Em 10 de agosto, a Poly Network sofreu um hack de US $ 611 milhões - o maior hack relacionado à criptografia até hoje. Este ataque foi especialmente interessante em comparação com a maioria dos hacks DeFi, que normalmente usam uma forma de empréstimos flash e arbitragem para explorar smart contractsO que são contratos inteligentes? Um contrato inteligente é um profissional de informática ... Mais e menores quantias de fundos. Nesse caso, o hacker encontrou um exploit que lhe permitiu ignorar as chaves privadas e fazer com que o contrato inteligente simplesmente enviasse os fundos diretamente para as carteiras sob seu controle. A CipherTrace confirmou que quase todos os fundos até agora foram devolvidos à Poly Network. A Poly Network também confirmou o retorno em seu feed do Twitter.
Enquanto o hack típico de DeFi é contra instrumentos DeFi específicos, resultando em perdas muito menores, neste caso o ataque foi contra a infraestrutura da Poly Network, com foco na própria plataforma DeFi e visando o controle dos contratos inteligentes de câmbio descentralizado (DEX). Como resultado, o contrato principal entre cadeias tornou-se completamente controlado pelo hacker, permitindo que ele desbloqueie tokens que deveriam estar bloqueados no contrato, envie-os para endereços sob seu controle e, em seguida, repita o ataque entre cadeias.
Como a Poly Network foi hackeada
A Poly Network atua como uma ponte de interoperabilidade de cadeia cruzada para facilitar a transferência de tokens entre duas cadeias de blocos relativamente independentes. Como tal, um de seus principais contratos inteligentes da Poly Network é a própria ponte. Para que as pontes entre as redes atuem com eficácia (por exemplo, para que os usuários possam usar a rede para transferir tokens entre as redes), eles precisam manter grandes somas de liquidez. Sempre que um usuário deseja fazer uma “ponte” entre as cadeias, a Poly Network precisa queimar / cunhar com eficiência os ativos equivalentes nas respectivas cadeias.
O contrato que emite essas transferências de token entre cadeias usa “guardiões” para verificar e executar as transações. Assim que o guardião assinar no cadeia de origem que o Gerenciador de CrossChain contrato no cadeia de destino irá verificar a validade da assinatura do Guardião e executar o equivalente na cadeia de destino para completar a “ponte”.
Uma vez que o contrato inteligente executa as transações e não o próprio usuário, o hacker foi capaz de explorar o Gerenciador de CrossChain contrate inteligente e troque os “guardiões” por um guardião malicioso sob seu controle. Como resultado, o principal contrato de cadeia cruzada na Poly Network tornou-se completamente controlado pelo hacker, permitindo-lhe desbloquear tokens que deveriam permanecer bloqueados no contrato de bridge e mover os tokens para endereços sob seu controle. O hacker então replicou o ataque através de cadeias.
Quem são as verdadeiras vítimas do hack da Poly Network?
Como resultado das ações do hacker, os fundos dos usuários que estavam “bloqueados” nesses contratos sofreram a verdadeira perda. Embora tokens de indivíduos específicos não tenham sido retirados, ao remover uma quantia tão grande bloqueada no protocolo, a Poly Network não teria mais liquidez para suportar um êxodo em grande escala se todos os usuários desejassem retirar seus fundos dos contratos. No entanto, devido à natureza descentralizada do DeFi, a falta de quaisquer processos KYC e alcance além fronteiras significa que é quase impossível identificar quem são as verdadeiras vítimas e onde estão localizadas.
No geral, é uma exploração sofisticada para um contrato inteligente mal projetado, com o “risco” e o “comportamento” afetando os usuários da Poly Network. Os investidores são as verdadeiras vítimas, não a Poly Network. Indiscutivelmente, a Poly Network compartilha a responsabilidade com o hacker ao não garantir a qualidade de seu contrato inteligente, expondo assim os investidores a riscos significativos.
