ב-10 באוגוסט, Poly Network ספגה פריצה של 611 מיליון דולר - הפריצה הגדולה ביותר הקשורה לקריפטו עד כה. ההתקפה הזו הייתה מעניינת במיוחד בהשוואה לרוב הפריצות של DeFi, שמשתמשות בדרך כלל בצורה של הלוואות פלאש וארביטראז' לניצול חוזים חכמיםמהם חוזים חכמים? חוזה חכם הוא מקצוען למחשבים ... עוד וסכומים קטנים יותר של כספים. במקרה זה, ההאקר מצא ניצול שאיפשר לו לעקוף את המפתחות הפרטיים ולבצע את החוזה החכם פשוט לשלוח את הכספים ישירות לארנקים שבשליטתו. CipherTrace אישרה שכמעט כל הכספים הוחזרו עד כה ל-Poly Network. רשת פולי גם אישרה את החזרה בפיד הטוויטר שלהם.
כאשר הפריצה הטיפוסית של DeFi היא נגד מכשירי DeFi ספציפיים, וכתוצאה מכך הפסדים קטנים בהרבה, במקרה הזה ההתקפה הייתה נגד התשתית של Poly Network, תוך התמקדות בפלטפורמת DeFi עצמה והתמקדות בשליטה בחוזים החכמים של הבורסה המבוזרת (DEX). כתוצאה מכך, החוזה הצול-שרשרת הראשי הפך לשליט לחלוטין על ידי ההאקר, מה שאיפשר לו לפתוח אסימונים שהיו אמורים להיות נעולים בתוך החוזה, לשלוח את האסימונים לכתובות שבשליטתם, ואז לחזור על ההתקפה על פני רשתות.
כיצד נפרצה פולי רשת
רשת Poly פועלת כגשר הדדיות בין שרשראות כדי להקל על העברת אסימונים בין שני רשתות עצמאיות יחסית. ככזה, אחד החוזים החכמים העיקריים שלהם ב- Poly Network הוא הגשר עצמו. על מנת שגשרים בין רשתות יפעלו ביעילות (למשל כדי שמשתמשים יוכלו להשתמש ברשת להעברת אסימונים בין רשתות), הם צריכים לשמור על סכומי נזילות גדולים. בכל פעם שמשתמש רוצה "לגשר" בין הרשתות Poly Network צריכה לשרוף/להטביע ביעילות את הנכסים המקבילים ברשתות המתאימות.
החוזה המנפיק העברות אסימונים חושיות אלה משתמש ב"שומרים "כדי לאמת ולבצע את העסקאות. ברגע שהשומר חותם על שרשרת מקור מה היא CrossChainManager חוזה על שרשרת יעד יבדוק את תוקפו של חתימת השומר ויבצע את המקבילה בשרשרת היעד להשלמת "הגשר".
מכיוון שהחוזה החכם מבצע את העסקאות ולא את המשתמש עצמו, האקר הצליח לנצל את CrossChainManager חוזה חכם והחלף את "השומרים" לשומר זדוני שבשליטתם. כתוצאה מכך, החוזה הראשי חוצה שרשראות ברשת פולי הפך לשליט לחלוטין על ידי ההאקר, מה שאפשר לו לפתוח אסימונים שאמורים להישאר נעולים בתוך חוזה הגשר ולהעביר את האסימונים לכתובות שבשליטתו. לאחר מכן השכפל ההאקר את המתקפה על פני שרשראות.
מיהם הקורבנות האמיתיים של פריצת רשת Poly?
כתוצאה מפעולות ההאקר, כספי המשתמשים ש"ננעלו "בחוזים אלה ספגו את ההפסד האמיתי. אמנם אסימונים ספציפיים לא נלקחו, אך על ידי הסרת סכום כה גדול הנעול בפרוטוקול, ל- Poly Network כבר לא תהיה נזילות לתמוך ביציאה בקנה מידה גדול אם כל המשתמשים היו רוצים למשוך את כספם מהחוזים. עם זאת, בשל אופיו המבוזר של DeFi, העדר תהליכי KYC והגעה לחוצי גבולות פירושו לזהות מיהם הקורבנות האמיתיים והיכן הם נמצאים כמעט בלתי אפשרי.
