पॉलीनेटवर्क हैकर ने $600 मिलियन कैसे चुराए? सुरक्षा विशेषज्ञ उंगली उठाते हैं

पहली बार रिपोर्ट किए जाने के सात घंटे से अधिक समय बाद, पॉलीनेटवर्क से 600 मिलियन डॉलर की डिजिटल संपत्ति हड़पने वाले कारनामे के बारे में विवरण सामने आने में धीमी गति से हुआ है। व्यापक ऑडिट के अभाव में, साइबर सुरक्षा समूहों ने क्रॉस-चेन संगतता नेटवर्क के पीछे के प्रोग्रामर्स को एक सामान्य चेतावनी दी है: यह आप पर है।

हमले से जुड़े फंड का पता तीन अलग-अलग पतों पर लगाया गया है - प्रत्येक पर एक Ethereum, Binance स्मार्ट चेन, तथा बहुभुज.

उन घटनाओं की शृंखला के संबंध में जिनके कारण गलत तरीके से धन प्राप्त हुआ, सुरक्षा विशेषज्ञों की राय अलग-अलग है - कुछ तो अपने सहयोगियों पर जनता को गुमराह करने का आरोप भी लगा रहे हैं।

चीन स्थित सुरक्षा ऑडिटर ब्लॉकसेक के प्रारंभिक विश्लेषण के अनुसार, जिसने आगाह किया था कि उसने अभी तक सत्यापित नहीं किया है, चोरी "या तो निजी कुंजी के रिसाव का परिणाम हो सकती है जिसका उपयोग क्रॉस-चेन संदेश पर हस्ताक्षर करने के लिए किया जाता है" या " पॉलीनेटवर्क की हस्ताक्षर प्रक्रिया में एक बग जिसका दुरुपयोग एक तैयार किए गए संदेश पर हस्ताक्षर करने के लिए किया गया है।

अन्य शोधकर्ताओं ने यह भी संकेत दिया कि खराब सुरक्षा प्रथाओं के कारण लेनदेन को अधिकृत करने के लिए पॉलीनेटवर्क टीम द्वारा उपयोग की जाने वाली निजी चाबियों की चोरी हो सकती है।

एथेरियम डेवलपर और सुरक्षा शोधकर्ता मुदित गुप्ता लिखा था पॉलीनेटवर्क लेनदेन के लिए मल्टीसिग वॉलेट का उपयोग करता है। इसके कॉन्फ़िगरेशन में, चार लोगों के पास लेनदेन पर हस्ताक्षर करने के लिए कुंजी तक पहुंच होती है, और तीन को हस्ताक्षर करना होगा: "हमलावर ने कम से कम 3 रखवालों को पकड़ लिया और फिर रखवालों को एक ही कीपर में बदलने के लिए उनका इस्तेमाल किया।" वास्तव में, हैकर ने उन्हें लॉक कर दिया। (गुप्ता ने शुरू में सोचा था कि पॉली 1/1 मल्टीसिग का उपयोग करता है।)

ब्लॉकचेन सुरक्षा टीम स्लोमिस्ट का कहना है कि वास्तव में ऐसा नहीं हुआ है। इसके बजाय, यह कहता है, हमलावर ने अपने कीपर को बदलने के लिए स्मार्ट कॉन्ट्रैक्ट फ़ंक्शन में एक खामी का फायदा उठाया, जिससे धन का प्रवाह हमलावर के अपने पते पर फिर से हो गया। "ऐसा नहीं है कि यह घटना कीपर की निजी कुंजी के लीक होने के कारण हुई है," यह कहा की रिपोर्ट.

पॉलीनेटवर्क ने ब्लॉग पोस्ट को रीट्वीट किया, जबकि गुप्ता ने स्लोमिस्ट से दृढ़ता से असहमति जताई, या तो घोर नपुंसकता या भ्रष्टाचार का सुझाव दिया।

भले ही हमलावर ने निजी कुंजी प्राप्त की हो या कमजोर स्मार्ट अनुबंध का फायदा उठाया हो, इनमें से किसी भी चीज़ को करने का एक तरीका प्रभारी होना है। लेकिन क्या यह अंदर का काम था? आख़िरकार, ब्लॉकचैन एनालिटिक्स फर्म सिफरट्रेस के अनुसार, तथाकथित रग पुल, एक प्रकार का निकास घोटाला था क्रिप्टो धोखाधड़ी का सबसे लोकप्रिय रूप पिछले साल। 

यह बताना जल्दबाजी होगी. स्लोमिस्ट का कहना है कि उसने "ऑन-चेन और ऑफ-चेन ट्रैकिंग के माध्यम से हमलावर के मेलबॉक्स, आईपी और डिवाइस फ़िंगरप्रिंट को पकड़ लिया है, और पॉली नेटवर्क हमलावर से संबंधित संभावित पहचान सुरागों को ट्रैक कर रहा है।" लेकिन इसकी जांच में अभी तक पॉली के किसी अधिकारी के पास धूम्रपान बंदूक रखने की पुष्टि नहीं हुई है। (या, यदि ऐसा है, तो स्लोमिस्ट अभी तक नहीं कह रहा है।)

इस बीच, यह स्पष्ट नहीं है कि हमलावर धन का उपयोग करने में सक्षम होगा या नहीं। पॉलीनेटवर्क ने शोषक के पते से "प्रभावित ब्लॉकचेन और क्रिप्टो एक्सचेंजों के खनिकों को टोकन को ब्लैकलिस्ट करने के लिए" भी कहा है। जवाब में, टीथर ने कहा कि उसने हमले से जुड़े यूएसडीटी में $33 मिलियन को फ्रीज कर दिया है, जबकि बिनेंस, ओकेएक्स और हुओबी के अधिकारियों ने नुकसान को सीमित करने में मदद करने का वादा किया है।

हालाँकि, हैकर ने इसे ले लिया है ताने जारी कर रहे हैं एथेरियम ब्लॉकचेन से, संदेशों को ब्लॉक में जोड़कर। "क्या होगा अगर मैं एक नया टोकन बनाऊं और डीएओ को यह तय करने दूं कि टोकन कहां जाएंगे," उन्होंने एक में लिखा message.

शायद, लेकिन शायद किसी और को इसके लिए स्मार्ट अनुबंध लिखना चाहिए।

स्रोत: https://decrypt.co/78250/how-did-polynetwork-hacker-steal-600-million-security-experts-point-fingers