Atualmente, não há indicação de que o código da Poly Network já tenha recebido uma auditoria. Pesquisando no GitHub do protocolo repos não indicou nenhuma auditoria realizada ou relatada.
O hacker da Poly Network devolve mais da metade dos fundos roubados
Para grande surpresa dos que monitoravam o roubo da Poly Network, em 11 de agosto o invasor começou a devolver parte dos fundos roubados. Isso deixou muitos na Internet se perguntando - por quê?
Em todas as trocas que o hacker fez em um esforço para ofuscar seu rastro, parece que em um ponto o hacker reutilizou uma carteira que já tinha transações anteriores com algumas trocas proeminentes que poderiam ter informações de identificação "conheça seu cliente" (KYC) em ele.
Há alegações de que o hacker é potencialmente um chapéu branco, dada a devolução de fundos. No entanto, é extremamente improvável que um chapéu branco teria tomado as mesmas medidas para tentar ofuscar o rastro de fundos se eles sempre tivessem a intenção de devolver o dinheiro.
No momento deste blog, CipherTrace confirmou que quase todos os fundos foram devolvidos à Poly Network nos endereços que eles desenvolveram especificamente para o hacker devolver os fundos. Esses endereços são:
- 0x71Fb9dB587F6d47Ac8192Cd76110E05B8fd2142f
- 0xEEBb0c4a5017bEd8079B88F35528eF2c722b31fc
- 0xA4b291Ed1220310d3120f515B5B7AccaecD66F17
Fundos congelados em 10 de agosto (dia da invasão)
USDT congelado
Fundos devolvidos em 11 de agosto
Contrato Poly: $ 85 milhões de USDC
Contrato BSC: $ 256.2 milhões em 3 principais tokens (principalmente BTCB, Binance indexado ETH, BUSD) e $ 2.637 milhões em BNB
Contrato Ethereum: $ 3.4 milhões em SHIB, renBTC e Fei
Fundos devolvidos em 12 de agosto
Contrato Ethereum: $ 96.42 milhões DAI
As repercussões de um hack de DeFi tão grande
Os legisladores irão agilizar a implementação das regulamentações DeFi, especialmente conforme o número de espirais de hacks DeFi, conforme sintetizado por este hack mais recente da Poly Network. Em última análise, os reguladores tendem a classificar as bolsas descentralizadas (DEXs) como provedores de serviços de ativos virtuais (VASPs) de acordo com as recomendações do GAFI. É provável que FinCEN classifique DEXs como Money Service Businesses (MSBs), o que significa que DEXs e outros aplicativos DeFi serão necessários para cumprir as obrigações de combate à lavagem de dinheiro (AML) e KYC. Eu também esperaria que a CFTC regulasse as comunidades DeFi e a SEC regulasse os regulamentos de valores mobiliários DeFi.
Além disso, os padrões de qualidade dos contratos inteligentes se tornarão mais rigorosos, e os padrões de auditoria surgirão. Além disso, o “mercado de seguros” DeFi evoluirá e amadurecerá de forma a avaliar adequadamente e sob os riscos técnicos de DeFi corretos.
Os hacks de DeFi chegam a US $ 2 bilhões por ano - o que vem a seguir?
Este hack exemplifica a importância de padrões de auditoria e segurança de contratos inteligentes para garantir a qualidade e reduzir vulnerabilidades no código.
De acordo com nosso último Relatório de crime de criptomoeda e combate à lavagem de dinheiro, no final de agosto, o volume de DeFi-hack obtido por criminosos em 2021 totalizou US $ 361 milhões. Hoje, esse número quase triplicou, já que os hacks de DeFi somam US $ 994 milhões, representando 90% de todo o volume de hack de 2021, que chega a pouco mais de US $ 1.1 bilhão.
