10. august ble Poly Network utsatt for et hack på 611 millioner dollar – det største kryptorelaterte hacket til dags dato. Dette angrepet var spesielt interessant sammenlignet med flertallet av DeFi-hack, som vanligvis bruker en form for flashlån og arbitrage for å utnytte smarte kontrakterHva er smarte kontrakter? En smart kontrakt er et datapro ... Mer og mindre mengder midler. I dette tilfellet fant hackeren en utnyttelse som tillot ham å omgå de private nøklene og få den smarte kontrakten til å sende pengene direkte til lommebøker under deres kontroll. CipherTrace har bekreftet at nesten alle midlene så langt har blitt returnert til Poly Network. Poly Network har også bekreftet avkastningen på Twitter-feeden deres.
Der det typiske DeFi-hacket er mot spesifikke DeFi-instrumenter, noe som resulterer i mye mindre tap, var angrepet i dette tilfellet mot Poly Networks infrastruktur, med fokus på selve DeFi-plattformen og målrettet kontroll over den desentraliserte sentralens (DEX) smarte kontrakter. Som et resultat ble hovedkontrakten på tvers av kjeder fullstendig kontrollert av hackeren, slik at han kunne låse opp tokens som var ment å være låst innenfor kontrakten, sende tokenene til adresser under deres kontroll, og deretter gjenta angrepet på tvers av kjeder.
Hvordan Poly Network ble hacket
Poly Network fungerer som en interoperabilitetsbro på tvers av kjeder for å lette overføring av tokens mellom to relativt uavhengige blokker. Som sådan er en av deres viktigste Poly Network -smarte kontrakter selve broen. For at broer mellom kjeder skal fungere effektivt (f.eks. For at brukerne skal kunne bruke nettverket til å overføre tokens på tvers av kjeder), må de opprettholde store summer. Når en bruker ønsker å "bygge bro" mellom kjeder, må Poly Network effektivt brenne/minte tilsvarende eiendeler på de respektive kjedene.
Kontrakten som utsteder disse krysskjedede tokenoverføringene bruker "keepere" for å verifisere og utføre transaksjonene. Når keeper signerer på kildekjede de CrossChainManager kontrakt på destinasjonskjede vil kontrollere Keepers signatur for gyldighet og utføre tilsvarende på destinasjonskjeden for å fullføre “broen”.
Siden den smarte kontrakten utfører transaksjonene og ikke brukeren selv, var hackeren i stand til å utnytte CrossChainManager smart kontrakt og bytt “keeper” mot en ondsinnet keeper under deres kontroll. Som et resultat ble hovedkontrakten på tvers av kjeder på Poly Network fullstendig kontrollert av hackeren, slik at han kunne låse opp tokens som skulle forbli låst i brokontrakten og flytte tokens til adresser under hans kontroll. Hackeren gjentok deretter angrepet på tvers av kjeder.
Hvem er de virkelige ofrene for Poly Network -hacket?
Som et resultat av hackers handlinger led brukernes midler som var "låst" i disse kontraktene det sanne tapet. Selv om spesifikke enkeltpersoner ikke ble tatt, ved å fjerne et så stort beløp låst i protokollen, ville Poly Network ikke lenger ha likviditet til å støtte en stor utflykt hvis alle brukere ønsket å trekke pengene sine fra kontraktene. På grunn av DeFis desentraliserte natur er imidlertid mangelen på noen KYC-prosesser og grenseoverskridende rekkevidde nesten umulig å identifisere hvem de virkelige ofrene er og hvor de befinner seg.
Totalt sett er det en sofistikert utnyttelse av en dårlig utformet smart kontrakt, med "risiko" og "oppførsel" som påvirker brukerne av Poly Network. Investorene er de sanne ofrene, ikke Poly Network selv. Uten tvil deler Poly Network ansvaret med hackeren ved å ikke sikre kvaliteten på den smarte kontrakten og dermed utsette investorer for betydelig risiko.
Det er foreløpig ingen indikasjon på at Poly Network -koden noen gang hadde mottatt en revisjon. Søker gjennom protokollens GitHub repos indikerte ikke at noen revisjoner hadde blitt utført eller rapportert.
Poly Network hacker returnerer over halvparten av stjålne midler
Til stor overraskelse for de som overvåker tyveriet i Poly Network, begynte angriperen 11. august å returnere noen av de stjålne midlene. Dette lot mange over internett lure på - hvorfor?
