Op 10 augustus werd Poly Network getroffen door een hack van $ 611 miljoen, de grootste crypto-gerelateerde hack tot nu toe. Deze aanval was vooral interessant in vergelijking met de meeste DeFi-hacks, die doorgaans een vorm van flitsleningen en arbitrage gebruiken om misbruik te maken slimme contractenWat zijn slimme contracten? Een slim contract is een computerpro ... Meer en kleinere bedragen. In dit geval vond de hacker een exploit waarmee hij de privรฉsleutels kon omzeilen en het slimme contract het geld eenvoudig rechtstreeks naar portefeuilles onder hun controle kon sturen. CipherTrace heeft bevestigd dat bijna al het geld tot nu toe is teruggestort aan Poly Network. Poly Network heeft de terugkeer ook bevestigd op hun Twitter-feed.
Waar de typische DeFi-hack gericht is op specifieke DeFi-instrumenten, resulterend in veel kleinere verliezen, was de aanval in dit geval tegen de infrastructuur van Poly Network, gericht op het DeFi-platform zelf en gericht op de controle van de slimme contracten van de gedecentraliseerde uitwisseling (DEX). Als gevolg hiervan werd het belangrijkste cross-chain-contract volledig gecontroleerd door de hacker, waardoor hij tokens kon ontgrendelen die geacht werden binnen het contract te zijn vergrendeld, de tokens naar adressen onder hun controle te sturen en de aanval vervolgens over ketens heen te herhalen.
Hoe Poly Network werd gehackt
Poly Network fungeert als een cross-chain interoperabiliteitsbrug om de overdracht van tokens tussen twee relatief onafhankelijke blockchains te vergemakkelijken. Als zodanig is een van hun belangrijkste slimme contracten van Poly Network de brug zelf. Om ervoor te zorgen dat bruggen tussen ketens effectief werken (bijvoorbeeld voor gebruikers om het netwerk te kunnen gebruiken om tokens over ketens over te dragen), moeten ze grote sommen liquiditeit aanhouden. Wanneer een gebruiker een "brug" tussen ketens wil maken, moet Poly Network de equivalente activa op de respectieve ketens efficiรซnt branden/minten.
Het contract dat deze cross-chain token-overdrachten uitgeeft, maakt gebruik van "keepers" om de transacties te verifiรซren en uit te voeren. Zodra de keeper tekent op de bronketen de CrossChain Manager contract op de bestemmingsketen zal de handtekening van de Keeper controleren op geldigheid en het equivalent uitvoeren op de bestemmingsketen om de "brug" te voltooien.
Omdat het slimme contract de transacties uitvoert en niet de gebruiker zelf, kon de hacker misbruik maken van de CrossChain Manager slim contract en verwissel de "bewaarders" voor een kwaadwillende bewaarder onder hun controle. Als gevolg hiervan werd het belangrijkste cross-chain-contract op het Poly Network volledig gecontroleerd door de hacker, waardoor hij tokens kon ontgrendelen die binnen het bridge-contract moesten blijven en de tokens naar adressen onder zijn controle kon verplaatsen. De hacker repliceerde vervolgens de aanval over ketens heen.
Wie zijn de echte slachtoffers van de Poly Network-hack?
Als gevolg van de acties van de hacker leden de tegoeden van de gebruikers die in deze contracten waren 'opgesloten' het echte verlies. Hoewel er geen tokens van specifieke individuen werden genomen, zou Poly Network door het verwijderen van zo'n groot bedrag dat in het protocol was vergrendeld, niet langer de liquiditeit hebben om een โโgrootschalige uittocht te ondersteunen als alle gebruikers hun geld uit de contracten wilden halen. Vanwege het gedecentraliseerde karakter van DeFi is het echter bijna onmogelijk om door het ontbreken van KYC-processen en grensoverschrijdend bereik te identificeren wie de echte slachtoffers zijn en waar ze zich bevinden.