Como os hacks e fraudes de DeFi continuam a crescer exponencialmente a cada trimestre, o futuro do crime DeFi parece sombrio se a tendência continuar. Se os crimes DeFi continuarem a se tornar mais sofisticados, conforme previsto pelo hack da Poly Network, os contratos inteligentes provavelmente serão cada vez mais direcionados para ataques em maior escala.
Apêndice
Em 11 de agosto, o hacker fez uma sessão de perguntas e respostas “on-chain”. O seguinte pode ser visto decodificando os dados de entrada em algumas de suas transações.
Perguntas e Respostas, PARTE UM:
P: POR QUE HACKING?
R: PARA DIVERTIR 🙂
P: POR QUE REDE POLY?
R: O HACKING CROSS CHAIN ESTÁ QUENTE
P: POR QUE TRANSFERIR TOKENS?
R: PARA MANTER A SEGURANÇA.
AO OBSERVAR O INSETO, TIVE UM SENTIMENTO MISTO. PERGUNTE-SE O QUE FAZER TEVE TANTA FORTUNA. PEDINDO A EQUIPE DE PROJETO COM EDUCAÇÃO PARA QUE POSSAM REPARAR? QUALQUER PODERIA SER O TRAIDOR DE UM BILHÃO! EU NÃO POSSO CONFIAR EM NINGUÉM! A ÚNICA SOLUÇÃO QUE POSSO PROCURAR É SALVAR EM UMA CONTA DE _TRUSTED_ ENQUANTO ME MANTER _ANÔNIMO_ E _SEGURA_.
AGORA TODO MUNDO CHEIRA UM SENSO DE CONSPIRAÇÃO. INSIDER? NÃO EU, MAS QUEM SABE? TOMO A RESPOSIBILIDADE DE EXPOR A VULNERABILIDADE ANTES DE QUALQUER INSIDER A OCULTAR E EXPLORAR!
P: POR QUE TÃO SOFISTICADO?
R: A REDE POLY É UM SISTEMA DECENTE. É UM DOS ATAQUES MAIS DESAFIADORES QUE UM HACKER PODE DESFRUTAR. E EU TIVE QUE SER RÁPIDO PARA VENCER QUAISQUER INSIDERS OU HACKERS, ACEITEI COMO UM DESAFIO DE BÔNUS 🙂
P: VOCÊ ESTÁ EXPOSTO?
R: NÃO. NUNCA. COMPREENDI O RISCO DE ME EXPOR MESMO QUE NÃO FAÇA O MAL. ENTÃO EU USEI E-MAIL TEMPORÁRIO, IP OU _SO CALLED_ IMPRESSÃO DIGITAL, QUE FORAM INTRACÁVEIS. EU PREFERO FICAR NO ESCURO E SALVAR O MUNDO.
https://etherscan.io/tx/0x1fb7d1054df46c9734be76ccc14fa871b6729e33b98f9a3429670d27ec692bc0
Perguntas e Respostas, PARTE DOIS:
P: O QUE REALMENTE ACONTECEU 30 HORAS ATRÁS?
UMA LONGA HISTÓRIA.
ACREDITE OU NÃO, FUI _FORCADA_ A JOGAR.
A REDE POLY É UM SISTEMA SOFISTICADO, NÃO CONSEGUI CONSTRUIR UM AMBIENTE DE TESTE LOCAL. FALHEI EM PRODUZIR UM POC NO INÍCIO. NO ENTANTO, A AHA MOMEMNT VEIO APENAS ANTES DE EU DESISTIR. DEPOIS DE DETERMINAR A NOITE TODA, ENVIEI UMA MENSAGEM ÚNICA PARA A REDE DE ONTOLOGIA.