I alt byttet hackeren har gjort i et forsøk på å skjule deres spor, ser det ut til at hackeren på et tidspunkt hadde gjenbrukt en lommebok som allerede hadde tidligere transaksjoner med noen fremtredende utvekslinger som kunne ha identifisert informasjon om "kjenn din kunde" (KYC) på ham.
Det er påstander om at hackeren potensielt er en hvit hatt, gitt midler tilbake. Imidlertid er det ekstremt usannsynlig at en hvit lue ville ha tatt de samme skrittene for å prøve å skjule pengesporet hvis de alltid hadde tenkt å returnere pengene.
På tidspunktet for denne bloggen har CipherTrace bekreftet at nesten alle midler er returnert til Poly Network til adressene de hadde utviklet spesielt for at hackeren skulle returnere midlene. Disse adressene er:
- 0x71Fb9dB587F6d47Ac8192Cd76110E05B8fd2142f
- 0xEEBb0c4a5017bEd8079B88F35528eF2c722b31fc
- 0xA4b291Ed1220310d3120f515B5B7AccaecD66F17
Midler frosset 10. august (hackedag)
USDT frosset
Midlene returnerte 11. august
Poly -kontrakt: $ 85 millioner USDC
BSC -kontrakt: 256.2 millioner dollar i 3 store tokens (for det meste BTCB, Binance pegged ETH, BUSD) og 2.637 millioner dollar i BNB
Ethereum -kontrakt: 3.4 millioner dollar i SHIB, renBTC og Fei
Midlene returnerte 12. august
Ethereum-kontrakt: 96.42 millioner dollar DAI
Konsekvensene av et så stort DeFi -hack
Lovgivere vil fremskynde implementeringen av DeFi -forskriftene, spesielt ettersom antallet DeFi -hacks spiraler, som eksemplifisert av dette siste Poly Network -hacket. Til syvende og sist vil regulatorer sannsynligvis klassifisere desentraliserte sentraler (DEX) som virtuelle eiendomsleverandører (VASP) i samsvar med FATFs anbefalinger. FinCEN vil sannsynligvis klassifisere DEX som Money Service Businesses (MSB), noe som betyr at DEX og andre DeFi-applikasjoner vil bli pålagt å oppfylle forpliktelser mot hvitvasking av penger (AML) og KYC. Jeg forventer også at CFTC regulerer DeFi -lokalsamfunn og SEC regulerer DeFi -verdipapirreguleringer.
I tillegg vil smarte kontraktskvalitetsstandarder bli strengere, revisjonsstandarder vil dukke opp. Videre vil DeFi "forsikringsmarkedet" utvikle seg og modnes som tilstrekkelig kan evaluere og under riktig DeFi tekniske risiko.
DeFi -hack nærmer seg 2 milliarder dollar for året - hva skjer videre?
Denne hacken eksemplifiserer viktigheten av smart kontraktsikkerhet og revisjonsstandarder for å sikre kvaliteten og redusere sårbarheten i koden.
I følge vårt siste Cryptocurrency Crime and Anti-Whitewundering Report, innen utgangen av august utgjør DeFi-hack-volumet som kriminelle hadde i 2021 $ 361 millioner dollar. I dag er dette tallet nesten tredoblet ettersom DeFi -hacks nå utgjør $ 994 millioner dollar, noe som utgjør 90% av hele 2021s hackvolum som topper litt over 1.1 milliarder dollar.
Ettersom DeFi -hack og svindel fortsetter å vokse eksponensielt kvartal over kvartal, ser fremtiden til DeFi -kriminalitet ut som grim hvis trenden skal fortsette. Hvis DeFi -forbrytelser fortsetter å bli mer sofistikerte, som forhåndsvisning av Poly Network -hacket, vil smarte kontrakter sannsynligvis bli målrettet mot angrep i større skala.
Vedlegg
11. august hadde hackeren en "on-chain" spørsmål og svar. Følgende kan sees ved å dekode inndataene på noen av transaksjonene hans.
Spørsmål og svar, DEL EN:
Spørsmål: HVORFOR HACKING?
A: FOR moro 🙂
Spørsmål: HVORFOR POLY NETWORK?
A: KROSSKJEDEHACKING ER VARM
Spørsmål: HVORFOR OVERFØRE TEKNIK?
A: FOR Å HOLDE DET SIKKERT.
