Pe 10 august, Poly Network a suferit un hack de 611 de milioane de dolari — cel mai mare hack legat de criptomonede de până acum. Acest atac a fost deosebit de interesant în comparație cu majoritatea hackurilor DeFi, care folosesc de obicei o formă de împrumuturi flash și arbitraj pentru a exploata contracte inteligenteCe sunt contractele inteligente? Un contract inteligent este un computer pro ... Mai Mult și sume mai mici de fonduri. În acest caz, hackerul a găsit un exploit care i-a permis să ocolească cheile private și ca contractul inteligent să trimită pur și simplu fondurile direct în portofelele aflate sub controlul lor. CipherTrace a confirmat că aproape toate fondurile au fost returnate până acum către Poly Network. Poly Network a confirmat, de asemenea, revenirea pe feedul lor Twitter.
Acolo unde hack-ul tipic DeFi este împotriva unor instrumente DeFi specifice, rezultând pierderi mult mai mici, în acest caz atacul a fost împotriva infrastructurii Poly Network, concentrându-se pe platforma DeFi însăși și vizând controlul contractelor inteligente ale schimbului descentralizat (DEX). Ca urmare, contractul principal încrucișat a devenit controlat complet de hacker, permițându-i acestuia să deblocheze jetoane care ar trebui să fie blocate în cadrul contractului, să trimită jetoanele la adresele aflate sub controlul lor și apoi să repete atacul peste lanțuri.
Cum a fost piratată Poly Network
Poly Network acționează ca o punte de interoperabilitate încrucișată pentru a facilita transferul de jetoane între două blockchain-uri relativ independente. Ca atare, unul dintre principalele lor contracte inteligente Poly Network este podul în sine. Pentru ca punțile dintre lanțuri să acționeze eficient (de exemplu, pentru ca utilizatorii să poată folosi rețeaua pentru a transfera jetoane pe lanțuri), aceștia trebuie să mențină sume mari de lichiditate. Ori de câte ori un utilizator dorește să facă „punte” între lanțuri, Poly Network trebuie să ardă/să creeze eficient activele echivalente pe lanțurile respective.
Contractul care emite aceste transferuri de jetoane încrucișate folosește „deținători” pentru a verifica și executa tranzacțiile. Odată ce deținătorul semnează pe lanțul sursă il CrossChainManager contract pe lanțul de destinații va verifica valabilitatea semnăturii Deținătorului și va executa echivalentul pe lanțul de destinație pentru a finaliza „puntea”.
Deoarece contractul inteligent execută tranzacțiile și nu utilizatorul însuși, hackerul a putut exploata CrossChainManager un contract inteligent și schimbă „deținătorii” cu un deținător rău intenționat sub controlul lor. Drept urmare, contractul principal încrucișat de pe rețeaua Poly a devenit complet controlat de hacker, permițându-i să deblocheze jetoane care trebuiau să rămână blocate în contractul de punte și să mute jetoanele la adresele aflate sub controlul său. Hackerul a replicat apoi atacul prin lanțuri.
Cine sunt adevăratele victime ale hack-ului Poly Network?
Ca urmare a acțiunilor hackerului, fondurile utilizatorilor care erau „blocate” în aceste contracte au suferit adevărata pierdere. Deși nu s-au luat jetoane pentru anumite persoane, prin eliminarea unei sume atât de mari blocate în protocol, Poly Network nu ar mai avea lichiditatea necesară pentru a susține un exod la scară largă dacă toți utilizatorii ar dori să-și retragă fondurile din contracte. Cu toate acestea, din cauza naturii descentralizate a DeFi, lipsa oricăror procese KYC și a acoperirii transfrontaliere înseamnă că identificarea victimelor reale și unde se află este aproape imposibilă.
În general, este o exploatare sofisticată a unui contract inteligent prost proiectat, „riscul” și „comportamentul” afectând utilizatorii Poly Network. Investitorii sunt adevăratele victime, nu Poly Network înșiși. Poate că Poly Network împărtășește responsabilitatea cu hackerul, neasigurând calitatea contractului lor inteligent, expunând astfel investitorii la riscuri semnificative.
