אוגוסט היה חודש גדול לפריצות, שכן אחד הגדולים בהיסטוריה של מטבעות הקריפטו נמשך ברשת Poly, עם תוצאות מוזרות.
מתקפת הסייבר נגד רשת פולי עלה לכותרות עם כמה טוויסטים מוזרים וסיבובי ראש. אפשר לדמיין ששוד בורסות מטבעות קריפטוגרפיים קל יותר מאשר לשדוד בנק.
גניבות מטבעות קריפטוגרפיים בעלי הימורים גבוהים נמצאות לכאורה במגמת עלייה. עם זאת, חיוני לציין שהטכנולוגיות המבוזרות הללו עדיין מתפתחות מאז הקמתן. כמו בכל מערכת, כאשר מתגלות נקודות תורפה, הן מתוקנות.
סאגת רשת פולי
רשת הפולי הייתה ללא ספק שערוריית ההאקרים הגדולה של החודש.
ההאקר מצא א פגיעות בחוזים הדיגיטליים. אלה הם מה שרשת פולי משתמשת כדי להעביר נכסי קריפטו בין רשתות שונות. דרך זה הם מצאו את דרכם פנימה.
לאחר מכן הם המשיכו לבצע שוד קריפטו מונומנטלי על פני שלוש שרשראות. Ethereum, Binance ורשת המצולע נפגעו כולם. הם גבו יותר מ-600 מיליון דולר מהכסף המבוזר (DeFi) פלטפורמה.
מה גם שהתוקף שמר על נוכחות ציבורית במהלך הפיגוע הזה. הם אפילו הרחיקו לכת לפרסם שאלות ותשובות שטען שהמתקפה הייתה "בשביל הכיף".
עם זאת, המניעים האמיתיים שלהם לשדוד את הכסף אינם ברורים. זה בגלל ש ההצדקות שלהם הם די סותרים ומבלבלים לעקוב אחריהם. בשאלות ותשובות שלהם, הם טוענים שלקחו את האסימונים "כדי לשמור על בטיחותם".
הם טענו שלקחו את הכסף כדי למנוע ממקורבים ברשת פולי למצוא את הפגיעות. עם זאת, במקום לתקן את זה, הם החליטו לקחת את הכסף במקום.
נראה שהם מטילים את האחריות שלהם לדאוג מהפגיעות. לאחר מכן הם מיקדו את תשומת לבם בשוד את DeFi פלטפורמה על ידי ניסיון למצוא את הדרך הטובה ביותר להלבין את הכסף בלי לשים לב.
עם זאת, התוקף ביצע עסקאות רועשות תחת העין הפקוחה של קהילת הקריפטו. אלה נצפו בבלוקצ'יין הציבורי. הם אפילו רכשו Cryptopunk NFT עבור 42,000 וכו ', נתון ששווה למעלה מ-180 מיליון דולר.
מהלך האקרים יוצא דופן
מה שמוזר הוא שבסופו של דבר החזירו 550 מיליון דולר מהכסף שנגנב. ההאקר כיס את החצי השני לכיסו לזמן מה, למרות שניסה להסביר שהחדירה בוצעה מתוך כוונות טובות.
ב חוט בטוויטר, אמר רשת פולי, "אנו קוראים לכורים של בלוקצ'יין ובורסות קריפטו מושפעות לרשום אסימונים המגיעים מהכתובות לעיל... אנו ננקוט פעולות משפטיות, ואנו קוראים להאקרים להחזיר את הנכסים."
לִקְשׁוֹר, המפעילה את stablecoin USDT, הגיב לקריאה לרשימה שחורה של הכתובות שבהן השתמש התוקף.
בזמן שזה התרחש, משתמש אחר במטבעות קריפטוגרפיים בשם Hanashiro סיפק א עסקת Ethereum ריקה לתוקף עם עצות שיעזרו להאקר לתמרן סביב הנוף המשתנה, באומרו, "אל תשתמש באסימון ה-USDT שלך, יש לך רשימה שחורה".