Da jeg oppdaget feilen, hadde jeg en blandet følelse. SPØR DEG SELV HVA DU SKAL GJØRE HAR DU TIL Å VÆRE SÅ MYE FORTUNE. SPØRING AV PROJEKTLAGET POLITIS SÅ AT DE KAN LØSE DET? NOEN KAN VÆRE TRAITOREN GIVET EN MILLIARD! JEG KAN ikke stole på NOEN! DEN ENESTE LØSNINGEN JEG KAN KOMME OPP MED Å LAGRE DET I EN _TRUSTED_ KONTO MENS DET HOLDER SELV _ANONYMOUS_ OG _SIKKERT_.
NÅ LUKTER ALLE EN SAMMENFØLGELSE. INSIDER? IKKE MEG, MEN HVEM VET? Jeg tar ansvaret for å eksponere sårbarheten før noen innsidere gjemmer seg og utnytter den!
Spørsmål: HVORFOR SOPHISTISK?
A: POLY NETTVERKET ER GODT SYSTEM. DET ER EN AV DE MEST UTFORDRENDE ANGREPEN SOM EN HACKER KAN NYTES. OG JEG MÅSTE VÆRE HURTIG FOR Å SLATE NOE INSIDERS ELLER HACKERE, JEG TAR DET SOM EN BONUSUTDAG 🙂
Spørsmål: ER DU UTSATT?
A: NEI. ALDRI. JEG FORSTÅR risikoen for å eksponere meg selv OM JEG IKKE GJER ONDELIG. SÅ BRUKTE JEG TIDLIG E -POST, IP ELLER _SO CALLED_ FINGERPRINT, SOM VAR UTRACABEL. Jeg foretrekker å bo i mørket og redde verden.
https://etherscan.io/tx/0x1fb7d1054df46c9734be76ccc14fa871b6729e33b98f9a3429670d27ec692bc0
Spørsmål og svar, DEL to:
Sp: Hva skjedde egentlig for 30 timer siden?
A: LANG HISTORIE.
TROR DET ELLER IKKE, JEG VAR _FORCED_ Å SPILLE SPILLET.
POLY -NETTVERKET ER ET SOPHISTIKERT SYSTEM, Klarte jeg IKKE Å BYGGE ET LOKALT TESTMILJØ. Jeg mislyktes med å produsere en pos i begynnelsen. MEN AHA MOMEMNT KOM BARE FØR JEG VILLE GI. ETTER DEBUGGING HELE NATTEN SKAPTE JEG EN _SINGLE_ MELDING TIL ONTOLOGY NETWORK.
JEG HAR planlagt å lansere en KUL BLITZKRIEG FOR Å OVNNE DE FIRE NETTVERKET: ETH, BSC, POLYGON & HECO. MEN HECO -NETTVERKET GÅR FEIL! RELEASJONEN OPPFØRER IKKE SOM DE ANDRE, EN KEEPER GJØRTE BARE MIN EXPLOIT DIREKTE, OG NØKKELEN VAR OPPDATERT TIL NOE FEILPARAMETRE. DET RUINED MIN PLAN.
JEG SKAL STOPPE PÅ DETTE ØYeblikket, MEN jeg bestemte meg for å la showet fortsette! HVA OM DE LAGER BUGGEN HEMMELIG UTEN NOEN MELDING?
MEN jeg VIL IKKE Å ÅRSAKE _REAL_ PANIKK I CRYPTO -VERDEN. SÅ JEG VELGET Å IGNORERE SKITMYNTER, SÅ MÅ MENNESKE IKKE bekymre seg over at de kommer til å bli null. JEG TAR VIKTIGE TEKNIER (UNNTATT FOR SHIB) OG SELGDE IKKE NOE AV DEM.
Spørsmål: HVORFOR SELGER/Bytter du stallene?
A: JEG VAR PISSED AV POLYTeamet FOR DET FØRSTE ANSVARET.
DE OPPDRAGTE ANDRE TIL Å SKULLE OG HATE MEG FØR JEG HAR NOEN MULIGHET Å SVARE! Selvfølgelig visste jeg at det er falske definerte mynter, men jeg tok det ikke seriøst siden jeg ikke hadde planlagt å vaske dem.
I MELLOMTIDEN KAN INNLEDNING AV STABILITETENE TJENE NOE RENTE FOR Å DEKKE POTENSIALE KOSTNADER SÅ AT JEG HAR MER TID TIL Å FORHANDLE MED POLYT -LAGET.
https://etherscan.io/tx/0xd4ee4807c07702a3202f45666983855d7fa22eb1c230e4c1e840fc9389e54729
Spørsmål og svar, DEL TRE:
Spørsmål: HVORFOR TIPPING 13.37?
A: Jeg følte varmen fra eterum -samfunnet.
