In che modo l'hacker di PolyNetwork ha rubato $ 600 milioni? Gli esperti di sicurezza puntano il dito

Oltre sette ore dopo la prima segnalazione, i dettagli su un exploit che ha rubato 600 milioni di dollari in risorse digitali da PolyNetwork hanno tardato ad emergere. In assenza di un audit completo, i gruppi di sicurezza informatica hanno pronunciato un ritornello comune ai programmatori dietro la rete di compatibilità cross-chain: questo spetta a voi.

I fondi collegati all'attacco sono stati rintracciati a tre indirizzi separati, uno ciascuno Ethereum, Binance SmartChaine Poligono.

Per quanto riguarda la catena di eventi che ha portato lì i fondi illeciti, gli esperti di sicurezza hanno opinioni divergenti, alcuni addirittura accusano i loro colleghi di fuorviare il pubblico.

Secondo una prima analisi del revisore della sicurezza cinese BlockSec, che ha avvertito di non aver ancora verificato, il furto potrebbe essere il risultato della “fuga della chiave privata utilizzata per firmare il messaggio cross-chain” o “ un bug nel processo di firma della PolyNetwork di cui è stato abusato per firmare un messaggio predisposto."

Altri ricercatori hanno anche insinuato che le scarse pratiche di sicurezza potrebbero aver portato al furto delle chiavi private utilizzate dal team PolyNetwork per autorizzare le transazioni.

Mudit Gupta, sviluppatore e ricercatore di sicurezza di Ethereum ha scritto che PolyNetwork utilizza un portafoglio multisig per le transazioni. Nella sua configurazione, quattro persone hanno accesso alla chiave per firmare le transazioni e tre devono firmare: "L'aggressore si è impossessato di almeno 3 keeper e poi li ha utilizzati per cambiare i keeper in un unico keeper." In effetti, l'hacker li ha bloccati. (Gupta inizialmente pensava che Poly usasse un multisig 1/1.)

Il team di sicurezza Blockchain SlowMist afferma che non è esattamente quello che è successo. Invece, si dice, l'aggressore ha approfittato di un difetto in una funzione di contratto intelligente per cambiare il suo custode, reindirizzando il flusso di fondi al proprio indirizzo dell'aggressore. "Non è vero che questo evento si è verificato a causa della fuga della chiave privata del detentore", si legge segnalati.

PolyNetwork ha ritwittato il post del blog, mentre Gupta è fortemente in disaccordo con SlowMist, suggerendo grave impotenza o corruzione.

Indipendentemente dal fatto che l’aggressore abbia ottenuto chiavi private o abbia sfruttato uno smart contract debole, un modo per fare entrambe le cose è assumerne il comando. Ma è stato un lavoro interno? Dopotutto, secondo la società di analisi blockchain CipherTrace, i cosiddetti rug pull, un tipo di truffa di uscita, erano il la forma più popolare di frode crittografica l'anno scorso. 

E' troppo presto per dirlo. SlowMist afferma che "ha catturato la casella di posta, l'IP e le impronte digitali del dispositivo dell'aggressore attraverso il monitoraggio on-chain e off-chain e sta monitorando possibili indizi di identità relativi all'aggressore di Poly Network". Ma la sua indagine non ha ancora portato a un dirigente della Poly con in mano una pistola fumante. (Oppure, se lo ha fatto, SlowMist non lo ha ancora detto.)

Nel frattempo non è chiaro se l'aggressore sarà in grado di utilizzare i fondi. PolyNetwork ha anche chiesto ai "miner degli scambi blockchain e criptovalute interessati di inserire nella lista nera i token" dagli indirizzi dello sfruttatore. In risposta, Tether ha affermato di aver congelato 33 milioni di dollari in USDT collegati all'attacco, mentre i dirigenti di Binance, OKEx e Huobi si sono impegnati a contribuire a limitare i danni.

L'hacker, tuttavia, ha preso l'iniziativa lanciando insulti dalla blockchain di Ethereum, aggiungendo messaggi ai blocchi. "E SE FACCIO UN NUOVO GETTONE E LASCIÒ CHE IL DAO DECIDA DOVE VANNO I GETTONI", hanno scritto in uno messaggio.

Forse, ma forse qualcun altro dovrebbe scrivere i contratti intelligenti per questo.

Fonte: https://decrypt.co/78250/how-did-polynetwork-hacker-steal-600-million-security-experts-point-fingers