În prezent, nu există nicio indicație că codul Poly Network a primit vreodată un audit. Căutând prin GitHub al protocolului odihnă nu a indicat că au fost efectuate sau raportate audituri.
Hackerul Poly Network returnează peste jumătate din fondurile furate
Spre surprinderea celor care monitorizează furtul Poly Network, pe 11 august atacatorul a început să returneze o parte din fondurile furate. Acest lucru i-a lăsat pe mulți pe internet să se întrebe - de ce?
În toate schimburile pe care le-a făcut hackerul în efortul de a-și ofusca urmele, se pare că hackerul a reutilizat la un moment dat un portofel care avea deja tranzacții anterioare cu unele schimburi proeminente care ar putea avea informații de identificare „cunoaște-ți clientul” (KYC) pe l.
Există pretenții că hackerul ar putea fi o pălărie albă, având în vedere returnarea fondurilor. Cu toate acestea, este extrem de puțin probabil ca o pălărie albă să fi făcut aceiași pași pentru a încerca să obstrucționeze traseul fondurilor dacă ar fi intenționat întotdeauna să returneze banii.
La momentul acestui blog, CipherTrace a confirmat că aproape toate fondurile au fost returnate către Poly Network la adresele pe care le-au dezvoltat special pentru ca hackerul să returneze fondurile. Aceste adrese sunt:
- 0x71Fb9dB587F6d47Ac8192Cd76110E05B8fd2142f
- 0xEEBb0c4a5017bEd8079B88F35528eF2c722b31fc
- 0xA4b291Ed1220310d3120f515B5B7AccaecD66F17
Fonduri înghețate pe 10 august (ziua hackului)
USDT înghețat
Fondurile au fost returnate pe 11 august
Contract poli: 85 milioane USDC
Contract BSC: 256.2 milioane USD în 3 jetoane majore (în mare parte BTCB, Binance pegged ETH, BUSD) și 2.637 milioane USD în BNB
Contract Ethereum: 3.4 milioane USD în SHIB, renBTC și Fei
Fondurile au fost returnate pe 12 august
Contract Ethereum: 96.42 milioane USD DAI
Repercusiunile unui hack DeFi atât de mare
Legislatorii vor accelera punerea în aplicare a reglementărilor DeFi, în special pe măsură ce numărul de hack-uri DeFi crește, așa cum este reprezentat de acest ultim hack Poly Network. În cele din urmă, este probabil ca autoritățile de reglementare să clasifice bursele descentralizate (DEX) ca furnizori de servicii de active virtuale (VASP) în conformitate cu recomandările FATF. Este posibil ca FinCEN să clasifice DEX-urile drept Afaceri de servicii monetare (MSB), ceea ce înseamnă că DEX-urile și alte aplicații DeFi vor trebui să îndeplinească obligațiile de combatere a spălării banilor (AML) și KYC. De asemenea, m-aș aștepta ca CFTC să reglementeze comunitățile DeFi și SEC să reglementeze reglementările privind valorile mobiliare DeFi.
În plus, standardele de calitate ale contractelor inteligente vor deveni mai riguroase, vor apărea standarde de audit. În plus, „piața de asigurări” DeFi va evolua și se va maturiza, astfel încât să poată evalua în mod adecvat și sub riscurile tehnice DeFi corecte.
Hackurile DeFi se apropie de 2 miliarde de dolari pentru anul – ce urmează?
Acest hack exemplifică importanța securității contractelor inteligente și a standardelor de audit pentru a asigura calitatea și a reduce vulnerabilitățile din cod.
Conform ultimelor noastre Raport privind crima criptomonedelor și combaterea spălării banilor, până la sfârșitul lunii august, volumul DeFi-hack compensat de criminali în 2021 reprezintă 361 de milioane de dolari. Astăzi, acest număr aproape s-a triplat, deoarece hack-urile DeFi reprezintă acum 994 de milioane de dolari, reprezentând 90% din volumul total de hack-uri din 2021, care depășește puțin peste 1.1 miliarde de dolari.
