Pada 10 Agustus, Poly Network mengalami peretasan senilai $611 juta—peretasan terkait kripto terbesar hingga saat ini. Serangan ini sangat menarik dibandingkan dengan sebagian besar peretasan DeFi, yang biasanya menggunakan bentuk pinjaman kilat dan arbitrase untuk dieksploitasi. kontrak pintarApa itu kontrak pintar? Kontrak cerdas adalah pro komputer ... More dan dana yang lebih kecil. Dalam kasus ini, peretas menemukan eksploitasi yang memungkinkannya untuk melewati kunci pribadi dan membuat kontrak pintar hanya mengirim dana langsung ke dompet di bawah kendali mereka. CipherTrace telah mengkonfirmasi bahwa hampir semua dana sejauh ini telah dikembalikan ke Poly Network. Poly Network juga telah mengkonfirmasi kembalinya di feed Twitter mereka.
Di mana peretasan DeFi yang khas adalah terhadap instrumen DeFi tertentu, menghasilkan kerugian yang jauh lebih kecil, dalam hal ini serangan itu terhadap infrastruktur Poly Network, dengan fokus pada platform DeFi itu sendiri dan menargetkan kontrol dari kontrak pintar pertukaran terdesentralisasi (DEX). Akibatnya, kontrak lintas rantai utama menjadi sepenuhnya dikendalikan oleh peretas, memungkinkan dia untuk membuka kunci token yang seharusnya dikunci dalam kontrak, mengirim token ke alamat di bawah kendali mereka, dan kemudian mengulangi serangan di seluruh rantai.
Bagaimana Poly Network diretas
Poly Network bertindak sebagai jembatan interoperabilitas lintas rantai untuk memfasilitasi transfer token antara dua blockchain yang relatif independen. Dengan demikian, salah satu kontrak pintar Jaringan Poly utama mereka adalah jembatan itu sendiri. Agar jembatan antar rantai bertindak secara efektif (misalnya agar pengguna dapat menggunakan jaringan untuk mentransfer token di seluruh rantai), mereka perlu mempertahankan sejumlah besar likuiditas. Kapan pun pengguna ingin "menjembatani" antar rantai, Poly Network perlu membakar/mencetak aset yang setara secara efisien di rantai masing-masing secara efisien.
Kontrak yang mengeluarkan transfer token lintas rantai ini menggunakan “penjaga” untuk memverifikasi dan menjalankan transaksi. Setelah penjaga menandatangani pada rantai sumber itu Manajer Lintas Rantai kontrak pada rantai tujuan akan memeriksa validitas tanda tangan Penjaga dan mengeksekusi yang setara pada rantai tujuan untuk menyelesaikan "jembatan".
Karena kontrak pintar mengeksekusi transaksi dan bukan pengguna itu sendiri, peretas dapat mengeksploitasi Manajer Lintas Rantai kontrak pintar dan menukar "penjaga" dengan penjaga jahat di bawah kendali mereka. Akibatnya, kontrak lintas rantai utama di Jaringan Poly menjadi sepenuhnya dikendalikan oleh peretas, memungkinkan dia untuk membuka kunci token yang seharusnya tetap terkunci dalam kontrak jembatan dan memindahkan token ke alamat di bawah kendalinya. Peretas kemudian mereplikasi serangan di seluruh rantai.
Siapa korban sebenarnya dari peretasan Poly Network?
Akibat tindakan peretas, dana pengguna yang "dikunci" dalam kontrak ini benar-benar merugi. Sementara token individu tertentu tidak diambil, dengan menghapus sejumlah besar yang terkunci dalam protokol, Poly Network tidak akan lagi memiliki likuiditas untuk mendukung eksodus skala besar jika semua pengguna ingin menarik dana mereka dari kontrak. Namun, karena sifat DeFi yang terdesentralisasi, kurangnya proses KYC dan jangkauan lintas batas berarti mengidentifikasi siapa korban sebenarnya dan di mana mereka berada hampir tidak mungkin.