Over het algemeen is het een geavanceerde uitbuiting van een slecht ontworpen slim contract, waarbij het "risico" en het "gedrag" van invloed zijn op de gebruikers van Poly Network. De investeerders zijn de echte slachtoffers, niet Poly Network zelf. Ongetwijfeld deelt Poly Network de verantwoordelijkheid met de hacker door de kwaliteit van hun slimme contract niet te waarborgen, waardoor investeerders worden blootgesteld aan aanzienlijke risico's.
Er zijn momenteel geen aanwijzingen dat de Poly Network-code ooit een audit heeft gehad. Zoeken door de GitHub . van het protocol rust gaf niet aan dat er audits waren uitgevoerd of gerapporteerd.
Poly Network-hacker geeft meer dan de helft van gestolen geld terug
Tot grote verbazing van degenen die de diefstal van Poly Network in de gaten hielden, begon de aanvaller op 11 augustus een deel van het gestolen geld terug te geven. Hierdoor vroegen velen zich op internet af: waarom?
Bij al het ruilen dat de hacker heeft gedaan in een poging om hun spoor te verdoezelen, lijkt het erop dat de hacker op een gegeven moment een portemonnee opnieuw had gebruikt die al eerdere transacties had met een aantal prominente uitwisselingen die identificerende "ken uw klant" (KYC) -informatie op hem.
Er zijn claims dat de hacker mogelijk een witte hoed is, gezien het teruggeven van geld. Het is echter uiterst onwaarschijnlijk dat een witte hoed dezelfde stappen zou hebben ondernomen om het geldspoor te verdoezelen als ze altijd van plan waren geweest om het geld terug te geven.
Op het moment van deze blog heeft CipherTrace bevestigd dat bijna alle fondsen zijn teruggestort naar Poly Network op de adressen die ze speciaal voor de hacker hadden ontwikkeld om het geld terug te storten. Deze adressen zijn:
- 0x71Fb9dB587F6d47Ac8192Cd76110E05B8fd2142f
- 0xEEBb0c4a5017bEd8079B88F35528eF2c722b31fc
- 0xA4b291Ed1220310d3120f515B5B7AccaecD66F17
Tegoeden bevroren 10 augustus (dag van hack)
USDT bevroren
Geld terug op 11 augustus
Poly-contract: $ 85 miljoen USDC
BSC-contract: $ 256.2 miljoen in 3 grote tokens (meestal BTCB, Binance gekoppelde ETH, BUSD) en $ 2.637 miljoen in BNB
Ethereum-contract: $ 3.4 miljoen in SHIB, renBTC en Fei
Geld terug op 12 augustus
Ethereum-contract: $ 96.42 miljoen DAI
De gevolgen van zo'n grote DeFi-hack
Wetgevers zullen de implementatie van DeFi-regelgeving bespoedigen, vooral omdat het aantal DeFi-hacks toeneemt, zoals belichaamd door deze nieuwste Poly Network-hack. Uiteindelijk zullen regelgevers waarschijnlijk gedecentraliseerde beurzen (DEX's) classificeren als virtual asset service providers (VASP's) in overeenstemming met de aanbevelingen van de FATF. FinCEN zal DEX's waarschijnlijk classificeren als Money Service Businesses (MSB's), wat betekent dat DEX's en andere DeFi-applicaties zullen moeten voldoen aan antiwitwas- (AML) en KYC-verplichtingen. Ik zou ook verwachten dat de CFTC DeFi-gemeenschappen reguleert en dat de SEC de DeFi-effectenregelgeving reguleert.
Bovendien zullen de kwaliteitsnormen voor slimme contracten strenger worden en zullen er auditnormen ontstaan. Verder zal de "verzekeringsmarkt" van DeFi evolueren en rijpen die de technische risico's van DeFi adequaat kan evalueren en onder de juiste omstandigheden kan brengen.
DeFi-hacks naderen $ 2 miljard voor het jaar - wat nu?
Deze hack illustreert het belang van slimme contractbeveiliging en auditnormen om de kwaliteit te waarborgen en kwetsbaarheden in de code te verminderen.