הפורץ הגיב להנאשירו כעבור חצי שעה, ושלח 13.37 ETH בשווי של כ-57,000 דולר כאות תודה. לאחר מכן שלח הנישירו חלק מהכספים לארגוני צדקה.
חברי הקהילה תומכים בהאקרים
השמועה על התשלום הזה הגיעה והתפשטה כמו אש בשדה קוצים. זה התלקח ל"בהלה לזהב" ברשת Ethereum.
שותפים לעתיד החלו לשלוח הודעות לחשבון ששימש את התוקף, ולהציע להם עצות כיצד להלבין את הכסף לתחנונים לתרומות לצדקה.
רשת פולי אמור שהם ימשיכו בצעדים משפטיים נגד התוקף, ואמרו כי "אכיפת החוק בכל מדינה תתייחס לזה כפשע כלכלי גדול, ואתה תרדוף".
כשהמצב הסלים עקב כספים שלא הוחזרו, רשת פולי אז הציע לפורץ 500,000 דולר עבור גילוי הפגיעות.
ההאקר דחה אותם. אחרי הכל, הם החזיקו קרוב לחצי מיליארד דולר בנכסים גנובים.
איפשהו בין שרשת פולי דחקה בהאקר להחזיר את הכסף ובסופו של דבר הוא יוחזר, רשת פולי הציעה לפורץ עבודה בתור המנהל החדש שלהם. אבטחה יועץ, שגם הוא נדחה.
"לאחר שתקשרנו עם מר ווייט האט, הגענו גם להבנה מלאה יותר לגבי האופן שבו המצב התפתח, כמו גם כוונתו המקורית של מר ווייט האט", דיווחה רשת פולי ב- הצהרה, שם הם מתייחסים לפולש בכינוי זה.
מעקב אחר הפריצות
עם זאת, זה לא סוף הסיפור. SlowMist, חברת האבטחה האקולוגית של הבלוקצ'יין, הצליחה להתיר בהצלחה את החוט המוביל בחזרה אל ההאקר.
הם עשו זאת על ידי חשיפת תיבת הדואר, כתובת ה-IP וטביעת האצבע של המכשיר שלהם באמצעות מעקב בשרשרת ומחוץ לשרשרת.
בעזרת העוזר הטכני של שותפו של SlowMist Hoo Tiger Symbol, יחד עם מספר רב של חילופים משתתפים, צוות האבטחה של SlowMist הצליח לוודא שמקור הקריפטו הראשוני של התוקף היהמונרו (XMR).
לאחר מכן הם העבירו את הכספים ל-BNB, ETH ו-MATIC בבורסה. בעקבות זאת, הם משכו כספים למספר כתובות ולאחר מכן פתחו פריצות בשלוש בורסות.
שלל הפעילויות בבלוקצ'יין הקל על המעקב אחריהם. עם זאת, הם הגיעו למסקנה שהתוקף הזה חקר, תכנן וארגן את הפריצה ביסודיות לפני ביצועה.
עוד פריצות, קורבן אחר
האירוע הבא שהתרחש בסאגה זו הגיע מ-Fetch.ai, מעבדת בינה מלאכותית הממוקמת בקיימברידג', אשר בקשתי ש-Binance פועלת לזהות ולעקוב אחר תנועות ההאקר לאחר שההאקר פרץ לחשבונות מטבעות הקריפטו שלהם ב-6 ביוני.
הרשת הגבילה את חשבונותיו של התוקף. ובכך למנוע מהם למשוך נכסים. כתוצאה מכך, התוקף מכר את הכספים הללו לצד שלישי תוך שעה.
Fetch.ai ביקשה מבינאנס לעצור את חשבונות הפולש בבורסה. כדי להחמיר את הנושא עוד יותר, בית המשפט העליון נעתר לבקשות כדי שניתן יהיה לחקור את האירוע במלואו ולפתור אותו בערוצים משפטיים.