בסך הכל, מדובר בניצול מתוחכם לחוזה חכם שעוצב בצורה גרועה, כאשר "הסיכון" וה"התנהגות "משפיעים על משתמשי Poly Network. המשקיעים הם הקורבנות האמיתיים, לא רשת פולי עצמם. ניתן לטעון כי פולי רשת חולקת את האחריות עם ההאקר בכך שאינה מבטיחה את איכות החוזה החכם שלהם ובכך חושפת את המשקיעים לסיכון משמעותי.
כרגע אין אינדיקציה לכך שקוד Poly Network קיבל אי פעם ביקורת. חיפוש באמצעות GitHub של הפרוטוקול שאר לא הצביע על ביקורות שנערכו או דווחו.
האקר של Poly Network מחזיר יותר ממחצית מהכספים הגנובים
להפתעתם של אלה שעוקבים אחר גניבת רשת פולי, ב -11 באוגוסט התוקף החל להחזיר חלק מהכספים הגנובים. זה הותיר רבים ברחבי האינטרנט לתהות - מדוע?
בכל ההחלפות שהאקר ביצע במטרה לטשטש את עקבותיו, נראה כי ההאקר השתמש פעם אחת בארנק שכבר היה לו עסקאות קודמות עם כמה בורסות בולטות שיכולות להיות זיהוי מידע של "מכיר את הלקוח שלך" (KYC) אוֹתוֹ.
ישנן טענות כי ההאקר עשוי להיות כובע לבן, לאור החזרת הכספים. עם זאת, אין זה סביר ביותר שכובע לבן היה נוקט באותם צעדים כדי לנסות לטשטש את שובל הכספים אם תמיד היו מתכוונים להחזיר את הכסף.
בזמן הבלוג הזה, CipherTrace אישרה שכמעט כל הכספים הוחזרו ל- Poly Network לכתובות שפיתחו במיוחד בשביל ההאקר להחזיר את הכספים. כתובות אלו הן:
- 0x71Fb9dB587F6d47Ac8192Cd76110E05B8fd2142f
- 0xEEBb0c4a5017bEd8079B88F35528eF2c722b31fc
- 0xA4b291Ed1220310d3120f515B5B7AccaecD66F17
הכספים הוקפאו ב -10 באוגוסט (יום הפריצה)
USDT קפוא
הכספים הוחזרו ב -11 באוגוסט
חוזה פולי: 85 מיליון דולר USDC
חוזה BSC: 256.2 מיליון דולר ב -3 אסימונים מרכזיים (בעיקר BTCB, Binance pegged ETH, BUSD) ו- 2.637 מיליון דולר ב- BNB
חוזה Ethereum: 3.4 מיליון דולר ב- SHIB, renBTC ו- Fei
הכספים הוחזרו ב -12 באוגוסט
חוזה Ethereum: 96.42 מיליון דולר DAI
ההשלכות של פריצת DeFi כה גדולה
מחוקקים יזרזו את יישומם של תקנות DeFi, בייחוד כמספר ספקי הספיגה של DeFi, כפי שהתגלו בפריצה האחרונה של Poly Network. בסופו של דבר, רגולטורים עשויים לסווג בורסות מבוזרים (DEX) כספקי שירותי נכס וירטואליים (VASP) בהתאם להמלצות ה- FATF. FinCEN עשוי לסווג DEX כעסקי שירותי כסף (MSB), כלומר DEXs ויישומי DeFi אחרים יידרשו לעמוד בהתחייבויות נגד הלבנת הון (AML) ו- KYC. הייתי מצפה גם מה- CFTC להסדיר קהילות DeFi וה- SEC להסדיר את תקנות ניירות הערך של DeFi.