Volgens onze laatste Rapport over criminaliteit en anti-witwaspraktijken in cryptovaluta, bedroeg het volume DeFi-hacks dat in 2021 door criminelen werd gesaldeerd eind augustus $ 361 miljoen. Tegenwoordig is dit aantal bijna verdrievoudigd, aangezien DeFi-hacks nu $ 994 miljoen uitmaken, goed voor 90% van het totale hackvolume van 2021, dat iets meer dan $ 1.1 miljard bedraagt.
Aangezien DeFi-hacks en -fraude kwartaal na kwartaal exponentieel blijven groeien, lijkt de toekomst van DeFi-criminaliteit somber als de trend zich voortzet. Als DeFi-misdaden steeds geavanceerder worden, zoals voorspeld door de Poly Network-hack, zullen slimme contracten waarschijnlijk steeds vaker het doelwit worden van grootschalige aanvallen.
Bijlage
Op 11 augustus hield de hacker een "on-chain" Q&A. Het volgende kan worden bekeken door de invoergegevens van sommige van zijn transacties te decoderen.
Vraag en antwoord, DEEL EEN:
V: WAAROM HACKEN?
A: VOOR DE PLEZIER
V: WAAROM POLY NETWERK?
A: CROSS CHAIN โโHACKEN IS HOT
V: WAAROM TOKENS OVERDRAGEN?
A: OM HET VEILIG TE HOUDEN.
Toen ik de bug ontdekte, had ik een gemengd gevoel. VRAAG JEZELF WAT JE MOET DOEN ALS JE ZO VEEL GELUKKIG HEBT GENOMEN. HET PROJECTTEAM POLITIEK VRAGEN ZODAT ZE HET KUNNEN OPLOSSEN? IEDEREEN KAN DE VERRADER ZIJN MET EEN MILJARD! IK KAN NIEMAND VERTROUWEN! DE ENIGE OPLOSSING DIE IK KAN VERBINDEN IS HET OPSLAAN IN EEN _VERTROUWDE_ ACCOUNT TERWIJL IK ZELF _ANONIEM_ EN _VEILIG_ HOUD.
NU RUIKT IEDEREEN EEN GEVOEL VAN SAMENZWERING. BINNENKORT? NIET MIJ, MAAR WIE WEET HET? IK NEEMT DE VERANTWOORDELIJKHEID OM DE KWETSBAARHEID BLOOT TE STELLEN VOORDAT INSIDENTEN HET VERBERGEN EN UITBUITEN!
V: WAAROM ZO VERFIJND?
A: HET POLY-NETWERK IS EEN GOED SYSTEEM. HET IS EEN VAN DE MEEST UITDAGENDE AANVALLEN DIE EEN HACKER KAN GENIETEN. EN IK MOEST SNEL ZIJN OM INSIDERS OF HACKERS TE VERSLAAN, IK HEB HET OPGENOMEN ALS EEN BONUS UITDAGING ๐
V: BENT U BLOOTGESTELD?
EEN: NEE. NOOIT. IK BEGRIJP HET RISICO VAN BLOOTSTELLING VAN MIJZELF, ZELFS ALS IK GEEN KWAAD DOEN. DUS IK GEBRUIKTE TIJDELIJKE E-MAIL, IP OF _SO CALLED_ VINGERAFDRUK, DIE ONTRACABLE WAREN. IK BLIJF LIEFST IN HET DONKER EN RED DE WERELD.
https://etherscan.io/tx/0x1fb7d1054df46c9734be76ccc14fa871b6729e33b98f9a3429670d27ec692bc0
Vraag en antwoord, DEEL TWEE:
V: WAT IS ER 30 UUR GELEDEN ECHT GEBEURD?
EEN LANG VERHAAL.
GELOOF HET OF NIET, IK WAS _GEDWONGEN_ OM HET SPEL TE SPELEN.
HET POLY NETWERK IS EEN GEAVANCEERD SYSTEEM, HET IS IK NIET GESLAAGD EEN LOKALE TESTOMGEVING TE BOUWEN. IK HEB IN HET BEGIN GEEN POC GEPRODUCEERD. ECHTER, DE AHA MOMEMNT KWAM NET VOORDAT IK WAS OPGEGEVEN. NA EEN HELE NACHT DEBUGGING, MAAKTE IK EEN _ENKEL_ BERICHT AAN HET ONTOLOGY NETWORK.