Secara keseluruhan, ini adalah eksploitasi canggih untuk kontrak pintar yang dirancang dengan buruk, dengan "risiko" dan "perilaku" yang memengaruhi pengguna Poly Network. Para investor adalah korban sebenarnya bukan Poly Network itu sendiri. Diperdebatkan, Poly Network berbagi tanggung jawab dengan peretas dengan tidak memastikan kualitas kontrak pintar mereka sehingga membuat investor menghadapi risiko yang signifikan.
Saat ini tidak ada indikasi bahwa kode Poly Network pernah menerima audit. Mencari melalui GitHub . protokol sisa tidak menunjukkan audit telah dilakukan atau dilaporkan.
Peretas Poly Network mengembalikan lebih dari setengah dana yang dicuri
Sangat mengejutkan bagi mereka yang memantau pencurian Poly Network, pada 11 Agustus penyerang mulai mengembalikan sebagian dana yang dicuri. Ini membuat banyak orang di internet bertanya-tanya—mengapa?
Dalam semua pertukaran yang telah dilakukan peretas dalam upaya untuk mengaburkan jejak mereka, tampaknya peretas pada satu titik telah menggunakan kembali dompet yang telah melakukan transaksi sebelumnya dengan beberapa pertukaran terkemuka yang dapat mengidentifikasi informasi "kenali pelanggan Anda" (KYC) di dia.
Ada klaim peretas berpotensi menjadi topi putih, mengingat pengembalian dana. Namun, sangat tidak mungkin bahwa topi putih akan mengambil langkah yang sama untuk mencoba mengaburkan jejak dana jika mereka selalu bermaksud mengembalikan uang itu.
Pada saat blog ini dibuat, CipherTrace telah mengkonfirmasi bahwa hampir semua dana telah dikembalikan ke Poly Network ke alamat yang telah mereka kembangkan khusus bagi peretas untuk mengembalikan dana tersebut. Alamat-alamat ini adalah:
- 0x71Fb9dB587F6d47Ac8192Cd76110E05B8fd2142f
- 0xEEBb0c4a5017bEd8079B88F35528eF2c722b31fc
- 0xA4b291Ed1220310d3120f515B5B7AccaecD66F17
Dana dibekukan 10 Agustus (hari peretasan)
USDT dibekukan
Dana dikembalikan 11 Agustus
Kontrak poli: $85 juta USDC
Kontrak BSC: $256.2 juta dalam 3 token utama (kebanyakan BTCB, Binance mematok ETH, BUSD) dan $2.637 juta dalam BNB
Kontrak Ethereum: $3.4 juta dalam SHIB, renBTC, dan Fei
Dana dikembalikan 12 Agustus
Kontrak Ethereum: $96.42 juta DAI
Dampak dari peretasan DeFi yang begitu besar
Anggota parlemen akan mempercepat implementasi peraturan DeFi, terutama karena jumlah peretasan DeFi meningkat, seperti yang dicontohkan oleh peretasan Poly Network terbaru ini. Pada akhirnya, regulator cenderung mengklasifikasikan pertukaran terdesentralisasi (DEX) sebagai penyedia layanan aset virtual (VASP) sesuai dengan rekomendasi FATF. FinCEN kemungkinan akan mengklasifikasikan DEX sebagai Bisnis Layanan Uang (MSB), yang berarti DEX dan aplikasi DeFi lainnya akan diminta untuk memenuhi kewajiban anti pencucian uang (AML) dan KYC. Saya juga mengharapkan CFTC untuk mengatur komunitas DeFi dan SEC untuk mengatur peraturan sekuritas DeFi.
Selain standar kualitas kontrak pintar akan menjadi lebih ketat, standar audit akan muncul. Selanjutnya, "pasar asuransi" DeFi akan berkembang dan matang yang dapat mengevaluasi secara memadai dan di bawah risiko teknis DeFi yang tepat.
Peretasan DeFi mendekati $ 2 miliar untuk tahun ini — apa selanjutnya?
Peretasan ini menunjukkan pentingnya keamanan kontrak pintar dan standar audit untuk memastikan kualitas dan mengurangi kerentanan dalam kode.