בנוסף תקני איכות חוזה חכמים יהפכו ליותר קפדניים, יופיעו תקני ביקורת. יתר על כן, שוק הביטוח של DeFi יתפתח ויבשיל שיכול להעריך כראוי ותחת סיכונים טכניים של DeFi הנכונים.
פריצות DeFi מתקרבות לשני מיליארד דולר בשנה - מה הלאה?
פריצה זו מדגימה את החשיבות של אבטחת חוזה ותקני ביקורת חכמים בכדי להבטיח את האיכות ולהפחית את הפגיעויות בקוד.
על פי האחרונה שלנו דו"ח פשע מטבעות והלבנת הון, עד סוף אוגוסט היקף ה- DeFi-hack שנרכש על ידי עבריינים בשנת 2021 מהווה 361 מיליון דולר. כיום מספר זה כמעט שילש את עצמו מכיוון שפריצות DeFi מהוות כעת 994 מיליון דולר, המהוות 90% מכלל נפח הפריצה לשנת 2021, שעולה למעלה מ -1.1 מיליארד דולר.
מכיוון שפריצות והונאות DeFi ממשיכות לצמוח באופן אקספוננציאלי מרבעון לרבעון, העתיד של פשע DeFi נראה עגום אם המגמה תימשך. אם פשעי DeFi ימשיכו להיעשות מתוחכמים יותר, כפי שצופה בפריצה של Poly Network, סביר להניח כי חוזים חכמים ימוקדו יותר ויותר להתקפות בקנה מידה גדול יותר.
נספח
ב- 11 באוגוסט האקר ערך שאלות ותשובות "ברשת". ניתן לראות את הדברים הבאים על ידי פענוח נתוני הקלט על חלק מהעסקאות שלו.
שאלות ותשובות, חלק ראשון:
ש: מדוע פריצה?
ת: בשביל הכיף 🙂
ש: למה להשתמש ברשת?
ת: פריצת שרשרת חוצה היא חמה
ש: מדוע העברת אסימונים?
ת: כדי לשמור על זה בטוח.
כאשר גיליתי את הבאג, הייתה לי תחושה מעורבת. שאל את עצמך מה לעשות אם אתה מתייצב כל כך הרבה. לשאול את צוות הפרוייקט באופן פוליטי כך שהם יכולים לתקן את זה? כל אחד יכול להיות הבוגד שנתן מיליארד אחד! אני לא יכול לסמוך על אף אחד! הפתרון היחיד שאני יכול להעלות איתו הוא שמירתו בחשבון _אמין_ תוך שמירה על עצמי _אנונימית_ ובטוחה_.
עכשיו כולם מריחים תחושה של קשירת קשר. פְּנִימַאי? לא אני, אבל מי יודע? אני לוקח על עצמי את האחריות לחשוף את הפגיעות לפני שמישהו מהפנים מסתיר ומנצל אותה!
ש: מדוע כל כך מחמיאים?
ת: הרשת הפולירית היא מערכת הגונה. זהו אחד ההתקפות המאתגרות ביותר שהאקר יכול ליהנות. והייתי חייבת להיות מהירה להכות כל אחד מבפנים או מהאקרים, התייחסתי לזה כאל תינוק בונוס 🙂
ש: האם אתה חשוף?
לא. לעולם לא. אני מבין את הסיכון של חשיפת עצמי אפילו אם אני לא עושה רע. אז השתמשתי בדואר אלקטרוני זמני, IP או _SO CALLED_ FINGERPRINT, אשר לא היה ניתן לעקוב אחריו. אני מעדיף להישאר בחושך ולהציל את העולם.
https://etherscan.io/tx/0x1fb7d1054df46c9734be76ccc14fa871b6729e33b98f9a3429670d27ec692bc0
שאלות ותשובות, חלק שני:
ש: מה באמת קרה לפני 30 שעות?