Pe măsură ce hackurile și frauda DeFi continuă să crească exponențial trimestrial, viitorul criminalității DeFi pare sumbru dacă tendința va continua. Dacă infracțiunile DeFi continuă să devină mai sofisticate, așa cum a fost previzualizat de hack-ul Poly Network, contractele inteligente vor fi probabil din ce în ce mai vizate pentru atacuri la scară mai mare.
Apendice
Pe 11 august, hackerul a susținut un întrebări și răspunsuri „în lanț”. Următoarele pot fi vizualizate prin decodarea datelor de intrare pentru unele dintre tranzacțiile sale.
Întrebări și răspunsuri, PARTEA I:
Î: DE CE HACKING?
A: PENTRU DISTRACȚIE 🙂
Î: DE CE POLY NETWORK?
R: HACKINGUL CROSS CHAIN ESTE FIERD
Î: DE CE TRANSFERĂ JETONELE?
R: PENTRU A-L PĂSTRA ÎN SIGUR.
CÂND AM DEZISTĂTORUL, AM AVUT UN SENTIMENT AMIX. ÎNTREBAȚI-VĂ CE SĂ FACEȚI DACĂ ȚI-AȚI CONfrunta cu atâta avere. ÎNTREBĂ ECHIPA PROIECTULUI POLITOS PENTRU A POATE REPARA? ORIINE POATE FI TRADATORUL DIN UN MILIARD! NU POT AI INCREDERE IN NIMENI! SINGURA SOLUȚIE CU CARE POT VENI ESTE SALVAREA ÎNTR-UN CONT _ÎN CREDIT_ ÎN CÂND MĂ PĂSTRÂN _ANONIM_ȘI _SIGUR_.
ACUM TOată lumea miroase a conspirație. INSIDER? NU EU, DAR CINE ȘTIE? Îmi asum RESPONSABILITATEA DE A EXPUNE VULNERABILITATEA ÎNAINTE ORICE INSIDER SĂ O ASCUNSĂ ȘI O EXPLOATĂ!
Î: DE CE ATÂT DE SOFISTICAT?
R: REȚEAUA POLY ESTE UN SISTEM DECENT. ESTE UNUL DINTRE CELE MAI PROVOCATORE ATACURI DE CARE UN HACKER SE POATE BUCA. ȘI A TREBUIT SĂ FIE RAPID SĂ BĂCȚI ORICE INSIDER SAU HACKERI, AM LUAT-O CA O PROVOCARE BONUS 🙂
Î: ESTI EXPUS?
UN NU. NU. AM ÎNțeles RISCUL DE A MA EXPUN CHIAR DACĂ NU FAC RĂU. Așa că am UTILIZAT EMAILĂ TEMPORARĂ, IP SAU _AȘA NUMIT_ AMPRENTĂ, CARE ERAU DE NECESAT. PREFER SĂ RĂMÂN ÎN ÎNTUNERIC SĂ SALVEZ LUMEA.
https://etherscan.io/tx/0x1fb7d1054df46c9734be76ccc14fa871b6729e33b98f9a3429670d27ec692bc0
Întrebări și răspunsuri, PARTEA A DOUA:
Î: CE S-A ÎNTÂMPLAT CU ADEVĂRAT CU 30 DE ORE ACUM?
A: POVESTE LUNGA.
CREZI SAU NU, AM FOST _FOLTAT_ SA JUCAT JOCUL.
REȚEAUA POLY ESTE UN SISTEM SOFISTICAT, NU AM REUSIT SA CONSTRUI UN MEDIU LOCAL DE TESTARE. N-AM REUSIT SA PRODUC UN POC LA INCEPUT. CU toate acestea, MOMENTUL AHA A VENIT ÎNAINTE DE A RENUNCIA. După ce am depanat TOATA NOAPTEA, AM CREAT UN _SINGUR_ MESAJ PENTRU REȚEAUA ONTOLOGIEI.