Menurut terbaru kami Laporan Kejahatan Cryptocurrency dan Anti Pencucian Uang, pada akhir Agustus volume peretasan DeFi yang terjaring oleh penjahat pada tahun 2021 mencapai $361 juta. Hari ini jumlah ini hampir tiga kali lipat karena peretasan DeFi sekarang menghasilkan $994 juta, merupakan 90% dari semua volume peretasan tahun 2021 yang mencapai lebih dari $1.1 miliar.
Karena peretasan dan penipuan DeFi terus tumbuh secara eksponensial dari kuartal ke kuartal, masa depan kejahatan DeFi tampak suram jika trennya berlanjut. Jika kejahatan DeFi terus tumbuh lebih canggih, seperti yang dipratinjau oleh peretasan Poly Network, kontrak pintar kemungkinan akan semakin ditargetkan untuk serangan skala besar.
Lampiran
Pada 11 Agustus, peretas mengadakan Q&A “on-chain”. Berikut ini dapat dilihat dengan decoding input data pada beberapa transaksi nya.
T & J, BAGIAN SATU:
T: MENGAPA HACKING?
A: UNTUK MENYENANGKAN
T: MENGAPA JARINGAN POLI?
J: PERETASAN LINTAS RANTAI ITU PANAS
T: MENGAPA TRANSFER TOKEN?
J: UNTUK MENJAGA AMAN.
KETIKA MENEMUKAN BUG, SAYA MEMILIKI PERASAAN CAMPURAN. TANYAKAN DIRI SENDIRI APA YANG HARUS DILAKUKAN APAKAH ANDA MENGHADAPI BANYAK KEBERUNTUNGAN. MEMINTA TIM PROYEK DENGAN BENAR SEHINGGA MEREKA DAPAT MEMPERBAIKINYA? SIAPAPUN BISA MENJADI PENGkhianat YANG DIBERIKAN SATU MILIAR! AKU TIDAK BISA MEMPERCAYAI SIAPAPUN! SATU-SATUNYA SOLUSI YANG BISA SAYA DAPATKAN ADALAH MENYIMPANNYA DI AKUN _TERPERCAYA_ Sembari MENJAGA DIRI SENDIRI _ANONYMOUS_ DAN _SAFE_.
SEKARANG SEMUA ORANG BAU RASA KONSPIRASI. orang dalam? BUKAN AKU, TAPI SIAPA YANG TAHU? SAYA BERTANGGUNG JAWAB UNTUK MENGUNGKAP KERENTANAN SEBELUM APAPUN ORANG DALAM MENYEMBUNYIKAN DAN MEMANFAATKANNYA!
Q: MENGAPA SANGAT CANGGIH?
A: JARINGAN POLY ADALAH SISTEM YANG LAYAK. INI ADALAH SALAH SATU SERANGAN PALING MENANTANG YANG DAPAT DINIKMATI HACKER. DAN SAYA HARUS CEPAT MENGALAHKAN INSIDER ATAU HACKERS, SAYA MENGANGGAPNYA SEBAGAI BONUS CHALL
T: APAKAH ANDA TERKENA?
J: TIDAK. TIDAK PERNAH. SAYA MEMAHAMI RISIKO MENGUNGKAP DIRI SENDIRI BAHKAN JIKA SAYA TIDAK MELAKUKAN KEJAHATAN. JADI SAYA MENGGUNAKAN EMAIL SEMENTARA, IP ATAU _SO CALLED_ FINGERPRINT, YANG TIDAK DAPAT DIlacak. SAYA LEBIH PILIH TINGGAL DI GELAP DAN MENYELAMATKAN DUNIA.
https://etherscan.io/tx/0x1fb7d1054df46c9734be76ccc14fa871b6729e33b98f9a3429670d27ec692bc0
T & J, BAGIAN KEDUA:
T: APA YANG SEBENARNYA TERJADI 30 JAM LALU?
CERITA YANG PANJANG.
PERCAYA ATAU TIDAK, SAYA _DIPAKSA_ BERMAIN GAME.
JARINGAN POLY ADALAH SISTEM CANGGIH, SAYA TIDAK BERHASIL MEMBANGUN LINGKUNGAN PENGUJIAN LOKAL. SAYA GAGAL UNTUK MENGHASILKAN POC DI AWAL. NAMUN, MOMEN AHA DATANG SEBELUM AKU MENYERAH. SETELAH DEBUGGING SEPANJANG MALAM, SAYA MEMBUAT PESAN _TUNGGAL_ KE JARINGAN ONTOLOGY.
