On August 10, Poly Network suffered a $611 million hack—the largest crypto-related hack to date. This attack was especially interesting compared to the majority of DeFi hacks, which typically use a form of flash loans and arbitrage to exploit pametne pogodbeKaj so pametne pogodbe? Pametna pogodba je računalniški pro… Več and smaller amounts of funds. In this case, the hacker found an exploit that allowed him to bypass the private keys and have the smart contract simply send the funds directly to wallets under their control. CipherTrace has confirmed that nearly all the funds have thus far been returned to Poly Network. Poly Network has also confirmed the return on their Twitter feed.
Where the typical DeFi hack is against specific DeFi instruments, resulting in much smaller losses, in this case the attack was against Poly Network’s infrastructure, focusing on the DeFi platform itself and targeting control of the decentralized exchange’s (DEX) smart contracts. As a result, the main cross-chain contract became completely controlled by the hacker, allowing him to unlock tokens that were supposed to be locked within the contract, send the tokens to addresses under their control, and then repeat the attack across chains.
Kako so vlomili Poly Network
Poly Network deluje kot most medsebojne interoperabilnosti, ki olajša prenos žetonov med dvema relativno neodvisnima verigama blokov. Tako je ena izmed njihovih glavnih pametnih pogodb Poly Network most sam. Da bi mostovi med verigami delovali učinkovito (npr. Uporabniki lahko uporabljajo omrežje za prenos žetonov po verigah), morajo vzdrževati velike vsote likvidnosti. Kadar koli želi uporabnik premostiti verige, mora Poly Network učinkovito zapisati/kovati enakovredna sredstva na ustreznih verigah.
Pogodba, ki izda te medsebojne verižne prenose žetonov, za preverjanje in izvajanje transakcij uporablja „varuhe“. Ko se vratar podpiše na izvorna veriga o CrossChainManager pogodbo o ciljna veriga bo preveril veljavnost podpisa imetnika in izvedel ekvivalent v ciljni verigi, da dokonča "most".
Ker pametna pogodba izvaja transakcije in ne uporabnik sam, je heker lahko izkoristil CrossChainManager pametno pogodbo in zamenjajte "varuhe" za zlonamernega imetnika pod njihovim nadzorom. Posledično je heker v celoti nadzoroval glavno pogodbo z več verigami v omrežju Poly, kar mu je omogočilo odklepanje žetonov, ki naj bi ostali zaprti v okviru premostitvene pogodbe, in premikanje žetonov na naslove pod njegovim nadzorom. Heker je nato ponovil napad po verigah.
Kdo so resnične žrtve krampanja Poly Network?
Zaradi dejanj hekerja so sredstva uporabnikov, ki so bila "zaklenjena" v teh pogodbah, utrpela resnično izgubo. Čeprav posamezni žetoni posameznikov niso bili vzeti, Poly Network z odstranitvijo tako velike količine, zaklenjene v protokolu, ne bi imela več likvidnosti, da bi podprla obsežen odliv, če bi vsi uporabniki želeli črpati svoja sredstva iz pogodb. Vendar pa je zaradi decentralizirane narave DeFi pomanjkanje kakršnih koli procesov KYC in čezmejni doseg skoraj nemogoče ugotoviti, kdo so resnične žrtve in kje se nahajajo.
Na splošno gre za prefinjeno izkoriščanje slabo zasnovane pametne pogodbe, pri čemer »tveganje« in »vedenje« vplivata na uporabnike Poly Network. Vlagatelji so resnične žrtve, ne Poly Network sami. Verjetno si Poly Network deli odgovornost s hekerjem, saj ne zagotavlja kakovosti njihove pametne pogodbe in tako izpostavlja vlagatelje velikemu tveganju.
Trenutno ni znakov, da bi koda Poly Network kdaj prejela revizijo. Iskanje po protokolu GitHub repo ni navedla, da so bile opravljene ali o katerih so poročali revizije.
Poly Network hacker returns over half of stolen funds
Na veliko presenečenje tistih, ki spremljajo tatvino Poly mreže, je 11. avgusta napadalec začel vračati nekaj ukradenih sredstev. Zaradi tega so se mnogi po internetu spraševali - zakaj?