PLANUAM SĂ LANSEZ UN BLITZKRIEG COIN PENTRU A PRELUA CELE PATRU REȚELE: ETH, BSC, POLYGON & HECO. CU toate acestea, REȚEAUA HECO MERGE GREUT! RELEERUL NU SE COMPORTĂ CA CEILALȚI, UN PĂZUT DOAR MI-A RELEAT DIRECT EXPLOAT, ȘI CHEIA A FOST ACTUALIZATĂ LA NIȚI PARAMETRI GREȘTI. MI-A RUINIT PLANUL.
AR FI TREBUIE SĂ MĂ OPRIM ÎN ACEL MOMENT, DAR M-AM HOTĂRÂT SĂ LAS SPECTACULUL ȘI MAI AURĂ! DACĂ CORRECCĂ EROAREA ÎN SECRET FĂRĂ NICI O NOTIFICARE?
CU toate acestea, NU VROU SA PROVOC _REALA_ PANICĂ A LUMII CRYPTO-LOR. Așa că am ales să ignor monede de rahat, pentru ca oamenii să nu-și facă griji că aceștia vor merge la zero. AM LUAT JETONE IMPORTANTE (CU EXCEPȚIA SHIB) ȘI NU AM VINDU NIMIC.
Î: ATUNCI DE CE VÂND/SCHIMB GRAJURILE?
R: AM FOST SUPERAT DE ECHIPA POLY PENTRU RĂSPUNSUL LOR INIȚIAL.
EI AU ÎNDEMAT PE ALȚII SĂ MĂ URĂȘTEȘTE ȘI MĂ URĂ ÎNAINTE SĂ AM ȘANSA SĂ RĂSPUND! Bineînțeles că știam că există monede DEFI false, dar nu am luat-o în serios pentru că nu aveam niciun plan să le spăl.
ÎNTRE TIMP, DEPUNEREA GRAJURILOR AR PUTEA CÂȘTIGA CEVA DOBÂND PENTRU A ACCOPEREA COSTURILOR POTENȚIALE, CA SA AM MAI MULT TIMP DE NEGOCIAR CU ECHIPA POLY.
https://etherscan.io/tx/0xd4ee4807c07702a3202f45666983855d7fa22eb1c230e4c1e840fc9389e54729
Întrebări și răspunsuri, PARTEA A TREIA:
Î: DE CE TIPP 13.37?
R: AM SIMIT CĂLDURĂ DIN COMUNITATEA ETHEREUM.
ERAM OCUPAT SĂ INVESTIGĂ PROBLEME DE LA HECO ȘI ÎMI DEBUGĂ Scripturile. M-am gândit că sunt probleme de rețea de ce nu pot depune (am fost în spatele unui proxy sofisticat). Așa că am împărtășit VOIȚA MEA BĂUTA.
Î: DE CE ÎNTREBAȚI TORNADO ȘI DAO?
R: FĂCÂND ASISTIT LA ATÂTATE HACKINGURI, ȘTIAM că DEPUNEREA ÎN TORNADO ESTE O DECIZIE ÎNȚELEPȚĂ, DAR DISPERATĂ. A FOST ÎMPOTRIVA INTENȚIEI MELE ORIGINALE. A FIE HACKERUL CROWDSOURCED A fost DOAR GUMEA MEA RĂUĂ DUPĂ ȘI M-AM ÎNCONTINIT ATÂTI CERSEȘTI 🙂
Î: DE CE REVENIRE?
R: ASTA ESTE ÎNTOTDEAUNA PLANUL! _NU_ MAI INTERESĂ FOARTE BANI! ŞTIU CĂ DOARE CÂND OAMENII SUNT ATACATI, DAR NU TREBUIE SĂ ÎNVĂŢE CEVA DIN ACEILE HACKURI? AM ANUNȚAT DECIZIA DE RETURNARE ÎNAINTE DE MIEZUL NOPȚII CA OAMENII CARE AU CREDE ÎN MINE SĂ SE ODIHNEȘTE BUNĂ 😉
Î: DE CE SĂ REVENI ÎNCET?