IK WAS VAN PLAN EEN COOLE BLITZKRIEG TE LANCEREN OM HET VIER NETWERK OVER TE NEMEN: ETH, BSC, POLYGON & HECO. MAAR HET HECO NETWERK GAAT ER ER MISSCHIEN! DE RELAYER GEDRAGT NIET ZOALS DE ANDEREN, EEN BEWAARDER HEEFT ALLEEN MIJN EXPLOIT DIRECT DOORGELEGD, EN DE SLEUTEL WERD BIJGEWERKT NAAR ENKELE VERKEERDE PARAMETERS. HET RUNEDE MIJN PLAN.
IK HAD OP DAT MOMENT MOETEN STOPPEN, MAAR IK BESLOTEN DE SHOW DOOR TE GAAN! WAT ALS ZE DE BUG GEHEIM PATTEN ZONDER ENIGE KENNISGEVING?
ECHTER WIL IK GEEN _ECHTE_ PANIEK VAN DE CRYPTO-WERELD VEROORZAKEN. DAAROM HEB IK GEKOZEN OM SHIT MUNTEN TE NEGEREN, ZODAT MENSEN ZICH GEEN ZORGEN HADDEN DAT ZE NUL GAAN. IK HEB BELANGRIJKE TOKENS GENOMEN (BEHALVE SHIB) EN VERKOOP GEEN VAN ZE.
V: WAAROM DAN DE STAL VERKOPEN/RUILEN?
A: IK WAS PIST DOOR HET POLY-TEAM VOOR HUN EERSTE ANTWOORD.
ZE HEBBEN ANDEREN AANGEDREVEN OM MIJ DE SCHULD TE MAKEN EN TE HAAT VOORDAT IK ENIGE KANS OM ANTWOORD TE BEANTWOORDEN! NATUURLIJK WIST IK DAT ER VALSE DEFI-MUNTEN ZIJN, MAAR IK HEB HET NIET SERIEUS OPGENOMEN AANGEZIEN IK GEEN PLAN HAD OM ZE TE WISSEN.
IN DE tussentijd kan het storten van de stallen wat rente opbrengen om de potentiรซle kosten te dekken, zodat ik meer tijd heb om met het POLY-TEAM te ONDERHANDELEN.
https://etherscan.io/tx/0xd4ee4807c07702a3202f45666983855d7fa22eb1c230e4c1e840fc9389e54729
Vraag en antwoord, DEEL DRIE:
V: WAAROM 13.37 Fooien geven?
A: IK VOELDE DE WARMTE VAN DE ETHEREUM-GEMEENSCHAP.
IK WAS BEZIG MET HET ONDERZOEKEN VAN PROBLEMEN VAN HECO EN DEBUGGING VAN MIJN SCRIPTS. IK DACHT DAT HET NETWERKPROBLEMEN WAS WAAROM IK NIET KON STORTEN (IK WAS ACHTER EEN GEAVANCEERDE PROXY). DUS DEELDE IK MIJN GOODWILL DE KEREL.
V: WAAROM TORNADO EN DAO VRAGEN?
A: IK GETUIGE GETUIGE VAN ZO VEEL HACKS, WIST IK DEPOSITIE IN TORNADO EEN WIJZE MAAR WANHOPIGE BESLISSING IS. HET WAS TEGEN MIJN OORSPRONKELIJKE INTENTIE. DE CROWDSOURCED HACKER ZIJN WAS GEWOON MIJN SLECHTE GRAP NA HET ONTMOETEN VAN ZO VEEL BEDELAARS ๐
V: WAAROM RETOURNEREN?
A: DAT IS ALTIJD HET PLAN! IK BEN _NIET_ ERG GENTERESSEERD IN GELD! IK WEET DAT HET pijn doet ALS MENSEN WORDEN AANGEVALLEN, MAAR ZULLEN ZE NIET IETS LEREN VAN DIE HACKS? IK KONDIG HET TERUGKEERBESLUIT VR MIDDERNACHT AAN, DUS MOETEN MENSEN DIE IN MIJ HADDEN EEN GOEDE RUST HADDEN ๐
V: WAAROM LANGZAAM TERUGKEREN?