SAYA BERENCANA UNTUK MELUNCURKAN BLITZKRIEG KEREN UNTUK MENGAMBIL EMPAT JARINGAN: ETH, BSC, POLYGON & HECO. NAMUN JARINGAN HECO SALAH! RELAYER TIDAK BERPERILAKU SEPERTI YANG LAIN, KIPER HANYA MENYALAKAN EXPLOIT SAYA SECARA LANGSUNG, DAN KUNCINYA DIPERBARUI KE BEBERAPA PARAMETER YANG SALAH. ITU MENGHANCURKAN RENCANA SAYA.
SAYA SEHARUSNYA BERHENTI PADA SAAT ITU, TAPI SAYA MEMUTUSKAN UNTUK MEMILIHKAN ACARANYA! BAGAIMANA JIKA MEREKA MENambal BUG SECARA RAHASIA TANPA PEMBERITAHUAN APAPUN?
NAMUN, SAYA TIDAK INGIN MENYEBABKAN _REAL_ PANIK DUNIA CRYPTO. JADI SAYA PILIH UNTUK MENGABAIKAN KOIN SHIT, JADI ORANG TIDAK HARUS KHAWATIR MEREKA AKAN NOL. SAYA MENGAMBIL TOKEN PENTING (KECUALI SHIB) DAN TIDAK MENJUAL APAPUN.
T: LALU MENGAPA MENJUAL/MENGANTI STABLES?
A: SAYA KERAS OLEH TIM POLI UNTUK RESPON AWAL MEREKA.
MEREKA MENDESAK ORANG LAIN UNTUK MENYALAHKAN & MEMBENCI SAYA SEBELUM SAYA MEMILIKI KESEMPATAN UNTUK MENJAWAB! TENTU SAYA TAHU ADA KOIN DEFI PALSU, TAPI SAYA TIDAK MENGANGGAP SERIUS KARENA SAYA TIDAK ADA RENCANA PENCUCIANNYA.
SEMENTARA itu, PENYIMPANAN KANTOR DAPAT MENDAPATKAN BUNGA UNTUK MENCAKUP POTENSI BIAYA SEHINGGA SAYA MEMILIKI LEBIH BANYAK WAKTU UNTUK BERNEGOSIASI DENGAN TIM POLI.
https://etherscan.io/tx/0xd4ee4807c07702a3202f45666983855d7fa22eb1c230e4c1e840fc9389e54729
T & J, BAGIAN KETIGA:
T: MENGAPA TIP 13.37?
A: SAYA MERASA KEHANGATAN DARI KOMUNITAS ETHEREUM.
SAYA SIBUK MENYELESAIKAN MASALAH DARI HECO DAN DEBUGGING SKRIP SAYA. SAYA PIKIR ITU MASALAH JARINGAN MENGAPA SAYA TIDAK BISA DEPOSIT (SAYA DIBALIK PROXY YANG CANGGIH). JADI SAYA BERBAGI NIKMAT SAYA SAYA GUY.
T: MENGAPA MEMINTA TORNADO DAN DAO?
J: SETELAH MENYAKSIKAN BANYAK HACKING, SAYA TAHU PENYIMPANAN KE TORNADO ADALAH KEPUTUSAN YANG BIJAKSANA TAPI BENAR-BENAR. ITU MELAWAN NIAT ASLI SAYA. MENJADI HACKER CROWDSOURCED HANYA LUCU BURUK SAYA SETELAH BERTEMU BANYAK PENGEMIS
T: MENGAPA KEMBALI?
A: ITU SELALU RENCANA! SAYA _TIDAK_ SANGAT TERTARIK PADA UANG! SAYA TAHU SAKIT KETIKA ORANG SERANGAN, TAPI APAKAH MEREKA HARUS BELAJAR DARI HACK INI? SAYA MENGUMUMKAN KEPUTUSAN PENGEMBALIAN SEBELUM TENGAH MALAM SEHINGGA ORANG YANG MEMILIKI IMAN KEPADA SAYA HARUS BERIstirahat
Q: MENGAPA KEMBALI PERLAHAN?