R: AM NEVOIE DE TIMP SA VORBI CU ECHIPA POLY. RĂZĂ, E SINGURUL MOD ÎN CĂȘTIU PENTRU A-MI DOVEDEA DEMNITATEA ÎN CAZ CÂND MĂ ASCUND IDENTITATEA. Și am nevoie de puțină odihnă.
Î: ECHIPA POLY?
R: DEJA AM ÎNCEPUT SĂ VORBesc SCURT CU EI, JURUNII SUNT PE ETHEREUM. POT SAU NU LE PUBLIC. DURILE CE AU SUFERIT SUNT TEMPORANE DAR MEMORABILE.
Aș dori să le ofer SFATURI PRIVIND CUM SĂ SE SEGURESEAZĂ REȚELELE, PENTRU A POATE FI ELIGIBILI PENTRU A GESTIONA PROIECTUL DE MILIARDUL ÎN VIITOR. REȚEAUA POLY ESTE UN SISTEM BINE PROIECTAȚI ȘI SE VA MANERA MAI MULTE ACTIVE. AU MULTE AVOCATORI NOI PE TWITTER, nu?
https://etherscan.io/tx/0xe954bed9abc08c20b8e4241c5a9e69ed212759152dd588bb976b47eca353a5bc
Valoare preluată de la Poly Network Hack
Lanţ | TX Hash | activ | sumă | valoare $ |
BSC | 0x534966864bda354628d4f1c66db45cbefcdda7433e9576e7664fea01bb05be9a | BNB | 6,613.44 | $2,460,861.21 |
BSC | 0xd59223a8cd2406cfd0563b16e06482b9a3efecfd896d590a3dba1042697de11a | USDC | 87,603,373.77 | $87,624,502.53 |
BSC | 0x4e57f59395aca4847c4d001db4a980b92aab7676bc0e2d57ee39e83502527d6c | ETH | 26,629.16 | $85,896,083.66 |
BSC | 0x50105b6d07b4d738cd11b4b8ae16943bed09c7ce724dc8b171c74155dd496c25 | BTCB | 1,023.88 | $47,427,704.52 |
BSC | 0xd65025a2dd953f529815bd3c669ada635c6001b3cc50e042f9477c7db077b4c9 | BUSD | 32,107,854.11 | $32,124,918.14 |
BSC | 0xea37b320843f75a8a849fdf13cd357cb64761a848d48a516c3cac5bbd6caaad5 | USDC | 298.9405633 | $299.04 |
ETH | 0xad7a2c70c958fcd3effbf374d0acf3774a9257577625ae4c838e24b0de17602a | ETH | 2,857.49 | $8,977,279.13 |
ETH | 0x5a8b2152ec7d5538030b53347ac82e263c58fe7455695543055a2356f3ad4998 | USDC | 96,389,444.23 | $96,430,660.58 |
ETH | 0x3f55ff1fa4eb3437afe42f4fea57903e8e663bc3b17cb982f1c8d4c8f03a2083 | WBTC | 1,032.12 | 46,971,609.47 |
ETH | 0xa7c56561bbe9fbd48e2e26306e5bb10d24786504833103d3f023751bbcc8a3d9 | DAI | 673,227.94 | $673.628.12 |
ETH | 0xc917838cc3d1edd871c1800363b4e4a8eaf8da2018e417210407cc53f94cd44e | UNI | 43,023.75 | $1,242,040.44 |
ETH | 0xe05dcda4f1b779989b0aa2bd3fa262d4e6e13343831cb337c2c5beb2266138f5 | SHIB | 259,737,345,149.52 | $1,974,082.34 |
ETH | 0xb12681d9e91e69b94960611b227c90af25e5352881907f1deee609b8d5e94d7d | renBTC | 14.47265047 | $659,141.75 |
ETH | 0x06aca16c483c3e61d5cdf39dc34815c29d6672a77313ec36bf66040c256a7db3 | USDT | 33,431,197.73 | $33,391,733.96 |
ETH | 0xc797aa9d4714e00164fcac4975d8f0a231dae6280458d78382bd2ec46ece08e7 | Weth | 26,109.06 | $82,052,128.62 |
ETH | 0xd8c1f7424593ddba11a0e072b61082bf3d931583cb75f7843fc2a8685d20033a | FEI | 616,082.59 | $616,082.59 |
