En bref
- Plus de 600 millions de dollars d'actifs numériques ont été volés à PolyNetwork.
- Les experts en sécurité tentent toujours de reconstituer ce qui s'est passé.
Plus de sept heures après son premier signalement, les détails d'un exploit qui a récupéré 600 millions de dollars d'actifs numériques de PolyNetwork ont mis du temps à émerger. En l'absence d'un audit complet, les groupes de cybersécurité ont prononcé un refrain commun aux programmeurs derrière le réseau de compatibilité inter-chaînes : c'est à vous.
Les fonds liés à l'attaque ont été retracés à trois adresses distinctes, une chacune sur Ethereum, Chaîne intelligente Binanceet Polygone.
Quant à la chaîne d'événements qui a permis d'obtenir les fonds mal engendrés, les experts en sécurité ont des opinions divergentes, certains allant même jusqu'à accuser leurs collègues d'avoir induit le public en erreur.
Selon une première analyse de l'auditeur de sécurité basé en Chine BlockSec, qu'il a averti qu'il n'avait pas encore vérifié, le vol pourrait être le résultat de « soit la fuite de la clé privée qui est utilisée pour signer le message inter-chaînes » ou « un bogue dans le processus de signature du PolyNetwork qui a été abusé pour signer un message spécialement conçu.
D'autres chercheurs ont également insinué que de mauvaises pratiques de sécurité pourraient avoir conduit au vol des clés privées utilisées par l'équipe PolyNetwork pour autoriser les transactions.
Développeur Ethereum et chercheur en sécurité Mudit Gupta écrit que PolyNetwork utilise un portefeuille multisig pour les transactions. Dans sa configuration, quatre personnes ont accès à la clé pour signer les transactions, et trois doivent signer : « L'attaquant a mis la main sur au moins 3 gardiens et les a ensuite utilisés pour changer les gardiens en un seul gardien. En effet, le pirate les a verrouillés. (Gupta pensait initialement que Poly utilisait un multisig 1/1.)
L'équipe de sécurité Blockchain SlowMist dit que ce n'est pas exactement ce qui s'est passé. Au lieu de cela, dit-il, l'attaquant a profité d'une faille dans une fonction de contrat intelligent pour changer son gardien, redirigeant le flux de fonds vers la propre adresse de l'attaquant. "Ce n'est pas le cas que cet événement se soit produit en raison de la fuite de la clé privée du gardien", a-t-il ajouté. rapporté.
PolyNetwork a retweeté le billet de blog, tandis que Gupta était fortement en désaccord avec SlowMist, suggérant soit une impuissance flagrante, soit de la corruption.
Que l'attaquant ait obtenu des clés privées ou exploité un contrat intelligent faible, une façon de faire l'une ou l'autre de ces choses est d'être responsable. Mais était-ce un travail de l'intérieur ? Après tout, selon la société d'analyse de blockchain CipherTrace, les soi-disant tirages de tapis, un type d'escroquerie de sortie, étaient le forme la plus populaire de fraude cryptographique l'année dernière.
Il est trop tôt pour le dire. SlowMist dit qu'il "a saisi la boîte aux lettres de l'attaquant, l'adresse IP et les empreintes digitales de l'appareil grâce au suivi en chaîne et hors chaîne, et suit les indices d'identité possibles liés à l'attaquant Poly Network". Mais son enquête n'a pas encore abouti à un cadre de Poly tenant un pistolet fumant. (Ou, si c'est le cas, SlowMist ne le dit pas encore.)
En attendant, on ne sait pas si l'attaquant pourra utiliser les fonds. PolyNetwork a également demandé aux "mineurs des échanges blockchain et crypto affectés de mettre les jetons sur liste noire" à partir des adresses de l'exploiteur. En réponse, Tether a déclaré avoir gelé 33 millions de dollars en USDT liés à l'attaque, tandis que les dirigeants de Binance, OKEx et Huobi se sont engagés à aider à limiter les dégâts.
Le pirate informatique, cependant, a pris à émettre des railleries de la blockchain Ethereum, en ajoutant des messages aux blocs. "ET SI JE CRÉais UN NOUVEAU JETON ET LAISSAIS LE DAO DÉCIDER O ALLER LES JETONS", ont-ils écrit dans un message.
Peut-être, mais peut-être que quelqu'un d'autre devrait rédiger les contrats intelligents pour cela.
- "
- 9
- accès
- Avantage
- Tous
- selon une analyse de l’Université de Princeton
- analytique
- Outils
- audit
- binance
- blockchain
- Blogue
- Punaise
- causé
- Change
- charge
- CipherTrace
- Commun
- contrat
- contrats
- la corruption
- Crypto
- Échanges crypto
- Cybersécurité
- DAO
- données
- Développeur
- DID
- numérique
- Actifs numériques
- dollars
- Entre dans
- Ethereum
- événement
- événements
- Échanges
- exécutif
- cadres
- Sortie
- exit arnaque
- de santé
- Exploiter
- Ferme
- Prénom
- défaut
- flux
- formulaire
- fonction
- fonds
- pirate
- appuyez en continu
- Comment
- HTTPS
- Huobi
- Active
- Impact
- Interopérabilité
- enquête
- IP
- IT
- Emploi
- ACTIVITES
- clés
- gros
- LED
- LINK
- moyenne
- million
- mineurs
- Multisig
- réseau et
- OKEx
- Personnes
- pool
- pauvres
- Populaire
- Privé
- Clé privée
- Clés privées
- public
- réponse
- Arnaque
- sécurité
- smart
- contrat intelligent
- Contrats intelligents
- Tether
- vol
- jeton
- Tokens
- Tracking
- Transactions
- us
- USDT
- Wallet
- an
