In het kort
- Meer dan $ 600 miljoen aan digitale activa werden gestolen van PolyNetwork.
- Beveiligingsexperts proberen nog steeds te achterhalen wat er is gebeurd.
Meer dan zeven uur nadat het voor het eerst werd gemeld, kwamen de details over een exploit die $ 600 miljoen aan digitale activa van PolyNetwork buitelde maar langzaam naar voren. Bij gebrek aan een uitgebreide audit hebben cyberbeveiligingsgroepen een gemeenschappelijk refrein uitgesproken tegen de programmeurs achter het cross-chain compatibiliteitsnetwerk: dit is aan jou.
Fondsen die verband houden met de aanval zijn getraceerd naar drie afzonderlijke adressen - één op elk adres Ethereum, Binance slimme ketting en Veelhoek.
Over de keten van gebeurtenissen die de misdadige fondsen daar hebben gekregen, hebben beveiligingsexperts verschillende meningen - sommigen gaan zelfs zover dat ze hun collega's ervan beschuldigen het publiek te misleiden.
Volgens een eerste analyse door de in China gevestigde beveiligingsauditor BlockSec, die het waarschuwde dat het nog niet had geverifieerd, zou de diefstal het gevolg kunnen zijn van "het lekken van de privésleutel die wordt gebruikt om het cross-chain-bericht te ondertekenen" of " een bug in het ondertekeningsproces van het PolyNetwork die is misbruikt om een vervaardigd bericht te ondertekenen.”
Andere onderzoekers insinueerden ook dat slechte beveiligingspraktijken mogelijk hebben geleid tot de diefstal van privésleutels die door het PolyNetwork-team worden gebruikt om transacties te autoriseren.
Ethereum-ontwikkelaar en beveiligingsonderzoeker Mudit Gupta schreef dat PolyNetwork een multisig-portemonnee gebruikt voor transacties. In de configuratie hebben vier mensen toegang tot de sleutel voor het ondertekenen van transacties, en drie moeten ondertekenen: "De aanvaller heeft ten minste 3 keepers te pakken gekregen en heeft ze vervolgens gebruikt om de keepers te veranderen in één enkele bewaarder." In feite heeft de hacker ze buitengesloten. (Gupta dacht aanvankelijk dat Poly een 1/1 multisig gebruikte.)
Blockchain-beveiligingsteam SlowMist zegt dat dat niet precies is wat er is gebeurd. In plaats daarvan zou de aanvaller misbruik hebben gemaakt van een fout in een slimme contractfunctie om de keeper te wijzigen en de geldstroom om te leiden naar het eigen adres van de aanvaller. "Het is niet zo dat deze gebeurtenis plaatsvond als gevolg van het lekken van de privésleutel van de keeper", zegt het gerapporteerd.
PolyNetwork retweette de blogpost, terwijl Gupta het sterk oneens was met SlowMist, wat duidt op grove onmacht of corruptie.
Ongeacht of de aanvaller privésleutels heeft verkregen of een zwak slim contract heeft misbruikt, een manier om een van deze dingen te doen, is door de leiding te nemen. Maar was het een inside job? Immers, volgens blockchain-analysebedrijf CipherTrace, waren zogenaamde rugtrekkingen, een soort exit-zwendel, de meest populaire vorm van cryptofraude vorig jaar.
Het is te vroeg om te zeggen. SlowMist zegt dat het "de mailbox van de aanvaller, het IP-adres en de vingerafdrukken van het apparaat heeft begrepen via on-chain en off-chain tracking, en mogelijke identiteitsaanwijzingen met betrekking tot de Poly Network-aanvaller volgt." Maar het onderzoek heeft er nog niet toe geleid dat een directeur van Poly een rokend pistool vasthoudt. (Of, als dat zo is, zegt SlowMist nog niet.)
In de tussentijd is het onduidelijk of de aanvaller het geld kan gebruiken. PolyNetwork heeft ook gevraagd "mijnwerkers van getroffen blockchain- en crypto-uitwisselingen om tokens op de zwarte lijst te zetten" van de adressen van de uitbuiter. Als reactie zei Tether dat het $ 33 miljoen aan USDT in verband met de aanval had bevroren, terwijl leidinggevenden bij Binance, OKEx en Huobi beloofden te helpen de schade te beperken.
De hacker heeft echter beschimpingen uiten van de Ethereum-blockchain, door berichten aan blokken toe te voegen. "WAT ALS IK EEN NIEUWE TOKEN MAAK EN DE DAO LAAT BESLISSEN WAAR DE TOKENS GAAN", schreven ze in een Bericht.
Misschien, maar misschien moet iemand anders daarvoor de slimme contracten schrijven.
- "
- 9
- toegang
- Voordeel
- Alles
- analyse
- analytics
- Activa
- controleren
- binance
- blockchain
- Blog
- Bug
- veroorzaakt
- verandering
- lading
- CipherTrace
- Gemeen
- contract
- contracten
- Corruptie
- crypto
- Crypto Exchanges
- Cybersecurity
- DAO
- gegevens
- Ontwikkelaar
- DEED
- digitaal
- Digitale activa
- dollar
- Komt binnen
- ethereum
- Event
- EVENTS
- Exchanges
- uitvoerend
- leidinggevende
- afrit
- zwendel afsluiten
- deskundigen
- Exploiteren
- Stevig
- Voornaam*
- fout
- stroom
- formulier
- functie
- fondsen
- hacker
- houden
- Hoe
- HTTPS
- Huobi
- Identiteit
- Impact
- Interoperabiliteit
- onderzoek
- IP
- IT
- Jobomschrijving:
- sleutel
- toetsen
- Groot
- LED
- LINK
- Medium
- miljoen
- Mijnwerkers
- multisig
- netwerk
- OKEx
- Mensen
- zwembad
- arm
- Populair
- privaat
- private Key
- Privésleutels
- publiek
- antwoord
- Oplichterij
- veiligheid
- slim
- slim contract
- Slimme contracten
- ketting
- diefstal
- teken
- tokens
- Tracking
- Transacties
- us
- USDT
- Portemonnee
- jaar