EU ESTAVA PLANEJANDO LANÇAR UM BLITZKRIEG COOL PARA ATENDER AS QUATRO REDES: ETH, BSC, POLYGON & HECO. NO ENTANTO, A REDE HECO ESTÁ ERRADA! O RELAYER NÃO SE COMPORTA COMO OS OUTROS, UM KEEPER ACABOU DE REVER MINHA EXPLORAÇÃO DIRETAMENTE, E A CHAVE FOI ATUALIZADA PARA ALGUNS PARÂMETROS ERRADOS. ARRUINOU MEU PLANO.
EU DEVERIA TER PARADO NAQUELE MOMENTO, MAS DECIDI DE DEIXAR O SHOW CONTINUAR! E SE ELES REMENDEM O BUG SECRETAMENTE SEM NENHUMA NOTIFICAÇÃO?
NO ENTANTO, NÃO QUERIA CAUSAR O PÂNICO REAL DO MUNDO DO CRIPTO. ENTÃO EU ESCOLHEI IGNORAR MOEDAS DE CAGA, ASSIM AS PESSOAS NÃO PRECISARAM SE PREOCUPAR QUE ELAS IRÃO A ZERO. EU TOQUEI SÍMBOLOS IMPORTANTES (EXCETO SHIB) E NÃO VENDI NENHUM DELES.
P: ENTÃO POR QUE VENDER / TROCAR OS ESTÁVEIS?
R: Fiquei chateado com a equipe de política por causa de sua resposta inicial.
Eles instaram os outros a me culpar e odiar antes que eu tivesse qualquer chance de responder! CLARO QUE EU SABIA QUE EXISTEM MOEDAS DEFI FALSAS, MAS NÃO LEVOU A SÉRIO DESDE NÃO TINHA PLANO DE LAVÁ-LAS.
ENQUANTO MEIO, DEPOSITAR OS STABLES PODERIA GANHAR ALGUNS JUROS PARA COBRIR OS CUSTOS EM POTENCIAL PARA QUE EU TENHA MAIS TEMPO PARA NEGOCIAR COM A EQUIPE POLY.
https://etherscan.io/tx/0xd4ee4807c07702a3202f45666983855d7fa22eb1c230e4c1e840fc9389e54729
Perguntas e Respostas, PARTE TRÊS:
P: POR QUE TIPAR 13.37?
R: EU TUBI O CALOR DA COMUNIDADE ETHEREUM.
EU ESTAVA OCUPADO INVESTIGANDO OS PROBLEMAS DA HECO E REMENDO OS MEUS SCRIPTS. ACHEI QUE ERAM PROBLEMAS DE REDE QUE NÃO PODERIA DEPÓSITOS (ESTAVA ATRÁS DE UMA PROXIEDADE SOFISTICADA). ASSIM COMPARTILHEI MINHA BOA VONTADE DO CARA.
P: POR QUE PEDIR TORNADO E DAO?
R: TENDO TESTEMUNHOU TANTOS HACKINGS, SABIA QUE DEPÓSITO NO TORNADO É UMA DECISÃO SÁBIA, MAS DESESPERADA. FOI CONTRA MINHA INTENÇÃO ORIGINAL. SER O HACKER CROWDSOURCED FOI APENAS MINHA PIADA RUIM DEPOIS DE ME ENCONTRAR COM TANTOS MENDIGOS 🙂
P: POR QUE VOLTAR?
R: ESSE SEMPRE É O PLANO! _NÃO_ ESTOU MUITO INTERESSADO POR DINHEIRO! SEI QUE DOE QUANDO AS PESSOAS SÃO ATACADAS, MAS NÃO DEVEM APRENDER ALGUMA COISA COM ESSES HACKS? ANUNCIEI A DECISÃO DE RETORNO ANTES DA MEIA-NOITE, PORTANTO AS PESSOAS QUE TIVERAM FÉ EM MIM DEVEM TER UM BOM DESCANSO 😉
P: POR QUE VOLTAR LENTAMENTE?
R: PRECISO DE TEMPO PARA FALAR COM A EQUIPE POLY. DESCULPE, É A ÚNICA MANEIRA QUE SEI DE PROVAR MINHA DIGNIDADE ENQUANTO ME ESCONDEU. E EU PRECISO DE ALGUM DESCANSO.