A: IK HEB TIJD NODIG OM MET HET POLY-TEAM TE PRATEN. Sorry, het is de enige manier die ik ken om mijn waardigheid te bewijzen terwijl ik mijn identiteit verberg. EN IK HEB WAT RUST NODIG.
V: HET POLY-TEAM?
A: IK BEGON REEDS KORT MET HEN TE PRATEN, DE LOGS ZIJN OP DE ETHEREUM. IK KAN OF MAG NIET PUBLICEREN. DE PIJNEN DIE ZE HEBBEN LIJDEN, IS TIJDELIJK, MAAR GEDENKELIJK.
IK WIL HEN GRAAG TIPS GEVEN OVER HUN NETWERKEN TE BEVEILIGEN, ZODAT ZE IN DE TOEKOMST IN AANMERKING KUNNEN KOMEN OM HET MILJARD PROJECT TE BEHEREN. HET POLY NETWERK IS EEN GOED ONTWORPEN SYSTEEM EN HET ZAL MEER ACTIVA VERWERKEN. ZE HEBBEN VEEL NIEUWE VOLGERS OP TWITTER, toch?
https://etherscan.io/tx/0xe954bed9abc08c20b8e4241c5a9e69ed212759152dd588bb976b47eca353a5bc
Waarde ontleend aan Poly Network Hack
Keten | TX-hasj | aanwinst | bedragen | $ Value |
BSC | 0x534966864bda354628d4f1c66db45cbefcdda7433e9576e7664fea01bb05be9a | BNB | 6,613.44 | $2,460,861.21 |
BSC | 0xd59223a8cd2406cfd0563b16e06482b9a3efecfd896d590a3dba1042697de11a | USDC | 87,603,373.77 | $87,624,502.53 |
BSC | 0x4e57f59395aca4847c4d001db4a980b92aab7676bc0e2d57ee39e83502527d6c | ETH | 26,629.16 | $85,896,083.66 |
BSC | 0x50105b6d07b4d738cd11b4b8ae16943bed09c7ce724dc8b171c74155dd496c25 | BTCB | 1,023.88 | $47,427,704.52 |
BSC | 0xd65025a2dd953f529815bd3c669ada635c6001b3cc50e042f9477c7db077b4c9 | BUSD | 32,107,854.11 | $32,124,918.14 |
BSC | 0xea37b320843f75a8a849fdf13cd357cb64761a848d48a516c3cac5bbd6caaad5 | USDC | 298.9405633 | $299.04 |
ETH | 0xad7a2c70c958fcd3effbf374d0acf3774a9257577625ae4c838e24b0de17602a | ETH | 2,857.49 | $8,977,279.13 |
ETH | 0x5a8b2152ec7d5538030b53347ac82e263c58fe7455695543055a2356f3ad4998 | USDC | 96,389,444.23 | $96,430,660.58 |
ETH | 0x3f55ff1fa4eb3437afe42f4fea57903e8e663bc3b17cb982f1c8d4c8f03a2083 | WBTC | 1,032.12 | 46,971,609.47 |
ETH | 0xa7c56561bbe9fbd48e2e26306e5bb10d24786504833103d3f023751bbcc8a3d9 | DAI | 673,227.94 | $673.628.12 |
ETH | 0xc917838cc3d1edd871c1800363b4e4a8eaf8da2018e417210407cc53f94cd44e | UNI | 43,023.75 | $1,242,040.44 |
ETH | 0xe05dcda4f1b779989b0aa2bd3fa262d4e6e13343831cb337c2c5beb2266138f5 | shib | 259,737,345,149.52 | $1,974,082.34 |
ETH | 0xb12681d9e91e69b94960611b227c90af25e5352881907f1deee609b8d5e94d7d | renBTC | 14.47265047 | $659,141.75 |
ETH | 0x06aca16c483c3e61d5cdf39dc34815c29d6672a77313ec36bf66040c256a7db3 | USDT | 33,431,197.73 | $33,391,733.96 |
ETH | 0xc797aa9d4714e00164fcac4975d8f0a231dae6280458d78382bd2ec46ece08e7 | Weth | 26,109.06 | $82,052,128.62 |
ETH | 0xd8c1f7424593ddba11a0e072b61082bf3d931583cb75f7843fc2a8685d20033a | FEI | 616,082.59 | $616,082.59 |