A: SAYA BUTUH WAKTU UNTUK BERBICARA DENGAN TIM POLI. MAAF, ITU SATU-SATUNYA CARA YANG SAYA TAHU UNTUK MEMBUKTIKAN MARTABAT SAYA SAAT MENYEMBUNYIKAN IDENTITAS DIRI SENDIRI. DAN SAYA BUTUH REST.
T: TIM POLI?
A: SAYA SUDAH MULAI BERBICARA DENGAN MEREKA SINGKAT, LOG ADALAH DI ETHEREUM. SAYA MUNGKIN ATAU TIDAK MUNGKIN PUBLIKASIKAN MEREKA. SAKIT YANG MEREKA DERITA ADALAH SEMENTARA TAPI MEMORABLE.
SAYA INGIN MEMBERIKAN TIPS BAGAIMANA CARA MENGAMANKAN JARINGAN MEREKA, SEHINGGA MEREKA DAPAT MENGELOLA PROYEK MILIAR DI MASA DEPAN. JARINGAN POLY ADALAH SISTEM YANG DIRANCANG DENGAN BAIK DAN AKAN MENANGANI LEBIH BANYAK ASET. MEREKA PUNYA BANYAK FOLLOWER BARU DI TWITTER, KAN?
https://etherscan.io/tx/0xe954bed9abc08c20b8e4241c5a9e69ed212759152dd588bb976b47eca353a5bc
Nilai diambil dari Poly Network Hack
Rantai | TX Hash | aset | jumlah | $ nilai |
BSC | 0x534966864bda354628d4f1c66db45cbefcdda7433e9576e7664fea01bb05be9a | BNB | 6,613.44 | $2,460,861.21 |
BSC | 0xd59223a8cd2406cfd0563b16e06482b9a3efecfd896d590a3dba1042697de11a | USDC | 87,603,373.77 | $87,624,502.53 |
BSC | 0x4e57f59395aca4847c4d001db4a980b92aab7676bc0e2d57ee39e83502527d6c | ETH | 26,629.16 | $85,896,083.66 |
BSC | 0x50105b6d07b4d738cd11b4b8ae16943bed09c7ce724dc8b171c74155dd496c25 | BTCB | 1,023.88 | $47,427,704.52 |
BSC | 0xd65025a2dd953f529815bd3c669ada635c6001b3cc50e042f9477c7db077b4c9 | BUSD | 32,107,854.11 | $32,124,918.14 |
BSC | 0xea37b320843f75a8a849fdf13cd357cb64761a848d48a516c3cac5bbd6caaad5 | USDC | 298.9405633 | $299.04 |
ETH | 0xad7a2c70c958fcd3effbf374d0acf3774a9257577625ae4c838e24b0de17602a | ETH | 2,857.49 | $8,977,279.13 |
ETH | 0x5a8b2152ec7d5538030b53347ac82e263c58fe7455695543055a2356f3ad4998 | USDC | 96,389,444.23 | $96,430,660.58 |
ETH | 0x3f55ff1fa4eb3437afe42f4fea57903e8e663bc3b17cb982f1c8d4c8f03a2083 | WBTC | 1,032.12 | 46,971,609.47 |
ETH | 0xa7c56561bbe9fbd48e2e26306e5bb10d24786504833103d3f023751bbcc8a3d9 | DAI | 673,227.94 | $673.628.12 |
ETH | 0xc917838cc3d1edd871c1800363b4e4a8eaf8da2018e417210407cc53f94cd44e | UNI | 43,023.75 | $1,242,040.44 |
ETH | 0xe05dcda4f1b779989b0aa2bd3fa262d4e6e13343831cb337c2c5beb2266138f5 | SHIB | 259,737,345,149.52 | $1,974,082.34 |
ETH | 0xb12681d9e91e69b94960611b227c90af25e5352881907f1deee609b8d5e94d7d | renBTC | 14.47265047 | $659,141.75 |
ETH | 0x06aca16c483c3e61d5cdf39dc34815c29d6672a77313ec36bf66040c256a7db3 | USDT | 33,431,197.73 | $33,391,733.96 |
ETH | 0xc797aa9d4714e00164fcac4975d8f0a231dae6280458d78382bd2ec46ece08e7 | Weth | 26,109.06 | $82,052,128.62 |
ETH | 0xd8c1f7424593ddba11a0e072b61082bf3d931583cb75f7843fc2a8685d20033a | EIF | 616,082.59 | $616,082.59 |