P: A EQUIPE POLY?
R: JÁ COMECEI A FALAR COM ELES BREVEMENTE, OS REGISTROS ESTÃO NO ETHEREUM. POSSO OU NÃO PUBLICÁ-LOS. AS DORES QUE SOFRERAM SÃO TEMPORÁRIAS, MAS MEMORÁVEIS.
EU GOSTARIA DE LHES DAR DICAS SOBRE COMO PROTEGER SUAS REDES, PARA QUE SEJAM ELEGÍVEIS PARA GERENCIAR O PROJETO BILHÃO NO FUTURO. A REDE POLY É UM SISTEMA BEM PROJETADO E IRÁ GERENCIAR MAIS ATIVOS. ELES TÊM MUITOS NOVOS SEGUIDORES NO TWITTER, Certo?
https://etherscan.io/tx/0xe954bed9abc08c20b8e4241c5a9e69ed212759152dd588bb976b47eca353a5bc
Valor obtido do Poly Network Hack
Cadeia | Hash TX | ativo | quantidade | $ Value |
BSC | 0x534966864bda354628d4f1c66db45cbefcdda7433e9576e7664fea01bb05be9a | BNB | 6,613.44 | $2,460,861.21 |
BSC | 0xd59223a8cd2406cfd0563b16e06482b9a3efecfd896d590a3dba1042697de11a | USDC | 87,603,373.77 | $87,624,502.53 |
BSC | 0x4e57f59395aca4847c4d001db4a980b92aab7676bc0e2d57ee39e83502527d6c | ETH | 26,629.16 | $85,896,083.66 |
BSC | 0x50105b6d07b4d738cd11b4b8ae16943bed09c7ce724dc8b171c74155dd496c25 | BTCB | 1,023.88 | $47,427,704.52 |
BSC | 0xd65025a2dd953f529815bd3c669ada635c6001b3cc50e042f9477c7db077b4c9 | BUSD | 32,107,854.11 | $32,124,918.14 |
BSC | 0xea37b320843f75a8a849fdf13cd357cb64761a848d48a516c3cac5bbd6caaad5 | USDC | 298.9405633 | $299.04 |
ETH | 0xad7a2c70c958fcd3effbf374d0acf3774a9257577625ae4c838e24b0de17602a | ETH | 2,857.49 | $8,977,279.13 |
ETH | 0x5a8b2152ec7d5538030b53347ac82e263c58fe7455695543055a2356f3ad4998 | USDC | 96,389,444.23 | $96,430,660.58 |
ETH | 0x3f55ff1fa4eb3437afe42f4fea57903e8e663bc3b17cb982f1c8d4c8f03a2083 | WBTC | 1,032.12 | 46,971,609.47 |
ETH | 0xa7c56561bbe9fbd48e2e26306e5bb10d24786504833103d3f023751bbcc8a3d9 | DAI | 673,227.94 | $673.628.12 |
ETH | 0xc917838cc3d1edd871c1800363b4e4a8eaf8da2018e417210407cc53f94cd44e | UNI | 43,023.75 | $1,242,040.44 |
ETH | 0xe05dcda4f1b779989b0aa2bd3fa262d4e6e13343831cb337c2c5beb2266138f5 | SHIB | 259,737,345,149.52 | $1,974,082.34 |
ETH | 0xb12681d9e91e69b94960611b227c90af25e5352881907f1deee609b8d5e94d7d | renBTC | 14.47265047 | $659,141.75 |
ETH | 0x06aca16c483c3e61d5cdf39dc34815c29d6672a77313ec36bf66040c256a7db3 | USDT | 33,431,197.73 | $33,391,733.96 |
ETH | 0xc797aa9d4714e00164fcac4975d8f0a231dae6280458d78382bd2ec46ece08e7 | Weth | 26,109.06 | $82,052,128.62 |
ETH | 0xd8c1f7424593ddba11a0e072b61082bf3d931583cb75f7843fc2a8685d20033a | FEI | 616,082.59 | $616,082.59 |
Poly | 0x1d260d040f67eb2f3e474418bf85cc50b70101ca2473109fa1bf1e54525a3e01 | USDC | 85,089,610.91 | $85,061,020.80 |
