בקיצור
- Over $600 million in digital assets were pilfered from PolyNetwork.
- Security experts are still trying to piece together what happened.
למעלה משבע שעות לאחר הדיווח הראשון, הפרטים על ניצול שגרף נכסים דיגיטליים של 600 מיליון דולר מ-PolyNetwork איטו להופיע. בהיעדר ביקורת מקיפה, קבוצות אבטחת סייבר השמיעו פזמון נפוץ למתכנתים שמאחורי רשת התאימות בין השרשרת: זה עליך.
הכספים הקשורים למתקפה אותרו לשלוש כתובות נפרדות - אחת כל אחת Ethereum, שרשרת חכמה של Binance, ו מְצוּלָע.
באשר לשרשרת האירועים שהביאה לשם את הכספים שגויים, למומחי אבטחה יש דעות שונות - וחלקם מגיעים עד להאשים את עמיתיהם בהטעיית הציבור.
According to an initial analysis by China-based security auditor BlockSec, which it cautioned it had not yet verified, the theft could be the result of “either the leakage of the private key that is used to sign the cross-chain message” or “a bug in the signing process of the PolyNetwork that has been abused to sign a crafted message.”
חוקרים אחרים גם העלו כי נוהלי אבטחה לקויים הובילו לגניבה של מפתחות פרטיים המשמשים את צוות PolyNetwork כדי לאשר עסקאות.
מפתחת וחוקר האבטחה של Ethereum, Mudit Gupta כתב that PolyNetwork uses a multisig wallet for transactions. In its configuration, four people have access to the key for signing transactions, and three must sign: “The attacker got hold of at least 3 keepers and then used them to change the keepers to a single keeper.” In effect, the hacker locked them out. (Gupta initially thought Poly used a 1/1 multisig.)
Blockchain security team SlowMist says that’s not exactly what happened. Instead, it says, the attacker took advantage of a flaw in a smart contract function to change its keeper, rerouting the flow of funds to the attacker’s own address. “It is not the case that this event occurred due to the leakage of the keeper’s private key,” it דיווח.
PolyNetwork צייץ מחדש את הפוסט בבלוג, בעוד שגופטה לא הסכימה מאוד עם SlowMist, והציעה אימפוטנציה גסה או שחיתות.
לא משנה אם התוקף השיג מפתחות פרטיים או ניצל חוזה חכם חלש, דרך אחת לעשות כל אחד מהדברים האלה היא להיות אחראי. אבל האם זו הייתה עבודה פנימית? אחרי הכל, לפי חברת ניתוח הבלוקצ'יין CipherTrace, מה שנקרא משיכת שטיחים, סוג של הונאת יציאה, היו הצורה הפופולרית ביותר של הונאה קריפטו שנה שעברה.
It’s too soon to tell. SlowMist says it “has grasped the attacker’s mailbox, IP, and device fingerprints through on-chain and off-chain tracking, and is tracking possible identity clues related to the Poly Network attacker.” But its investigation hasn’t yet led to an executive at Poly holding a smoking gun. (Or, if it has, SlowMist is not yet saying.)
In the meantime, it’s unclear whether the attacker will be able to use the funds. PolyNetwork has also asked “miners of affected blockchain and crypto exchanges to blacklist tokens” from the exploiter’s addresses. In response, Tether said it froze $33 million in USDT connected to the attack, while executives at Binance, OKEx, and Huobi pledged to help limit the damage.
ההאקר, לעומת זאת, עשה זאת מוציא לעג from the Ethereum blockchain, by appending messages to blocks. “WHAT IF I MAKE A NEW TOKEN AND LET THE DAO DECIDE WHERE THE TOKENS GO,” they wrote in one הודעה.
אולי, אבל אולי מישהו אחר צריך לכתוב את החוזים החכמים בשביל זה.
- "
- 9
- גישה
- יתרון
- תעשיות
- אנליזה
- ניתוח
- נכסים
- בדיקה
- binance
- blockchain
- בלוג
- חרק
- גרם
- שינוי
- תשלום
- CipherTrace
- Common
- חוזה
- חוזים
- שְׁחִיתוּת
- קריפטו
- חילופי קריפטו
- אבטחת סייבר
- DAO
- נתונים
- מפתח
- DID
- דיגיטלי
- נכסים דיגיטליים
- דולר
- נכנס
- ethereum
- אירוע
- אירועים
- בורסות
- מנהלים
- כעובדים בכירים
- יציאה
- הונאת יציאה
- מומחים
- לנצל
- פירמה
- ראשון
- פגם
- תזרים
- טופס
- פונקציה
- כספים
- האקר
- להחזיק
- איך
- HTTPS
- חובי
- זהות
- פְּגִיעָה
- יכולת פעולה הדדית
- חקירה
- IP
- IT
- עבודה
- מפתח
- מפתחות
- גָדוֹל
- הוביל
- קשר
- בינוני
- מִילִיוֹן
- כורים
- מולטי-סיג
- רשת
- OKEx
- אֲנָשִׁים
- בריכה
- עני
- פופולרי
- פְּרָטִי
- מפתח פרטי
- מפתחות פרטיים
- ציבורי
- תגובה
- הונאה
- אבטחה
- חכם
- חוזה חכם
- חוזים חכמים
- לִקְשׁוֹר
- גְנֵבָה
- אסימון
- מטבעות
- מעקב
- עסקות
- us
- USDT
- ארנק
- שנה