סיפור ארוך.
האמן לזה או לא, הייתי _אילץ_ לשחק את המשחק.
רשת הפולי היא מערכת ממוחשבת, לא הצלחתי לבנות סביבת בדיקות מקומית. לא הצלחתי לייצר POC בהתחלה. עם זאת, AHA MOMEMNT הגיע רק לפני שהייתי מוותר. לאחר שהצלחתי להתערב כל הלילה, חיברתי הודעה _סינגלית_ לרשת האונטולוגיה.
תכננתי להשיק בליצקריג מגניב כדי להשתלט על ארבעת הרשתות: ETH, BSC, פוליגון והקו. עם זאת רשת HECO משתבשת! הממסר אינו מתנהג כמו האחרים, שומר פשוט העביר את המיצוי שלי ישירות, והמפתח עודכן לכמה פרמטרים לא נכונים. זה הרס את התוכנית שלי.
הייתי צריך להפסיק באותו רגע, אבל החלטתי לתת להופעה להמשיך! מה אם הם יתקנו את הבאג בסוד ללא כל הודעה?
עם זאת, לא רציתי לגרום לפאניקה של עולם קריפטו. אז בחרתי להתעלם מטבעות חרא, אז אנשים לא היו צריכים לדאוג להם שהם הולכים לאפס. לקחתי אסימונים חשובים (למעט SHIB) ולא מכרתי אף אחד מהם.
ש: אז מדוע מוכרים/מחליפים את הדוכנים?
ת: הייתי כועס על ידי צוות הפוליה על התשובה הראשונית שלהם.
הם דרשו אחרים להאשים אותי ולשנוא אותי לפני שהייתה לי אפשרות להשיב! כמובן שידעתי שיש מטבעות מזויפים, אבל לא לקחתי את זה ברצינות מאז שלא היה לי שום תוכנה להלבין אותם.
בינתיים, הפקדת המעמדות יכולה להרוויח ריבית מסוימת לכיסוי עלויות פוטנציאליות, כך שיהיה לי יותר זמן לנהל משא ומתן עם צוות הפולי.
https://etherscan.io/tx/0xd4ee4807c07702a3202f45666983855d7fa22eb1c230e4c1e840fc9389e54729
שאלות ותשובות, חלק שלישי:
ש: מדוע הטיפ 13.37?
ת: הרגשתי את החמימות מקהילת אתריום.
עסקתי בחקירות עסקיות מ- HECO ובאגרתי את הסקריפטים שלי. חשבתי שמדובר בבעיות רשת מדוע אינני יכול להפקיד (הייתי מאחורי פרוקסי סופיסטי). אז שיתפתי את טובי הבחור.
ש: למה לשאול טורנדו ודאו?
ת: כיוון שהייתי עד לפריצות רבות כל כך, ידעתי שהפקדה לטורנדו היא החלטה נבונה, אבל החלטה מיואשת. זה היה נגד הכוונה המקורית שלי. להיות ההאקר הצבור היה רק הבדיחה הרעה שלי אחרי שפגשתי כל כך הרבה קבצנים 🙂
ש: למה לחזור?
ת: זה תמיד התוכנית! אני _לא_ מעוניין מאוד בכספים! אני יודע שזה כואב כאשר אנשים תוקפים אותם, אבל הם לא צריכים ללמוד משהו מהפריצות האלה? הודעתי על ההחלטה החוזרת לפני אמצע הלילה, כך שאנשים שאמונו בי אמורים לקבל מנוחה טובה 😉
ש: למה לחזור לאט?
ת: אני צריך זמן לדבר עם צוות פולי. לצערי, זו הדרך היחידה שבה אני יכול להוכיח את הכבוד שלי תוך הסתרת זהות עצמי. ואני צריך קצת מנוחה.
ש: קבוצת פולי?