Poly | 0xfbe66beaadf82cc51a8739f387415da1f638d0654a28a1532c6333feb2857790 | USDC | 108.694578 | $108.66 |
Endereços do Poly Network Hacker
A Poly Network identificou publicamente três endereços supostamente controlados pelo invasor:
- 0xC8a65Fadf0e0dDAf421F28FEAb69Bf6E2E589963 (ETH)
- 0x0D6e286A7cfD25E0c01fEe9756765D8033B32C71 (BSC)
- 0x5dc3603C9D42Ff184153a8a9094a73d461663214 (POLYGON)
Fonte: https://ciphertrace.com/poly-network-suffers-largest-crypto-hack-ever-recorded/
- &
- 11
- Conta
- Todos os Produtos
- alegadamente
- Permitindo
- AML
- anunciou
- contra lavagem de dinheiro
- aplicações
- arbitragem
- ativo
- Ativos
- auditor
- AGOSTO
- bilhão
- binário
- Blog
- PONTE
- Bug
- construir
- BUSD
- negócios
- Causar
- CFTC
- CipherTrace
- reivindicações
- código
- Moedas
- Comunidades
- comunidade
- Conspiração
- continuar
- contract
- contratos
- Crime
- Crimes
- Os criminosos
- transfronteiriça
- cripto
- DAO
- dados,
- dia
- Descentralizada
- DeFi
- Dex
- DID
- Meio Ambiente
- ETH
- ethereum
- Trocas
- Exodus
- Explorar
- enfrentando
- falsificação
- FinCen
- impressão digital
- Fixar
- Flash
- formulário
- fraude
- Diversão
- fundos
- futuro
- jogo
- GitHub
- Bom estado, com sinais de uso
- Cresça:
- cortar
- cabouqueiro
- hackers
- hacker
- hacks
- Como funciona o dobrador de carta de canal
- Como Negociar
- HTTPS
- Dados de identificação:
- INFORMAÇÕES
- Infraestrutura
- Informante
- interesse
- Internet
- Interoperabilidade
- Investidores
- IP
- questões
- IT
- manutenção
- Chave
- chaves
- KYC
- grande
- mais recente
- lançamento
- APRENDER
- Liquidez
- Empréstimos
- local
- longo
- principal
- Maioria
- Fazendo
- milhão
- misto
- dinheiro
- monitoração
- mover
- rede
- networking
- redes
- notificação
- Ontologia
- ordem
- Outros
- Pânico
- Remendo
- Pessoas
- planejamento
- plataforma
- PoC
- privado
- Chaves Privadas
- Pro
- projeto
- procuração
- publicar
- Dúvidas
- qualidade
- reduzir
- regulamentos
- Reguladores
- DESCANSO
- Retorna
- Risco
- seguro
- poupança
- Escala
- SEC
- Valores mobiliários
- segurança
- vender
- sentido
- compartilhado
- ações
- Sinais
- smart
- smart contract
- Smart Contracts
- So
- padrões
- começado
- ficar
- roubado
- ajuda
- surpresa
- .
- falando
- Dados Técnicos:
- temporário
- ensaio
- roubo
- tempo
- dicas
- token
- Tokens
- Transações
- Confiança
- usuários
- vaspas
- Virtual
- prestadores de serviços de ativos virtuais
- volume
- vulnerabilidades
- vulnerabilidade
- Wallet
- Carteiras
- QUEM
- dentro
- mundo
- zero