرزنش و متنفر کنند! البته می دانستم که سکه های DEFI جعلی وجود دارد، اما آن را جدی نگرفتم زیرا هیچ برنامه ای برای شستن آنها نداشتم.
در همین حال، سپرده گذاری اصطبل ها می تواند برای پوشش هزینه های احتمالی سود کسب کند تا من زمان بیشتری برای مذاکره با تیم پولی داشته باشم.
https://etherscan.io/tx/0xd4ee4807c07702a3202f45666983855d7fa22eb1c230e4c1e840fc9389e54729
پرسش و پاسخ، بخش سوم:
س: چرا انعام 13.37؟
A: من گرما را از جامعه اتریوم احساس کردم.
من مشغول بررسی مسائل مربوط به HECO و اشکال زدایی اسکریپت هایم بودم. فکر می کردم این مسائل مربوط به شبکه است که چرا نمی توانم واریز کنم (من پشت یک پروکسی پیچیده بودم). بنابراین من حسن نیت خود را با مرد به اشتراک گذاشتم.
س: چرا از TORNADO و DAO پرسیده می شود؟
پاسخ: با شاهد هک های بسیار زیاد، می دانستم که سپرده گذاری در گردباد تصمیمی عاقلانه اما ناامیدانه است. این برخلاف قصد اصلی من بود. هکر جمعی بودن فقط شوخی بد من بعد از ملاقات با گداهای بسیار بود 🙂
س: چرا برگشت؟
پاسخ: این همیشه برنامه است! من خیلی به پول علاقهمند نیستم! میدانم وقتی به مردم حمله میشود آزاردهنده است، اما آیا نباید از آن هکها چیزی یاد بگیرند؟ من تصمیم بازگشت را قبل از نیمه شب اعلام کردم، بنابراین افرادی که به من ایمان داشتند باید استراحت خوبی داشته باشند.
س: چرا به آرامی برمی گردیم؟
پاسخ: من برای صحبت با تیم پلی به زمان نیاز دارم. متاسفم، این تنها راهی است که می دانم برای اثبات حیثیت خود در حالی که هویت خود را پنهان می کنم. و من به کمی استراحت نیاز دارم.
س: تیم پلی؟
پاسخ: من قبلاً به طور خلاصه با آنها صحبت کردم، لاگ ها روی اتریوم هستند. من ممکن است آنها را منتشر کنم یا نکنم. دردهایی که آنها متحمل شده اند موقتی اما به یاد ماندنی است.
میخواهم در مورد چگونگی ایمنسازی شبکههایشان به آنها نکاتی بدهم، تا بتوانند در آینده واجد شرایط مدیریت پروژه میلیاردی باشند. شبکه پلی یک سیستم خوب طراحی شده است و دارایی های بیشتری را مدیریت خواهد کرد. آنها تعداد زیادی دنبال کننده جدید در توییتر دارند، درست است؟
https://etherscan.io/tx/0xe954bed9abc08c20b8e4241c5a9e69ed212759152dd588bb976b47eca353a5bc
مقدار از هک شبکه پلی گرفته شده است
زنجیر | TX Hash | دارایی | مقدار | ارزش دلار |
BSC | 0x534966864bda354628d4f1c66db45cbefcdda7433e9576e7664fea01bb05be9a | BNB | 6,613.44 | $2,460,861.21 |
BSC | 0xd59223a8cd2406cfd0563b16e06482b9a3efecfd896d590a3dba1042697de11a | USDC | 87,603,373.77 | $87,624,502.53 |
BSC | 0x4e57f59395aca4847c4d001db4a980b92aab7676bc0e2d57ee39e83502527d6c | ETH | 26,629.16 | $85,896,083.66 |
BSC | 0x50105b6d07b4d738cd11b4b8ae16943bed09c7ce724dc8b171c74155dd496c25 | BTCB | 1,023.88 | $47,427,704.52 |
BSC | 0xd65025a2dd953f529815bd3c669ada635c6001b3cc50e042f9477c7db077b4c9 | BUSD | 32,107,854.11 | $32,124,918.14 |
BSC | 0xea37b320843f75a8a849fdf13cd357cb64761a848d48a516c3cac5bbd6caaad5 | USDC | 298.9405633 | $299.04 |
ETH | 0xad7a2c70c958fcd3effbf374d0acf3774a9257577625ae4c838e24b0de17602a | ETH | 2,857.49 | $8,977,279.13 |
ETH | 0x5a8b2152ec7d5538030b53347ac82e263c58fe7455695543055a2356f3ad4998 | USDC | 96,389,444.23 | $96,430,660.58 |
ETH | 0x3f55ff1fa4eb3437afe42f4fea57903e8e663bc3b17cb982f1c8d4c8f03a2083 | WBTC | 1,032.12 | 46,971,609.47 |
