Hvordan stjal PolyNetwork Hacker 600 millioner dollar? Sikkerhetseksperter peker fingre

Over syv timer etter at det først ble rapportert, har detaljer om en utnyttelse som ga 600 millioner dollar i digitale eiendeler fra PolyNetwork vært treg. I mangel av en omfattende revisjon har cybersikkerhetsgrupper uttalt et felles refreng til programmererne bak krysskjedenes kompatibilitetsnettverk: Dette er på deg.

Midler knyttet til angrepet er sporet til tre separate adresser - en hver på Ethereum, Binance SmartChainog polygon.

Når det gjelder hendelsesrekken som fikk de misfødte midlene der, har sikkerhetseksperter forskjellige meninger - noen går så langt som å beskylde sine kolleger for å villede offentligheten.

Ifølge en innledende analyse av den kinesiske baserte sikkerhetsrevisoren BlockSec, som den advarte om at den ennå ikke hadde verifisert, kan tyveriet være et resultat av "enten lekkasje av den private nøkkelen som brukes til å signere krysskjedemeldingen" eller " en feil i signeringsprosessen til PolyNetwork som har blitt misbrukt for å signere en utformet melding. ”

Andre forskere insinuerte også at dårlig sikkerhetspraksis kan ha ført til tyveri av private nøkler som ble brukt av PolyNetwork -teamet for å godkjenne transaksjoner.

Ethereum -utvikler og sikkerhetsforsker Mudit Gupta skrev at PolyNetwork bruker en multisig lommebok for transaksjoner. I sin konfigurasjon har fire personer tilgang til nøkkelen for signering av transaksjoner, og tre må signere: "Angriperen fikk tak i minst 3 keepere og brukte dem deretter til å bytte keeper til en enkelt keeper." Faktisk låste hackeren dem ut. (Gupta trodde først at Poly brukte en 1/1 multisig.)

Blockchain sikkerhetsteam SlowMist sier at det ikke akkurat var det som skjedde. I stedet sier det at angriperen utnyttet en feil i en smart kontraktfunksjon for å endre keeper og omdirigere pengestrømmen til angriperens egen adresse. "Det er ikke slik at denne hendelsen skjedde på grunn av lekkasje av keeperens private nøkkel," heter det rapportert.

PolyNetwork retweetet blogginnlegget, mens Gupta var sterkt uenig i SlowMist, noe som antydet enten grov impotens eller korrupsjon.

Uansett om angriperen skaffet private nøkler eller utnyttet en svak smart kontrakt, er en måte å gjøre en av disse tingene på ved å være ansvarlig. Men var det en innsidejobb? Tross alt, ifølge blockchain-analysefirmaet CipherTrace, var såkalte rug pulls, en type exit-svindel, mest populære form for kryptosvindel i fjor. 

Det er for tidlig å si. SlowMist sier at den "har grepet angriperens postboks, IP og enhets fingeravtrykk gjennom sporing på kjeden og utenfor kjeden, og sporer mulige identitetsspor knyttet til Poly Network-angriperen." Men etterforskningen har ennå ikke ført til at en leder i Poly har en røykepistol. (Eller, hvis det har det, sier SlowMist ennå ikke.)

I mellomtiden er det uklart om angriperen vil kunne bruke midlene. PolyNetwork har også spurt "gruvearbeidere av berørte blockchain- og kryptobørser til svarteliste -tokens" fra utnytterens adresser. Som svar sa Tether at det frøs 33 millioner dollar i USDT knyttet til angrepet, mens ledere i Binance, OKEx og Huobi lovet å hjelpe til med å begrense skaden.

Hackeren har imidlertid tatt til utstede hån fra Ethereum -blokkeringen, ved å legge meldinger til blokker. "HVA OM JEG GJØR ET NYT Token og lar DAO AVGJØRE HVOR Tokenene går," skrev de i ett melding.

Kanskje, men kanskje noen andre burde skrive de smarte kontraktene for det.

Kilde: https://decrypt.co/78250/how-did-polynetwork-hacker-steal-600-million-security-experts-point-fingers