מדיווחים עולה כי Binance תציית לצווי בית המשפט. עם זאת, הם לא יוכלו לבקש צו הבראה עד שיספקו ראיות המוכיחות שהם היו קורבנות בעניין זה.
"אנחנו צריכים להפריך את המיתוס שנכסי קריפטו הם אנונימיים. המציאות היא שעם הכללים והיישומים הנכונים, ניתן לעקוב אחריהם, להתחקות אחריהם ולשחזר אותם", אמר Syedur Rahman, שהוא שותף ב-Rahman Ravelli המייצג את Fetch.ai.
בינאנס כבר היה תחת אש כאשר מוסדות פיננסיים ברחבי העולם בחנו את הבורסה. בריטניה, יחד עם כמה מדינות אחרות, פרסמו אזהרות לגבי השימוש בבורסה. בינתיים, אחרים יישמו איסורים לחלוטין.
קריפטו נוזלי יפני נפרץ
רשת פולי לא הייתה התקרית האבטחה היחידה באוגוסט. קריפטה נוזלית. שחקני איום תקפו גם בורסת קריפטו יפנית שבסיסה בטוקיו. הם הוציאו 97 מיליון דולר במטבעות קריפטוגרפיים המורכבים מ-BTC, ETH, TRX ו-XRP. ההאקרים פנו לארנקים חמים.
Liquid Crypto הגיב על ידי אמר זה מעביר באופן זמני את כל הנכסים במצב לא מקוון לתוך ארנקי אחסון קר. יתר על כן, הם השעו את כל שירותי העסקאות.
הבורסה דיווחה כי הם "עוקבים כעת אחר תנועת הנכסים ועובדים עם בורסות אחרות כדי להקפיא ולהחזיר כספים".
על פי פוסט בבלוג, החברה מוסבר שההאקר כיוון למחשוב מרובה צדדים ארנק (MPC). MPC's משמשים לאחסון וניהול מטבעות קריפטוגרפיים של החברה הבת בסינגפור, QUOINE PTE. עם זאת, Liquid Crypto לא הציעה הצהרה המסבירה כיצד הפולשים הצליחו לפרוץ פנימה.
"אנחנו כרגע חוקרים ונספק עדכונים שוטפים. בינתיים, ההפקדות והמשיכות יושעו", נמסר מהבורסה בא ציוץ.
בנוסף, ציוצים של Liquid Crypto מראים את כתובות המטבעות הקריפטו ששימשו את ההאקרים כדי לסנן את הנכסים הגנובים.
פרסי באגים יכולים להציע פתרון לפריצות
בפוסט האחרון בבלוג, רשת פולי אמרה שהיא תשיק תוכנית פרס של 500,000 דולר. זה יקבל בברכה חוקרים והאקרים לגלות ולדווח על כל פגיעות בתוכנה שלה.
לפי פרס הבאג רישום on אימונפי, תשלום הפרס המקסימלי הוא $100,000. עם תמריצים אטרקטיביים משיתופי פעולה עם שחקנים חיוביים בתחום אבטחת הסייבר, ניתן לראות בכך שכבה נוספת של הגנה על נכסים.
השארת שחקנים רעים מאחור במירוץ למציאת חורים שניתנים לניצול הוא ללא ספק המפתח כשזה מגיע לפתרון הקינקים. מי מוצא אותם ראשון זה עניין אחר.
תוכנית באגים היא יוזמה של מיקור המונים. זה מפצה אנשים שמוצאים ומדווחים על פרצות תוכנה שניתן לבצע באמצעות ביקורת קוד ובדיקות חדירה.
זה מאפשר לחברות ולחברים בתעשיית אבטחת הסייבר למצוא פתרונות לפני שגורמי איומים מגלים אותם לשימוש לטובתם.
כתב ויתור
כל המידע הכלול באתרנו מתפרסם בתום לב ולמידע כללי בלבד. כל פעולה שהקורא מבצע על המידע המצוי באתרנו הינה על אחריותם בלבד.
מקור: https://beincrypto.com/bug-bounties-a-possible-solution-to-cryptocurrency-exchange-hacks/