Como o PolyNetwork Hacker roubou US $ 600 milhões? Especialistas em segurança apontam os dedos

Mais de sete horas depois de ter sido relatado pela primeira vez, detalhes sobre uma exploração que arrebatou US$ 600 milhões em ativos digitais da PolyNetwork demoraram a surgir. Na ausência de uma auditoria abrangente, os grupos de segurança cibernética proferiram um refrão comum aos programadores por trás da rede de compatibilidade entre cadeias: Isto é por sua conta.

Os fundos vinculados ao ataque foram rastreados para três endereços separados – um em cada Ethereum, Binance Smart Chain e Polygon.

Quanto à cadeia de acontecimentos que levou os fundos ilegítimos até lá, os especialistas em segurança têm opiniões divergentes – alguns chegam ao ponto de acusar os seus colegas de enganarem o público.

De acordo com uma análise inicial do auditor de segurança BlockSec, com sede na China, que alertou ainda não ter verificado, o roubo pode ser o resultado “do vazamento da chave privada usada para assinar a mensagem entre cadeias” ou “ um bug no processo de assinatura da PolyNetwork que foi abusado para assinar uma mensagem elaborada.”

Outros pesquisadores também insinuaram que práticas de segurança inadequadas podem ter levado ao roubo de chaves privadas usadas pela equipe da PolyNetwork para autorizar transações.

Desenvolvedor Ethereum e pesquisador de segurança Mudit Gupta escreveu que a PolyNetwork usa uma carteira multisig para transações. Em sua configuração, quatro pessoas têm acesso à chave para assinar as transações, e três devem assinar: “O invasor conseguiu pelo menos 3 detentores e depois os usou para transformar os detentores em um único detentor”. Na verdade, o hacker os bloqueou. (Gupta inicialmente pensou que Poly usava um multisig 1/1.)

A equipe de segurança Blockchain SlowMist diz que não foi exatamente isso que aconteceu. Em vez disso, afirma, o invasor aproveitou uma falha em uma função de contrato inteligente para mudar seu detentor, redirecionando o fluxo de fundos para o próprio endereço do invasor. “Não é verdade que este evento tenha ocorrido devido ao vazamento da chave privada do detentor”, afirmou. relatado.

A PolyNetwork retuitou a postagem do blog, enquanto Gupta discordou veementemente do SlowMist, sugerindo impotência grosseira ou corrupção.

Independentemente de o invasor ter obtido chaves privadas ou explorado um contrato inteligente fraco, uma maneira de fazer qualquer uma dessas coisas é assumir o controle. Mas foi um trabalho interno? Afinal, de acordo com a empresa de análise de blockchain CipherTrace, os chamados rug pulls, um tipo de golpe de saída, eram os forma mais popular de fraude criptográfica ano passado. 

É muito cedo para dizer. SlowMist afirma que “captou a caixa de correio, o IP e as impressões digitais do dispositivo do invasor por meio de rastreamento dentro e fora da rede e está rastreando possíveis pistas de identidade relacionadas ao invasor da Poly Network”. Mas sua investigação ainda não levou a que um executivo da Poly tenha uma arma fumegante. (Ou, se sim, o SlowMist ainda não disse.)

Enquanto isso, não está claro se o invasor conseguirá usar os fundos. A PolyNetwork também pediu aos “mineradores de blockchain e exchanges de criptomoedas afetadas que colocassem tokens na lista negra” dos endereços dos exploradores. Em resposta, a Tether disse que congelou US$ 33 milhões em USDT ligados ao ataque, enquanto executivos da Binance, OKEx e Huobi se comprometeram a ajudar a limitar os danos.

O hacker, no entanto, tomou para emitindo provocações do blockchain Ethereum, anexando mensagens aos blocos. “E SE EU FAZER UM NOVO TOKEN E DEIXAR O DAO DECIDIR PARA ONDE VÃO OS TOKENS”, escreveram eles em um mensagem.

Talvez, mas talvez outra pessoa devesse escrever os contratos inteligentes para isso.

Fonte: https://decrypt.co/78250/how-did-polynetwork-hacker-steal-600-million-security-experts-point-fingers