Вкратце
- У PolyNetwork были украдены цифровые активы на сумму более 600 миллионов долларов.
- Эксперты по безопасности все еще пытаются разобраться в случившемся.
Спустя семь часов после первого сообщения подробности об эксплойте, который захватил цифровые активы на 600 миллионов долларов из PolyNetwork, появлялись медленно. В отсутствие всеобъемлющего аудита группы по кибербезопасности высказали общее воздержание программистам, стоящим за сетью кросс-чейн совместимости: это ваше дело.
Средства, связанные с атакой, были отслежены по трем отдельным адресам - по одному на каждый Эфириум, Умная сеть Binanceи Polygon.
Что касается цепочки событий, которые привели к получению незаконно полученных средств, эксперты по безопасности расходятся во мнениях - некоторые доходят до того, что обвиняют своих коллег в том, что они вводят общественность в заблуждение.
Согласно первоначальному анализу китайского аудитора безопасности BlockSec, который, по его словам, он еще не проверил, кража может быть результатом «либо утечки закрытого ключа, который используется для подписи межсетевого сообщения», либо « ошибка в процессе подписания в PolyNetwork, которая использовалась для подписания созданного сообщения ».
Другие исследователи также намекали, что плохие методы обеспечения безопасности могли привести к краже закрытых ключей, используемых командой PolyNetwork для авторизации транзакций.
Разработчик Ethereum и исследователь безопасности Мудит Гупта писал что PolyNetwork использует кошелек с несколькими подписями для транзакций. В его конфигурации четыре человека имеют доступ к ключу для подписания транзакций, а трое должны подписать: «Злоумышленник получил как минимум 3 хранителей, а затем использовал их, чтобы заменить хранителей на одного хранителя». По сути, хакер заблокировал их. (Гупта изначально думал, что Поли использует мультиподписи 1/1.)
Команда безопасности блокчейнов SlowMist говорит, что это не совсем то, что произошло. Вместо этого, по его словам, злоумышленник воспользовался недостатком в функции смарт-контракта, чтобы сменить своего хранителя, перенаправив поток средств на собственный адрес злоумышленника. «Дело не в том, что это событие произошло из-за утечки закрытого ключа хранителя», - переправу.
PolyNetwork ретвитнул сообщение в блоге, в то время как Гупта категорически не согласился с SlowMist, предполагая либо полное бессилие, либо коррупцию.
Независимо от того, получил ли злоумышленник закрытые ключи или использовал слабый смарт-контракт, один из способов сделать это - взять на себя ответственность. Но была ли это внутренняя работа? В конце концов, согласно аналитической компании CipherTrace, занимающейся блокчейн-аналитикой, так называемое мошенничество с выходом на улицу было самая популярная форма крипто-мошенничества в прошлом году.
Слишком рано говорить. SlowMist сообщает, что «захватил почтовый ящик, IP-адрес и отпечатки устройства злоумышленника с помощью отслеживания внутри и вне сети, и отслеживает возможные ключи личности, связанные с злоумышленником Poly Network». Но расследование еще не привело к тому, что один из руководителей Poly держит в руках дымящийся пистолет. (Или, если это так, SlowMist еще не говорит.)
Пока неясно, сможет ли злоумышленник использовать средства. PolyNetwork также попросила «майнеров затронутых блокчейнов и криптобирж занести в черный список токены» с адресов злоумышленников. В ответ Tether заявил, что заморозил 33 миллиона долларов США в долларах США, связанных с атакой, в то время как руководители Binance, OKEx и Huobi пообещали помочь ограничить ущерб.
Хакер, однако, решил издавать насмешки из блокчейна Ethereum, добавляя сообщения в блоки. «ЧТО ЕСЛИ Я СОЗДАЮ НОВЫЙ ЖЕТОН И ПОЗВОЛЯЮ ДАО РЕШАТЬ КУДА ЖЕЛЕЗЫ», - написали они в одном сообщение.
Возможно, но, может быть, кто-то другой должен написать для этого смарт-контракты.
- "
- 9
- доступ
- плюс
- Все
- анализ
- аналитика
- Активы
- аудит
- binance
- блокчейн
- Блог
- Ошибка
- вызванный
- изменение
- заряд
- CipherTrace
- Общий
- контракт
- контрактов
- коррупция
- крипто-
- Crypto Exchanges
- Информационная безопасность
- DAO
- данным
- Застройщик
- DID
- Интернет
- Цифровые активы
- долларов
- Вводит
- Эфириума
- События
- События
- Биржи
- исполнительный
- руководителей высшего звена.
- Выход
- выходить из мошенничества
- эксперты
- Эксплуатировать
- Фирма
- First
- недостаток
- поток
- форма
- функция
- средства
- хакер
- держать
- Как
- HTTPS
- Huobi
- Личность
- Влияние
- Взаимодействие
- ходе расследования,
- IP
- IT
- работа
- Основные
- ключи
- большой
- привело
- LINK
- средний
- миллиона
- Шахтеры
- Multisig
- сеть
- OKEx
- Люди
- бассейн
- состояния потока
- Популярное
- частная
- Секретный ключ
- Частные ключи
- что такое варган?
- ответ
- Мошенничество
- безопасность
- умный
- умный контракт
- Смарт-контракты
- Tether
- кража
- знак
- Лексемы
- Отслеживание
- Сделки
- us
- USDT
- Кошелек
- год