Poly | 0x1d260d040f67eb2f3e474418bf85cc50b70101ca2473109fa1bf1e54525a3e01 | USDC | 85,089,610.91 | $85,061,020.80 |
Poly | 0xfbe66beaadf82cc51a8739f387415da1f638d0654a28a1532c6333feb2857790 | USDC | 108.694578 | $108.66 |
Poly Network Hacker-adressen
Poly Network heeft publiekelijk drie adressen geรฏdentificeerd die naar verluidt door de aanvaller worden beheerd:
- 0xC8a65Fadf0e0dDAf421F28FEAb69Bf6E2E589963 (ETH)
- 0x0D6e286A7cfD25E0c01fEe9756765D8033B32C71 (BSC)
- 0x5dc3603C9D42Ff184153a8a9094a73d461663214 (POLYGON)
Bron: https://ciphertrace.com/poly-network-suffers-largest-crypto-hack-ever-recorded/
- &
- 11
- Account
- Alles
- naar verluidt
- Het toestaan
- AML
- aangekondigd
- anti-witwassen van geld
- toepassingen
- arbitrage
- aanwinst
- Activa
- controleren
- Augustus
- Miljard
- binance
- Blog
- BRUG
- Bug
- bouw
- BUSD
- ondernemingen
- Veroorzaken
- CFTC
- CipherTrace
- vorderingen
- code
- Munten
- Gemeenschappen
- gemeenschap
- Samenzwering
- voortzetten
- contract
- contracten
- Misdrijf
- misdaden
- criminelen
- grensoverschrijdende
- crypto
- DAO
- gegevens
- dag
- gedecentraliseerde
- Defi
- Dex
- DEED
- Milieu
- ETH
- ethereum
- Exchanges
- Exodus
- Exploiteren
- naar
- nep
- FinCEN
- vingerafdruk
- Bepalen
- flash
- formulier
- bedrog
- leuke
- fondsen
- toekomst
- spel
- GitHub
- goed
- Groeien
- houwen
- hacker
- Hackers
- hacking
- hacks
- Hoe
- How To
- HTTPS
- Identiteit
- informatie
- Infrastructuur
- Insider
- belang
- Internet
- Interoperabiliteit
- Investeerders
- IP
- problemen
- IT
- houden
- sleutel
- toetsen
- KYC
- Groot
- laatste
- lancering
- LEARN
- Liquiditeit
- Leningen
- lokaal
- lang
- groot
- Meerderheid
- maken
- miljoen
- gemengd
- geld
- Grensverkeer
- beweging
- netwerk
- netwerken
- netwerken
- notificatie
- Ontologie
- bestellen
- Overige
- Paniek
- Patch
- Mensen
- planning
- platform
- PoC
- privaat
- Privรฉsleutels
- Pro
- project
- volmacht
- publiceren
- Q & A
- kwaliteit
- verminderen
- reglement
- Regelgevers
- REST
- Retourneren
- Risico
- veilig
- besparing
- Scale
- SEC
- Effecten
- veiligheid
- verkopen
- zin
- gedeeld
- Aandelen
- Signs
- slim
- slim contract
- Slimme contracten
- So
- normen
- gestart
- blijven
- gestolen
- ondersteuning
- verrassing
- system
- praat
- Technisch
- tijdelijk
- Testen
- diefstal
- niet de tijd of
- tips
- teken
- tokens
- Transacties
- Trust
- X
- gebruikers
- vaspen
- Virtueel
- dienstverleners voor virtuele activa
- volume
- kwetsbaarheden
- kwetsbaarheid
- Portemonnee
- Portemonnees
- WIE
- binnen
- wereld
- nul