JEG VAR OPPSATT Å UNDERSØKE SPØRSMÅL FRA HECO OG DEBUGGERE SKRIFTENE MINE. Jeg trodde det var nettverksspørsmål, HVORFOR JEG IKKE KAN DEPOSERE (JEG VAR BAKE ET SOPHISTIKERT BESKYTTELSE). SÅ JEG DELTE MIN GOODWILL -GUTTEN.
Spørsmål: HVORFOR SPØRER TORNADO OG DAO?
A: HAR VITNT SÅ MANGE HACKINGER, JEG VISST PÅSETNING I TORNADO ER EN VIS, MEN DESPERAT BESLUTNING. DET VAR MOT MIN ORIGINALE HENSIKT. Å VÆRE CROWDSOURCED HACKER VAR BARE MIN DÅRLIGE VITT EFTER MØTE SÅ MANGE TEGLER 🙂
Spørsmål: HVORFOR TILBAKE?
A: DET ER ALLTID PLANEN! JEG ER _IKKE_ VELDIG INTERESSERT I PENGER! JEG VET DET SKADER NÅR MENNESKER ANGÅR, MEN DE SKAL IKKE LÆRE NOE AV DE HAKKENE? Jeg kunngjorde returbeslutningen før midnatt, så folk som hadde tro på meg burde hatt en god hvile 😉
Spørsmål: HVORFOR GÅ TILBAKE Sakte?
A: JEG TRENGER TID TIL Å SAMTALE MED POLY -LAGET. Beklager, det er den eneste måten jeg vet å bevise min verdighet mens jeg skjuler meg selv. OG JEG TRENGER NOE HVIL.
Q: POLY TEAM?
A: Jeg begynte allerede å snakke med dem kort, loggene er på eterum. JEG KAN ELLER IKKE PUBLICERE DEM. MALERENE DE HAR LIDT ER TIDLIG, MEN MINNELIG.
JEG VIL LIKE Å GJENNE DENNE TIPS OM HVORDAN SIKRE NETTVERKENE SINE, SÅ AT DE KAN KOMME Kvalifisert til å administrere milliardprosjektet i fremtiden. POLY -NETTVERKET ER ET VELDIG DESIGNT SYSTEM OG DET HÅNDTERER FLERE EIENDELER. DE HAR FÅTT MYE NYE FØLGERE PÅ TWITTER, ikke sant?
https://etherscan.io/tx/0xe954bed9abc08c20b8e4241c5a9e69ed212759152dd588bb976b47eca353a5bc
Verdi hentet fra Poly Network Hack
Kjede | TX Hash | eiendel | beløp | $ verdi |
BSC | 0x534966864bda354628d4f1c66db45cbefcdda7433e9576e7664fea01bb05be9a | BNB | 6,613.44 | $2,460,861.21 |
BSC | 0xd59223a8cd2406cfd0563b16e06482b9a3efecfd896d590a3dba1042697de11a | USDC | 87,603,373.77 | $87,624,502.53 |
BSC | 0x4e57f59395aca4847c4d001db4a980b92aab7676bc0e2d57ee39e83502527d6c | ETH | 26,629.16 | $85,896,083.66 |
BSC | 0x50105b6d07b4d738cd11b4b8ae16943bed09c7ce724dc8b171c74155dd496c25 | BTCB | 1,023.88 | $47,427,704.52 |
BSC | 0xd65025a2dd953f529815bd3c669ada635c6001b3cc50e042f9477c7db077b4c9 | BUSD | 32,107,854.11 | $32,124,918.14 |
BSC | 0xea37b320843f75a8a849fdf13cd357cb64761a848d48a516c3cac5bbd6caaad5 | USDC | 298.9405633 | $299.04 |
ETH | 0xad7a2c70c958fcd3effbf374d0acf3774a9257577625ae4c838e24b0de17602a | ETH | 2,857.49 | $8,977,279.13 |
ETH | 0x5a8b2152ec7d5538030b53347ac82e263c58fe7455695543055a2356f3ad4998 | USDC | 96,389,444.23 | $96,430,660.58 |
ETH | 0x3f55ff1fa4eb3437afe42f4fea57903e8e663bc3b17cb982f1c8d4c8f03a2083 | WBTC | 1,032.12 | 46,971,609.47 |
ETH | 0xa7c56561bbe9fbd48e2e26306e5bb10d24786504833103d3f023751bbcc8a3d9 | DAI | 673,227.94 | $673.628.12 |
ETH | 0xc917838cc3d1edd871c1800363b4e4a8eaf8da2018e417210407cc53f94cd44e | UNI | 43,023.75 | $1,242,040.44 |
ETH | 0xe05dcda4f1b779989b0aa2bd3fa262d4e6e13343831cb337c2c5beb2266138f5 | SHIB | 259,737,345,149.52 | $1,974,082.34 |
