Kako je heker PolyNetwork ukradel 600 milijonov dolarjev? Strokovnjaki za varnost kažejo s prsti

Več kot sedem ur po tem, ko so prvič poročali, so se podrobnosti o izkoriščanju, ki je od podjetja PolyNetwork pridobilo 600 milijonov dolarjev digitalnih sredstev, počasi pojavljale. Ker ni bilo celovite revizije, so skupine za kibernetsko varnost programerjem za mrežo združljivosti med verigami izrekle skupni refren: To je odvisno od vas.

Sredstva, povezana z napadom, so bila razvrščena na tri ločene naslove - po enega na Ethereum, Pametna veriga Binancein poligon.

Kar zadeva verigo dogodkov, ki so tja prinesli napačno porabljena sredstva, imajo strokovnjaki za varnost različna mnenja - nekateri so celo obtožili svoje kolege, da zavajajo javnost.

Po prvi analizi kitajskega varnostnega revizorja BlockSec, za katerega je opozoril, da še ni preverjen, je bila tatvina lahko posledica "uhajanja zasebnega ključa, ki se uporablja za podpis križnega sporočila" ali " napaka v procesu podpisovanja PolyNetwork, ki je bila zlorabljena za podpis izdelanega sporočila. "

Drugi raziskovalci so prav tako namigovali na slabe varnostne prakse, ki so morda privedle do tatvine zasebnih ključev, ki jih skupina PolyNetwork uporablja za avtorizacijo transakcij.

Razvijalec Ethereum in raziskovalec varnosti Mudit Gupta Napisal da PolyNetwork za transakcije uporablja denarnico z več znaki. V njegovi konfiguraciji imajo štiri osebe dostop do ključa za podpisovanje transakcij, trije pa se morajo podpisati: "Napadalec je dobil vsaj 3 čuvaje in jih nato uporabil za menjavo imetnikov v enega samega čuvaja." Dejansko jih je heker zaklenil. (Gupta je sprva mislil, da je Poly uporabil 1/1 multisig.)

Ekipa za varnost Blockchain SlowMist pravi, da se ni zgodilo ravno to. Namesto tega, pravi, je napadalec izkoristil napako v funkciji pametne pogodbe, da je zamenjal svojega imetnika in preusmeril tok sredstev na napadovčev lasten naslov. "Ne gre za to, da je do tega dogodka prišlo zaradi puščanja lastnikovega ključa," piše poročali.

PolyNetwork je objavil objavo v spletnem dnevniku, Gupta pa se močno ni strinjal s SlowMistom, kar kaže na hudo impotenco ali korupcijo.

Ne glede na to, ali je napadalec pridobil zasebne ključe ali je izkoristil šibko pametno pogodbo, je eden od načinov, da to stori, to, da je odgovoren. Toda ali je šlo za notranje delo? Navsezadnje so po mnenju podjetja za analitiko blokovskih verig CipherTrace tako imenovane vleke za preproge, vrsta izstopne prevare, najbolj priljubljena oblika kripto goljufije lansko leto. 

Prezgodaj je za povedati. SlowMist pravi, da je "s sledenjem na verigi in zunaj verige napadelca napadalčevega nabiralnika, IP-ja in prstnih odtisov sledil možnim namigom identitete, povezanim z napadalcem Poly Network." Toda njena preiskava še ni pripeljala do tega, da je direktor Poly imel pištolo za kajenje. (Ali, če je, SlowMist še ne pravi.)

Medtem ni jasno, ali bo napadalcu uspelo porabiti sredstva. PolyNetwork je tudi zahteval, da "rudarji prizadetih blokovskih in kriptovalutnih borz žetonov na črnem seznamu" z naslovov izkoriščevalca. V odgovor je Tether dejal, da je zamrznil 33 milijonov dolarjev USDT, povezanih z napadom, medtem ko so vodstveni delavci Binance, OKEx in Huobi obljubili, da bodo pomagali omejiti škodo.

Heker pa se je lotil izdajanje posmehov iz verige blokov Ethereum z dodajanjem sporočil blokom. "KAJ, če naredim nov žeton in pustim, da se DAO odloči, kam gredo žetoni," so zapisali v enem Sporočilo.

Morda, morda pa bi moral kdo drug napisati pametne pogodbe za to.

Vir: https://decrypt.co/78250/how-did-polynetwork-hacker-steal-600-million-security-experts-point-fingers