Poly Network Hack — Heroverweging van het 'echte hacker'-scenario

De recente inter-chain-hack van Poly Network, inclusief: Ethereum, Binance Smart Chain en Polygon hebben voor veel hype gezorgd toen de hacker het gestolen geld teruggaf.

Hoe langer het verhaal doorgaat, hoe meer details en speculaties over de de ware motieven van de hacker verschijnen.

Als je deze gebeurtenis van dichterbij bekijkt, kun je je afvragen of deze aanval volledig door buitenstaanders is uitgevoerd.

Wat zit er onder de hack

De Poly Network-hack vond plaats via een kwetsbaarheidsexploit in de interchain-bruggen die door Poly Network zijn gebouwd. Dit is voorzien in de verslag door cyberbeveiligingsbedrijf SlowMist.

Het BlockSec-cyberbeveiligingsbedrijf heeft: aangeboden een versie van de hack. In deze versie is de hacker heeft een sleutel in handen waarmee hij cross-chaintransacties kon ondertekenen met behulp van de Poly Network-bruggen. Anders vond hij een bug in het slimme contract van Poly Network waardoor hij zijn eigen transacties kon genereren.

Beide exploits zouden zeer moeilijk te vinden zijn voor zowel hackers als auditors. Blijkbaar hebben de auditors de exploit niet gevonden. Dus het opent voor ons een mogelijkheid van twijfel over een externe hacker.

Je moet ook rekening houden met het PR-effect dat het nieuws heeft veroorzaakt. Dit doet me nadenken over de mogelijkheid dat het een PR-oefening van het bedrijf was.

Het 'echte hacker'-scenario is echter nog steeds relevant op enkele feiten. De hacker besloot het geld terug te geven. Dit was nadat de informatie met betrekking tot het IP-adres van de hacker en het geverifieerde adres van de klant op de in China gevestigde cryptocurrency-uitwisseling Hoo.com op Twitter verscheen.

Voor de aanval, de hacker trok 0.47 ETH . in ervan om de gaskosten op de transacties te betalen. De centrale kon de e-mail en het IP-adres registreren dat door de hacker werd gebruikt.

Dus, bedreigd door strafrechtelijke vervolging, besloot de hacker het gestolen geld terug te geven om aanklacht te voorkomen. Dat lijkt echter nogal twijfelachtig, aangezien de hacker tal van anonimiseringsinstrumenten heeft gebruikt. Dat stond ook in zijn reactie op het SlowMist-rapport.

Het is ook vermeldenswaard dat de aanvaller een deel van het gestolen geld naar een liquiditeitspool van Ellipsis Finance heeft gestuurd. Dit had hem misschien al een behoorlijke winst opgeleverd, waardoor de rest van het geld het risico niet waard was.

Nieuwe technologie brengt risico's met zich mee

De belangrijkste reden achter de hacks is het gebruik van nieuwe programmeertalen waar veel blockchain-ontwikkelaars niet helemaal bekend mee zijn, bijvoorbeeld de programmeertaal Solidity.

De grootste last ligt echter bij de architecturale kenmerken van slimme contracten die de grootste veiligheid bedreiging voor met name de gedecentraliseerde financiën.

Ook is het aantal beveiligingspersoneel duidelijk onvoldoende in de meeste blockchain-startups. Sommigen van hen nemen niet eens de moeite om hun technologie goed te controleren.

Ondertussen, naarmate de industrie groeit, groeit ook het aantal geeks dat de technologie bestudeert. Het verschil in aantallen is vaak in het voordeel van de nerds die, eenmaal verenigd in een groep, een paar duizend hardwerkende mensen in de hele industrie enorm in gevaar kunnen brengen.

Hoe meer de branche groeit, hoe meer kwetsbaarheden er zullen zijn zolang de situatie met beveiliging in de branche blijft zoals die nu is.

Manieren om cyberdreigingen op het gebied van cryptocurrency aan te pakken

Eerst en vooral moet er meer aandacht gaan naar de beveiliging van slimme contracten. Meestal vinden succesvolle hackaanvallen plaats op slimme contracten die niet goed zijn gecontroleerd.

Alleen een systemische benadering van de beveiliging van blockchainprojecten zou dit mogelijk kunnen maken Defi schalen. Dat omvat audits door professionals en het volgen van beveiligingsprotocollen binnen het bedrijf.

Over het aanpakken van de architecturale risico's gesproken, de modulaire aanpak zou een goede oplossing voor het probleem kunnen zijn. Het goede aan modulaire ontwikkeling is dat het lijkt op het bouwen van een lokaal netwerk met blade-systemen die kunnen worden vervangen zonder de hele unit waarin ze werken uit te schakelen.

U kunt de server vervangen zonder het werk van het lokale netwerk in gevaar te brengen. U kunt dus een module opnieuw opbouwen zonder afbreuk te doen aan het werk van de rest van uw technologiestack.

Het voorbeeld van Poly Network is niet uniek, elk project dat met enorme hoeveelheden geld werkt, moet talloze codecontroles doorlopen en het is altijd het beste om de service van meerdere auditors te gebruiken in plaats van één, hoe goed en professioneel ze ook zijn.

Dubbele controle zou daarbij een leidend principe moeten zijn. Ten tweede moet het project niet overhaast worden vrijgegeven omdat de prijs van een fout in een onveranderlijke code te hoog is. Zelfs als sommige releasedatums moeten verschuiven, is het beter om dat te doen dan het risico te lopen een product uit te brengen waar je niet het volledige vertrouwen in hebt.

Beide tactieken zouden de beheersbare en niet-beïnvloedbare risico's aanzienlijk kunnen verlagen.

Wat betekent het voor de toekomst?

Dit kan een hackeraanval van derden zijn of een insider die besloot een hype rond het project te veroorzaken. Momenteel is het onwaarschijnlijk dat we de waarheid zullen kennen totdat het bedrijf zijn resultaten bekendmaakt.

Als het echter een aanval zou zijn die door het bedrijf werd uitgevoerd om de aandacht van het publiek te trekken, zou het dwaas zijn om te verwachten dat ze openlijk zouden komen, aangezien dit zeer ernstige gevolgen zou kunnen hebben voor al zijn uitvoerende managers.

De waarheid van het verhaal is dat het veiligheidsprobleem serieus moet worden aangepakt. Zolang dat niet het geval is, zullen we meer krantenkoppen zien over epische diefstallen die opduiken in de cryptocurrency-media.