Poli | 0x1d260d040f67eb2f3e474418bf85cc50b70101ca2473109fa1bf1e54525a3e01 | USDC | 85,089,610.91 | $85,061,020.80 |
Poli | 0xfbe66beaadf82cc51a8739f387415da1f638d0654a28a1532c6333feb2857790 | USDC | 108.694578 | $108.66 |
Adrese Poly Network Hacker
Poly Network a identificat public trei adrese presupus controlate de atacator:
- 0xC8a65Fadf0e0dDAf421F28FEAb69Bf6E2E589963 (ETH)
- 0x0D6e286A7cfD25E0c01fEe9756765D8033B32C71 (BSC)
- 0x5dc3603C9D42Ff184153a8a9094a73d461663214 (POLYGON)
Sursa: https://ciphertrace.com/poly-network-sufers-largest-crypto-hack-ever-recorded/
- &
- 11
- Cont
- TOATE
- ar fi
- Permiterea
- CSB
- a anunțat
- împotriva spălării de bani
- aplicatii
- arbitrajul
- activ
- Bunuri
- de audit
- August
- Miliard
- binance
- Blog
- POD
- Bug
- construi
- BUSD
- întreprinderi
- Provoca
- CFTC
- CipherTrace
- creanțe
- cod
- Monede
- Comunități
- comunitate
- Conspirație
- continua
- contract
- contracte
- Crimă
- infracțiuni
- criminali
- transfrontaliere
- cripto
- DAO
- de date
- zi
- descentralizată
- DEFI
- Dex
- FĂCUT
- Mediu inconjurator
- ETH
- ethereum
- Platforme de tranzacţionare
- Exod
- Exploata
- cu care se confruntă
- fals
- FINCEN
- amprentă digitală
- Repara
- bliț
- formă
- fraudă
- distracţie
- Fondurile
- viitor
- joc
- GitHub
- bine
- Crește
- hack
- hacker
- hackeri
- hacking
- hacks
- Cum
- Cum Pentru a
- HTTPS
- Identitate
- informații
- Infrastructură
- Inițiat
- interes
- Internet
- Interoperabilitate
- Investitori
- IP
- probleme de
- IT
- păstrare
- Cheie
- chei
- KYC
- mare
- Ultimele
- lansa
- AFLAȚI
- Lichiditate
- Credite
- local
- Lung
- major
- Majoritate
- Efectuarea
- milion
- mixt
- bani
- Monitorizarea
- muta
- reţea
- rețele
- rețele
- notificare
- ontologie
- comandă
- Altele
- Panică
- Plasture
- oameni
- planificare
- platformă
- PoC
- privat
- Cheile private
- Pro
- proiect
- împuternicit
- publica
- Q & A
- calitate
- reduce
- regulament
- Autoritățile de reglementare
- REST
- Returnează
- Risc
- sigur
- economisire
- Scară
- SEC
- Titluri de valoare
- securitate
- vinde
- sens
- comun
- Acțiuni
- Semne
- inteligent
- contract inteligent
- Contracte inteligente
- So
- standarde
- început
- şedere
- furate
- a sustine
- surpriză
- sistem
- vorbesc
- Tehnic
- temporar
- Testarea
- furt
- timp
- Sfaturi
- semn
- indicativele
- Tranzacții
- Încredere
- stare de nervozitate
- utilizatorii
- vaspii
- Virtual
- furnizori de servicii de active virtuale
- volum
- Vulnerabilitățile
- vulnerabilitate
- Portofel
- Portofele
- OMS
- în
- lume
- zero