ETH | 0xb12681d9e91e69b94960611b227c90af25e5352881907f1deee609b8d5e94d7d | renBTC | 14.47265047 | $659,141.75 |
ETH | 0x06aca16c483c3e61d5cdf39dc34815c29d6672a77313ec36bf66040c256a7db3 | USDT | 33,431,197.73 | $33,391,733.96 |
ETH | 0xc797aa9d4714e00164fcac4975d8f0a231dae6280458d78382bd2ec46ece08e7 | weth | 26,109.06 | $82,052,128.62 |
ETH | 0xd8c1f7424593ddba11a0e072b61082bf3d931583cb75f7843fc2a8685d20033a | FEI | 616,082.59 | $616,082.59 |
Poly | 0x1d260d040f67eb2f3e474418bf85cc50b70101ca2473109fa1bf1e54525a3e01 | USDC | 85,089,610.91 | $85,061,020.80 |
Poly | 0xfbe66beaadf82cc51a8739f387415da1f638d0654a28a1532c6333feb2857790 | USDC | 108.694578 | $108.66 |
Poly Network Hacker -adresser
Poly Network identifiserte offentlig tre adresser som angivelig var kontrollert av angriperen:
- 0xC8a65Fadf0e0dDAf421F28FEAb69Bf6E2E589963 (ETH)
- 0x0D6e286A7cfD25E0c01fEe9756765D8033B32C71 (BSC)
- 0x5dc3603C9D42Ff184153a8a9094a73d461663214 (POLYGON)
Kilde: https://ciphertrace.com/poly-network-suffers-largest-crypto-hack-ever-recorded/
- &
- 11
- Logg inn
- Alle
- angivelig
- tillate
- AML
- annonsert
- anti-hvitvasking
- søknader
- arbitrage
- eiendel
- Eiendeler
- revisjon
- August
- Milliarder
- binance
- Blogg
- BRO
- Bug
- bygge
- BUSD
- bedrifter
- Årsak
- CFTC
- CipherTrace
- krav
- kode
- Mynter
- Communities
- samfunnet
- Conspiracy
- fortsette
- kontrakt
- kontrakter
- Crime
- forbrytelser
- kriminelle
- grense
- krypto
- DAO
- dato
- dag
- desentralisert
- Defi
- Dex
- gJORDE
- emalje
- Miljø
- ETH
- ethereum
- Børser
- Exodus
- Exploit
- vendt
- forfalskning
- FinCen
- fingeravtrykk
- Fix
- Blitz
- skjema
- svindel
- moro
- midler
- framtid
- spill
- GitHub
- god
- Grow
- hack
- hacker
- hackere
- hacking
- hacks
- Hvordan
- Hvordan
- HTTPS
- Identitet
- informasjon
- Infrastruktur
- insider
- interesse
- Internet
- Interoperabilitet
- Investorer
- IP
- saker
- IT
- holde
- nøkkel
- nøkler
- KYC
- stor
- siste
- lansere
- LÆRE
- Likviditet
- Lån
- lokal
- Lang
- større
- Flertall
- Making
- millioner
- blandet
- penger
- overvåking
- flytte
- nettverk
- nettverk
- nettverk
- varsling
- ontologi
- rekkefølge
- Annen
- Panic
- patch
- Ansatte
- planlegging
- plattform
- PoC
- privat
- Private nøkler
- pro
- prosjekt
- proxy
- publisere
- Q & A
- kvalitet
- redusere
- forskrifter
- Regulatorer
- REST
- avkastning
- Risiko
- trygge
- besparende
- Skala
- SEK
- Verdipapirer
- sikkerhet
- selger
- forstand
- delt
- Aksjer
- Skilt
- Smart
- smart kontrakt
- Smarte kontrakter
- So
- standarder
- startet
- opphold
- stjålet
- støtte
- overraskelse
- system
- snakker
- Teknisk
- midlertidig
- Testing
- tyveri
- tid
- tips
- token
- tokens
- Transaksjoner
- Stol
- Brukere
- VASPS
- virtuelle
- leverandører av virtuelle aktiva
- volum
- Sikkerhetsproblemer
- sårbarhet
- lommebok
- Lommebøker
- HVEM
- innenfor
- verden
- null