ETH | 0xa7c56561bbe9fbd48e2e26306e5bb10d24786504833103d3f023751bbcc8a3d9 | DAI | 673,227.94 | $673.628.12 |
ETH | 0xc917838cc3d1edd871c1800363b4e4a8eaf8da2018e417210407cc53f94cd44e | UNI | 43,023.75 | $1,242,040.44 |
ETH | 0xe05dcda4f1b779989b0aa2bd3fa262d4e6e13343831cb337c2c5beb2266138f5 | شیب | 259,737,345,149.52 | $1,974,082.34 |
ETH | 0xb12681d9e91e69b94960611b227c90af25e5352881907f1deee609b8d5e94d7d | renBTC | 14.47265047 | $659,141.75 |
ETH | 0x06aca16c483c3e61d5cdf39dc34815c29d6672a77313ec36bf66040c256a7db3 | USDT | 33,431,197.73 | $33,391,733.96 |
ETH | 0xc797aa9d4714e00164fcac4975d8f0a231dae6280458d78382bd2ec46ece08e7 | WETH | 26,109.06 | $82,052,128.62 |
ETH | 0xd8c1f7424593ddba11a0e072b61082bf3d931583cb75f7843fc2a8685d20033a | EIF | 616,082.59 | $616,082.59 |
پلی | 0x1d260d040f67eb2f3e474418bf85cc50b70101ca2473109fa1bf1e54525a3e01 | USDC | 85,089,610.91 | $85,061,020.80 |
پلی | 0xfbe66beaadf82cc51a8739f387415da1f638d0654a28a1532c6333feb2857790 | USDC | 108.694578 | $108.66 |
آدرس های هکر شبکه پلی
Poly Network سه آدرس را که گفته میشود توسط مهاجم کنترل میشود، بهطور عمومی شناسایی کرد:
- 0xC8a65Fadf0e0dDAf421F28FEAb69Bf6E2E589963 (ETH)
- 0x0D6e286A7cfD25E0c01fEe9756765D8033B32C71 (BSC)
- 0x5dc3603C9D42Ff184153a8a9094a73d461663214 (POLYGON)
منبع: https://ciphertrace.com/poly-network-suffers-largest-crypto-hack-ever-recorded/
- &
- 11
- حساب
- معرفی
- ادعا شده
- اجازه دادن
- AML
- اعلام کرد
- ضد پول شویی
- برنامه های کاربردی
- داوری کردن
- دارایی
- دارایی
- حسابرسی
- اوت
- بیلیون
- بنیان
- بلاگ
- بریج
- اشکال
- ساختن
- BUSD
- کسب و کار
- علت
- CFTC
- CipherTrace
- ادعای
- رمز
- سکه
- جوامع
- انجمن
- توطئه
- ادامه دادن
- قرارداد
- قرارداد
- جرم
- جنایات
- جنایتکاران
- مرزی
- عضو سازمانهای سری ومخفی
- دائو
- داده ها
- روز
- غیر متمرکز
- DEFI
- دگزامتازون
- DID
- پست الکترونیک
- محیط
- ETH
- ethereum
- مبادلات
- مهاجرت
- بهره برداری
- نما
- جعلی
- FinCen
- اثر انگشت
- رفع
- فلاش
- فرم
- تقلب
- سرگرمی
- بودجه
- آینده
- بازی
- GitHub
- خوب
- شدن
- هک
- هکر
- هکرها
- هک
- هک
- چگونه
- چگونه
- HTTPS
- هویت
- اطلاعات
- شالوده
- محرم راز
- علاقه
- اینترنت
- قابلیت همکاری
- سرمایه گذاران
- IP
- مسائل
- IT
- نگهداری
- کلید
- کلید
- KYC
- بزرگ
- آخرین
- راه اندازی
- یاد گرفتن
- نقدینگی
- وام
- محلی
- طولانی
- عمده
- اکثریت
- ساخت
- میلیون
- مخلوط
- پول
- نظارت بر
- حرکت
- شبکه
- شبکه
- شبکه
- اخطار
- هستیشناسی
- سفارش
- دیگر
- هراس
- وصله
- مردم
- برنامه ریزی
- سکو
- پوک
- خصوصی
- کلیدهای خصوصی
- در هر
- پروژه
- پروکسی
- منتشر کردن
- پرسش و پاسخ
- کیفیت
- كاهش دادن
- مقررات
- رگولاتور
- REST
- بازده
- خطر
- امن
- صرفه جویی کردن
- مقیاس
- SEC
- اوراق بهادار
- تیم امنیت لاتاری
- فروش
- حس
- به اشتراک گذاشته شده
- سهام
- نشانه ها
- هوشمند
- قرارداد هوشمند
- قراردادهای هوشمند
- So
- استانداردهای
- آغاز شده
- ماندن
- به سرقت رفته
- پشتیبانی
- تعجب
- سیستم
- سخنگو
- فنی
- موقت
- تست
- سرقت
- زمان
- نکات
- رمز
- نشانه
- معاملات
- اعتماد
- توییتر
- کاربران
- واسپس
- مجازی
- ارائه دهندگان خدمات دارایی مجازی
- حجم
- آسیب پذیری ها
- آسیب پذیری
- کیف پول
- کیف پول
- WHO
- در داخل
- جهان
- صفر