Poli | 0x1d260d040f67eb2f3e474418bf85cc50b70101ca2473109fa1bf1e54525a3e01 | USDC | 85,089,610.91 | $85,061,020.80 |
Poli | 0xfbe66beaadf82cc51a8739f387415da1f638d0654a28a1532c6333feb2857790 | USDC | 108.694578 | $108.66 |
Alamat Peretas Jaringan Poli
Poly Network secara terbuka mengidentifikasi tiga alamat yang diduga dikendalikan oleh penyerang:
- 0xC8a65Fadf0e0dDAf421F28FEAb69Bf6E2E589963 (ETH)
- 0x0D6e286A7cfD25E0c01fEe9756765D8033B32C71 (BSC)
- 0x5dc3603C9D42Ff184153a8a9094a73d461663214 (POLYGON)
Sumber: https://ciphertrace.com/poly-network-suffers-largest-crypto-hack-ever-recorded/
- &
- 11
- Akun
- Semua
- diduga
- Membiarkan
- AML
- mengumumkan
- anti pencucian Uang
- aplikasi
- arbitrase
- aset
- Aktiva
- Audit
- Agustus
- Milyar
- binansi
- Blog
- JEMBATAN
- Bug
- membangun
- BUSD
- bisnis
- Menyebabkan
- CFTC
- CipherTrace
- klaim
- kode
- Koin
- Masyarakat
- masyarakat
- Konspirasi
- terus
- kontrak
- kontrak
- Kejahatan
- Kejahatan
- Penjahat
- lintas batas
- kripto
- DAO
- data
- hari
- Terdesentralisasi
- Defi
- dex
- MELAKUKAN
- Lingkungan Hidup
- ETH
- ethereum
- Bursa
- Keluaran
- Mengeksploitasi
- menghadapi
- gadungan
- FinCen
- sidik jari
- Memperbaiki
- flash
- bentuk
- penipuan
- kesenangan
- dana-dana
- masa depan
- permainan
- GitHub
- baik
- Tumbuh
- terjangan
- hacker
- hacker
- peretasan
- hacks
- Seterpercayaapakah Olymp Trade? Kesimpulan
- How To
- HTTPS
- identitas
- informasi
- Infrastruktur
- Insider
- bunga
- Internet
- Interoperabilitas
- Investor
- IP
- masalah
- IT
- pemeliharaan
- kunci
- kunci-kunci
- KYC
- besar
- Terbaru
- jalankan
- BELAJAR
- Likuiditas
- Pinjaman
- lokal
- Panjang
- utama
- Mayoritas
- Membuat
- juta
- campur aduk
- uang
- pemantauan
- pindah
- jaringan
- jaringan
- jaringan
- pemberitahuan
- Ontologi
- urutan
- Lainnya
- Panik
- tambalan
- Konsultan Ahli
- perencanaan
- Platform
- PoC
- swasta
- Kunci Pribadi
- per
- proyek
- wakil
- menerbitkan
- Q & A
- kualitas
- menurunkan
- peraturan
- Regulator
- ISTIRAHAT
- Pengembalian
- Risiko
- aman
- penghematan
- Skala
- SEC
- Surat-surat berharga
- keamanan
- menjual
- rasa
- berbagi
- saham
- Tanda
- pintar
- kontrak pintar
- Kontrak Cerdas
- So
- standar
- mulai
- tinggal
- dicuri
- mendukung
- mengherankan
- sistem
- pembicaraan
- Teknis
- sementara
- pengujian
- pencurian
- waktu
- Tips
- token
- Token
- Transaksi
- Kepercayaan
- Pengguna
- vasp
- maya
- penyedia layanan aset virtual
- volume
- Kerentanan
- kerentanan
- dompet
- Wallet
- SIAPA
- dalam
- dunia
- nol