Poly Network Hack - пересмотр сценария «настоящего хакера»

Недавний взлом сети Poly Network, в том числе Эфириум, Binance Smart Chain и Polygon вызвали много шума, поскольку хакер вернул украденные средства.

Чем дольше продолжается история, тем больше подробностей и предположений о ней. раскрываются истинные мотивы хакера.

Если вы внимательно посмотрите на это событие, вы можете задаться вопросом, была ли эта атака полностью реализована посторонними.

Что скрывается за хаком

Взлом Poly Network произошел из-за использования уязвимости в межцепных мостах, построенных Poly Network. Это было предусмотрено в отчету от компании кибербезопасности SlowMist.

Фирма BlockSec, занимающаяся кибербезопасностью, предложенный версия взлома. В этой версии хакер заполучил ключ это позволило ему подписывать межсетевые транзакции с использованием мостов Poly Network. В противном случае он обнаружил ошибку в смарт-контракте Poly Network, которая позволяла ему генерировать собственные транзакции.

Оба таких эксплойта будет очень сложно обнаружить как хакерам, так и аудиторам. Судя по всему, аудиторы не обнаружили эксплойта. Таким образом, это открывает нам возможность сомневаться в отношении внешнего хакера.

Кроме того, необходимо учитывать пиар-эффект, который вызвала эта новость. Это заставляет меня предположить, что это была пиар-акция компании.

Однако сценарий «настоящего хакера» по-прежнему актуален, если учесть несколько фактов. Хакер решил вернуть средства. Это произошло после того, как в Twitter появилась информация об IP-адресе хакера и подтвержденном адресе клиента на китайской криптовалютной бирже Hoo.com.

Перед атакой хакер снял 0.47 ETH из него для оплаты газовых комиссий по транзакциям. Бирже удалось зарегистрировать адрес электронной почты и IP-адрес, использованные хакером.

Итак, под угрозой уголовного преследования хакер решил вернуть украденные средства, чтобы избежать обвинения. Однако это выглядит весьма сомнительно, поскольку хакер использовал множество инструментов анонимизации. Это также было в его ответе на отчет SlowMist.

Также стоит отметить, что злоумышленник отправил часть украденных средств в пул ликвидности Ellipsis Finance. Возможно, это уже принесло ему приличную прибыль, благодаря чему остальные средства не стоили риска.

Новые технологии влекут за собой риски

Основная причина взломов — использование новых языков программирования, с которыми многие разработчики блокчейнов не совсем знакомы, например, языка программирования Solidity.

Однако самое большое бремя лежит на архитектурных характеристиках смарт-контрактов, которые создают самые большие безопасность в частности, угроза децентрализованным финансам.

Кроме того, в большинстве блокчейн-стартапов явно недостаточно сотрудников службы безопасности. Некоторые из них даже не утруждают себя проведением надлежащего аудита своих технологий.

Между тем, по мере роста отрасли растет и число гиков, изучающих эту технологию. Разница в цифрах зачастую в пользу компьютерных фанатов, которые, объединившись в группу, могут подвергнуть серьезной опасности несколько тысяч трудолюбивых людей во всей отрасли.

Чем больше будет расти индустрия, тем больше будет уязвимостей, пока ситуация с безопасностью в отрасли останется такой, какая она есть сейчас.

Пути борьбы с киберугрозами в сфере криптовалют

Прежде всего, больше внимания следует уделять безопасности смарт-контрактов. Чаще всего успешные хакерские атаки происходят на смарт-контракты, которые не прошли должный аудит.

Только системный подход к безопасности блокчейн-проектов может позволить Defi в масштабе. Это включает в себя аудит, проводимый профессионалами, и соблюдение протоколов безопасности внутри бизнеса.

Говоря о борьбе с архитектурными рисками, модульный подход может стать хорошим решением проблемы. Преимущество модульной разработки заключается в том, что она похожа на построение локальной сети с использованием блейд-систем, которые можно заменить, не выключая весь блок, в котором они работают.

Вы можете заменить сервер без ущерба для работы локальной сети. Таким образом, вы можете пересобрать модуль, не ставя под угрозу работу остального вашего технологического стека.

Пример Poly Network не уникален: любой проект, работающий с огромными суммами денег, должен пройти бесчисленные проверки кода, и всегда лучше воспользоваться услугами нескольких аудиторов, а не одного, какими бы хорошими и профессиональными они ни были.

Двойная проверка должна быть руководящим принципом в этом отношении. Во-вторых, проект не следует выпускать в спешке, поскольку цена ошибки в неизменяемом коде слишком высока. Даже если некоторые даты выпуска придется перенести, лучше это сделать, чем рисковать выпустить продукт, в котором вы не полностью уверены.

Обе эти тактики могут существенно снизить контролируемые и не поддающиеся влиянию риски.

Что это значит для будущего?

Это может быть сторонняя хакерская атака или инсайдер, решивший вызвать ажиотаж вокруг проекта. В настоящее время маловероятно, что мы узнаем правду, пока компания не раскроет свои результаты.

Однако, если бы это была атака, предпринятая компанией ради общественного внимания, было бы глупо ожидать от них откровенности, поскольку это могло бы повлечь за собой очень серьезные последствия для всех ее исполнительных директоров.

Правда в том, что проблема безопасности требует серьезного решения. Пока это не так, мы будем видеть больше заголовков об эпических кражах в криптовалютных СМИ.