ת: כבר התחלתי לדבר איתם בקיצור, היומנים נמצאים באתריה. אני יכול או לא לפרסם אותם. הכאבים שהם סבלו הם זמניים אבל בלתי נשכחים.
הייתי רוצה לתת להם טיפים כיצד לאבטח את הרשתות שלהם, כך שהם יכולים להיות כשירים לנהל את פרויקט המיליארד בעתיד. רשת פולי היא מערכת מעוצבת היטב והיא תטפל בנכסים נוספים. הם קיבלו הרבה עוקבים חדשים בטוויטר, נכון?
https://etherscan.io/tx/0xe954bed9abc08c20b8e4241c5a9e69ed212759152dd588bb976b47eca353a5bc
הערך נלקח מ- Poly Network Hack
שַׁרשֶׁרֶת | TX Hash | נכס | כמות | ערך $ |
BSC | 0x534966864bda354628d4f1c66db45cbefcdda7433e9576e7664fea01bb05be9a | BNB | 6,613.44 | $2,460,861.21 |
BSC | 0xd59223a8cd2406cfd0563b16e06482b9a3efecfd896d590a3dba1042697de11a | דולר ארה"ב | 87,603,373.77 | $87,624,502.53 |
BSC | 0x4e57f59395aca4847c4d001db4a980b92aab7676bc0e2d57ee39e83502527d6c | ETH | 26,629.16 | $85,896,083.66 |
BSC | 0x50105b6d07b4d738cd11b4b8ae16943bed09c7ce724dc8b171c74155dd496c25 | ביטקוין | 1,023.88 | $47,427,704.52 |
BSC | 0xd65025a2dd953f529815bd3c669ada635c6001b3cc50e042f9477c7db077b4c9 | דולר אמריקאי | 32,107,854.11 | $32,124,918.14 |
BSC | 0xea37b320843f75a8a849fdf13cd357cb64761a848d48a516c3cac5bbd6caaad5 | דולר ארה"ב | 298.9405633 | $299.04 |
ETH | 0xad7a2c70c958fcd3effbf374d0acf3774a9257577625ae4c838e24b0de17602a | ETH | 2,857.49 | $8,977,279.13 |
ETH | 0x5a8b2152ec7d5538030b53347ac82e263c58fe7455695543055a2356f3ad4998 | דולר ארה"ב | 96,389,444.23 | $96,430,660.58 |
ETH | 0x3f55ff1fa4eb3437afe42f4fea57903e8e663bc3b17cb982f1c8d4c8f03a2083 | WBTC | 1,032.12 | 46,971,609.47 |
ETH | 0xa7c56561bbe9fbd48e2e26306e5bb10d24786504833103d3f023751bbcc8a3d9 | DAI | 673,227.94 | $673.628.12 |
ETH | 0xc917838cc3d1edd871c1800363b4e4a8eaf8da2018e417210407cc53f94cd44e | חַד | 43,023.75 | $1,242,040.44 |
ETH | 0xe05dcda4f1b779989b0aa2bd3fa262d4e6e13343831cb337c2c5beb2266138f5 | shib | 259,737,345,149.52 | $1,974,082.34 |
ETH | 0xb12681d9e91e69b94960611b227c90af25e5352881907f1deee609b8d5e94d7d | renBTC | 14.47265047 | $659,141.75 |
ETH | 0x06aca16c483c3e61d5cdf39dc34815c29d6672a77313ec36bf66040c256a7db3 | USDT | 33,431,197.73 | $33,391,733.96 |
ETH | 0xc797aa9d4714e00164fcac4975d8f0a231dae6280458d78382bd2ec46ece08e7 | WETH | 26,109.06 | $82,052,128.62 |
