בקיצור
- יותר מ-600 מיליון דולר בנכסים דיגיטליים נגנבו מ-PolyNetwork.
- מומחי אבטחה עדיין מנסים לחבר מה קרה.
למעלה משבע שעות לאחר הדיווח הראשון, הפרטים על ניצול שגרף נכסים דיגיטליים של 600 מיליון דולר מ-PolyNetwork איטו להופיע. בהיעדר ביקורת מקיפה, קבוצות אבטחת סייבר השמיעו פזמון נפוץ למתכנתים שמאחורי רשת התאימות בין השרשרת: זה עליך.
הכספים הקשורים למתקפה אותרו לשלוש כתובות נפרדות - אחת כל אחת Ethereum, שרשרת חכמה של Binance, ו מְצוּלָע.
באשר לשרשרת האירועים שהביאה לשם את הכספים שגויים, למומחי אבטחה יש דעות שונות - וחלקם מגיעים עד להאשים את עמיתיהם בהטעיית הציבור.
על פי ניתוח ראשוני של מבקר האבטחה בסין, BlockSec, שהוא הזהיר כי טרם אימת, הגניבה יכולה להיות תוצאה של "הדלפת המפתח הפרטי המשמש לחתימה על ההודעה הצולבת של השרשרת" או " באג בתהליך החתימה של PolyNetwork שנוצל לרעה כדי לחתום על הודעה מעוצבת".
חוקרים אחרים גם העלו כי נוהלי אבטחה לקויים הובילו לגניבה של מפתחות פרטיים המשמשים את צוות PolyNetwork כדי לאשר עסקאות.
מפתחת וחוקר האבטחה של Ethereum, Mudit Gupta כתב ש-PolyNetwork משתמש בארנק מולטי-sig לעסקאות. בתצורה שלו, לארבעה אנשים יש גישה למפתח לחתימה על עסקאות, ושלושה חייבים לחתום: "התוקף החזיק לפחות 3 שומרים ואז השתמש בהם כדי לשנות את השוערים לשומר יחיד." למעשה, ההאקר נעל אותם בחוץ. (גופטה חשבה בתחילה שפולי השתמש במולטי-סיג של 1/1.)
צוות האבטחה של Blockchain SlowMist אומר שזה לא בדיוק מה שקרה. במקום זאת, נכתב, התוקף ניצל פגם בפונקציית חוזה חכם כדי לשנות את השומר שלו, והעביר את זרימת הכספים לכתובת של התוקף עצמו. "זה לא המקרה שהאירוע הזה התרחש עקב דליפת המפתח הפרטי של השומר", נכתב. דיווח.
PolyNetwork צייץ מחדש את הפוסט בבלוג, בעוד שגופטה לא הסכימה מאוד עם SlowMist, והציעה אימפוטנציה גסה או שחיתות.
לא משנה אם התוקף השיג מפתחות פרטיים או ניצל חוזה חכם חלש, דרך אחת לעשות כל אחד מהדברים האלה היא להיות אחראי. אבל האם זו הייתה עבודה פנימית? אחרי הכל, לפי חברת ניתוח הבלוקצ'יין CipherTrace, מה שנקרא משיכת שטיחים, סוג של הונאת יציאה, היו הצורה הפופולרית ביותר של הונאה קריפטו שנה שעברה.
מוקדם מדי לומר. SlowMist אומרת שהיא "תפסה את תיבת הדואר, ה-IP וטביעות האצבע של המכשיר של התוקף באמצעות מעקב בשרשרת ומחוץ לשרשרת, ועוקבת אחר רמזים אפשריים לזהות הקשורים לתוקף Poly Network". אבל חקירתה עדיין לא הובילה לכך שמנהל בפולי מחזיק אקדח מעשן. (או, אם כן, SlowMist עדיין לא אומר.)
בינתיים, לא ברור אם התוקף יוכל להשתמש בכספים. PolyNetwork ביקשה גם מ"כורים של בלוקצ'יין וחילופי קריפטו מושפעים לרשום אסימונים שחורים" מהכתובות של המנצל. בתגובה, Tether אמר שהיא הקפיאה 33 מיליון דולר ב-USDT הקשורים למתקפה, בעוד שמנהלים ב-Binance, OKEx וה-Huobi התחייבו לעזור להגביל את הנזק.
ההאקר, לעומת זאת, עשה זאת מוציא לעג מ-Ethereum blockchain, על ידי הוספת הודעות לבלוקים. "מה אם אעשה אסימון חדש ונתן לדאאו להחליט לאן הולכים האסימונים", הם כתבו באחד הודעה.
אולי, אבל אולי מישהו אחר צריך לכתוב את החוזים החכמים בשביל זה.
- "
- 9
- גישה
- יתרון
- תעשיות
- אנליזה
- ניתוח
- נכסים
- בדיקה
- binance
- blockchain
- בלוג
- חרק
- גרם
- שינוי
- תשלום
- CipherTrace
- Common
- חוזה
- חוזים
- שְׁחִיתוּת
- קריפטו
- חילופי קריפטו
- אבטחת סייבר
- DAO
- נתונים
- מפתח
- DID
- דיגיטלי
- נכסים דיגיטליים
- דולר
- נכנס
- ethereum
- אירוע
- אירועים
- בורסות
- מנהלים
- כעובדים בכירים
- יציאה
- הונאת יציאה
- מומחים
- לנצל
- פירמה
- ראשון
- פגם
- תזרים
- טופס
- פונקציה
- כספים
- האקר
- להחזיק
- איך
- HTTPS
- חובי
- זהות
- פְּגִיעָה
- יכולת פעולה הדדית
- חקירה
- IP
- IT
- עבודה
- מפתח
- מפתחות
- גָדוֹל
- הוביל
- קשר
- בינוני
- מִילִיוֹן
- כורים
- מולטי-סיג
- רשת
- OKEx
- אֲנָשִׁים
- בריכה
- עני
- פופולרי
- פְּרָטִי
- מפתח פרטי
- מפתחות פרטיים
- ציבורי
- תגובה
- הונאה
- אבטחה
- חכם
- חוזה חכם
- חוזים חכמים
- לִקְשׁוֹר
- גְנֵבָה
- אסימון
- מטבעות
- מעקב
- עסקות
- us
- USDT
- ארנק
- שנה