ETH | 0xd8c1f7424593ddba11a0e072b61082bf3d931583cb75f7843fc2a8685d20033a | פיי | 616,082.59 | $616,082.59 |
פולי | 0x1d260d040f67eb2f3e474418bf85cc50b70101ca2473109fa1bf1e54525a3e01 | דולר ארה"ב | 85,089,610.91 | $85,061,020.80 |
פולי | 0xfbe66beaadf82cc51a8739f387415da1f638d0654a28a1532c6333feb2857790 | דולר ארה"ב | 108.694578 | $108.66 |
כתובות האקרים ברשת Poly
רשת פולי זיהתה בפומבי שלוש כתובות שנשלטו לכאורה על ידי התוקף:
- 0xC8a65Fadf0e0dDAf421F28FEAb69Bf6E2E589963 (ETH)
- 0x0D6e286A7cfD25E0c01fEe9756765D8033B32C71 (BSC)
- 0x5dc3603C9D42Ff184153a8a9094a73d461663214 (POLYGON)
מקור: https://ciphertrace.com/poly-network-suffers-largest-crypto-hack-ever-recorded/
- &
- 11
- חֶשְׁבּוֹן
- תעשיות
- לִכאוֹרָה
- מאפשר
- AML
- הודיע
- הלבנת הון
- יישומים
- ארביטראז'
- נכס
- נכסים
- בדיקה
- אוגוסט
- B
- binance
- בלוג
- לְגַשֵׁר
- חרק
- לִבנוֹת
- דולר אמריקאי
- עסקים
- לגרום
- CFTC
- CipherTrace
- טענות
- קוד
- מטבעות
- הקהילות
- קהילה
- קשירת קשר
- להמשיך
- חוזה
- חוזים
- פשע
- פשעים
- פושעים
- חוצה גבולות
- קריפטו
- DAO
- נתונים
- יְוֹם
- מבוזר
- DeFi
- דקס
- DID
- אמייל
- סביבה
- ETH
- ethereum
- בורסות
- סֵפֶר שֵׁמוֹת
- לנצל
- מול
- מְזוּיָף
- FinCen
- טביעת אצבעות
- לסדר
- פלאש
- טופס
- הונאה
- כֵּיף
- כספים
- עתיד
- מִשְׂחָק
- GitHub
- טוב
- לגדול
- לפרוץ
- האקר
- האקרים
- פריצה
- פריצות
- איך
- איך
- HTTPS
- זהות
- מידע
- תשתית
- Insider
- אינטרס
- אינטרנט
- יכולת פעולה הדדית
- משקיעים
- IP
- בעיות
- IT
- שמירה
- מפתח
- מפתחות
- KYC
- גָדוֹל
- האחרון
- לשגר
- לִלמוֹד
- נְזִילוּת
- הלוואות
- מקומי
- ארוך
- גדול
- הרוב
- עשייה
- מִילִיוֹן
- מעורב
- כסף
- ניטור
- המהלך
- רשת
- רשתות
- רשתות
- הודעה
- אונטולוגיה
- להזמין
- אחר
- בהלה
- תיקון
- אֲנָשִׁים
- תכנון
- פלטפורמה
- PoC
- פְּרָטִי
- מפתחות פרטיים
- מִקצוֹעָן
- פּרוֹיֶקט
- פרוקסי
- לפרסם
- שאלות ותשובות
- איכות
- להפחית
- תקנון
- רגולטורים
- REST
- החזרות
- הסיכון
- בטוח
- חסכת
- סולם
- ה-SEC
- ניירות ערך
- אבטחה
- למכור
- תחושה
- משותף
- שיתופים
- שלטים
- חכם
- חוזה חכם
- חוזים חכמים
- So
- תקנים
- החל
- להשאר
- גָנוּב
- תמיכה
- הפתעה
- מערכת
- מדבר
- טכני
- זמני
- בדיקות
- גְנֵבָה
- זמן
- טיפים
- אסימון
- מטבעות
- עסקות
- סומך
- משתמשים
- אבזמים
- וירטואלי
- ספקי שירותי נכסים וירטואליים
- כֶּרֶך
- פגיעויות
- פגיעות
- ארנק
- ארנקים
- מי
- בתוך
- עוֹלָם
- אפס