Pri vseh zamenjavah, ki jih je heker storil v prizadevanju, da bi jim zatemnil sled, se zdi, da je heker v nekem trenutku ponovno uporabil denarnico, ki je že imela prejšnje transakcije z nekaterimi vidnimi borzami, na katerih bi lahko bili identificirani podatki o tem, ali poznate svojo stranko (KYC). njega.
Obstajajo trditve, da bi bil heker glede na vračilo sredstev potencialno beli klobuk. Vendar pa je zelo malo verjetno, da bi beli klobuk naredil enake korake, da bi prikril sled sredstev, če bi vedno nameravali vrniti denar.
V času tega spletnega dnevnika je CipherTrace potrdil, da so bila skoraj vsa sredstva vrnjena družbi Poly Network na naslove, ki so jih razvili posebej za hekerje, da vrnejo sredstva. Ti naslovi so:
- 0x71Fb9dB587F6d47Ac8192Cd76110E05B8fd2142f
- 0xEEBb0c4a5017bEd8079B88F35528eF2c722b31fc
- 0xA4b291Ed1220310d3120f515B5B7AccaecD66F17
Sredstva zamrznjena 10. avgusta (dan krampanja)
USDT frozen
Sredstva so se vrnila 11. avgusta
Pogodba Poly: 85 milijonov USDC
Pogodba BSC: 256.2 milijona USD v treh večjih žetonih (večinoma BTCB, Binance vezan ETH, BUSD) in 3 milijonov USD v BNB
Pogodba Ethereum: 3.4 milijona dolarjev v SHIB, renBTC in Fei
Sredstva so se vrnila 12. avgusta
Ethereum contract: $96.42 million DAI
Posledice tako velikega krampanja DeFi
Zakonodajalci bodo pospešili izvajanje predpisov DeFi, zlasti glede na število spiralov DeFi, ki jih ponazarja ta najnovejši kramp Poly Network. Končno bodo regulativni organi verjetno razvrstili decentralizirane borze (DEX) kot ponudnike storitev virtualnih sredstev (VASP) v skladu s priporočili FATF. FinCEN bo DEX verjetno uvrstil med podjetja za denarne storitve (MSB), kar pomeni, da bodo morali DEX in druge aplikacije DeFi izpolnjevati obveznosti proti pranju denarja (AML) in KYC. Pričakoval bi tudi, da bo CFTC uredil skupnosti DeFi, SEC pa uredbe o vrednostnih papirjih DeFi.
Poleg tega bodo standardi kakovosti pametnih pogodb postali strožji, pojavili se bodo revizijski standardi. Poleg tega se bo "zavarovalniški trg" DeFi razvil in dozorel, da bo lahko ustrezno ocenil in pod ustreznimi tehničnimi tveganji DeFi.
DeFi vdori se približajo 2 milijardi dolarjev za leto - kaj je naslednje?
Ta kramp ponazarja pomen standardov varnosti in revizijskih standardov pametnih pogodb za zagotavljanje kakovosti in zmanjšanje ranljivosti kode.
Po naših najnovejših Poročilo o kaznivih dejanjih kriptovalut in pranju denarjado konca avgusta obseg DeFi-hack-a, ki so ga kriminalci pobrali leta 2021, znaša 361 milijonov dolarjev. Danes se je ta številka skoraj potrojila, saj vdori DeFi zdaj znašajo 994 milijonov USD, kar predstavlja 90% vsega obsega vdorov v leto 2021, ki presega nekaj več kot 1.1 milijarde USD.
Ker vdori in goljufije DeFi eksponentno naraščajo četrtletje po četrtletju, se prihodnost kriminala DeFi zdi mračna, če se bo trend nadaljeval. Če bodo zločini DeFi še naprej postajali vse bolj izpopolnjeni, kot je bilo napovedano s krampom Poly Network, bodo pametne pogodbe verjetno vedno bolj ciljno usmerjene v napade večjega obsega.
Dodatek
11. avgusta je heker izvedel "vprašanja v verigi". Z dekodiranjem vhodnih podatkov o nekaterih njegovih transakcijah si lahko ogledate naslednje.
Vprašanja in odgovori, prvi del:
V: ZAKAJ HAKIRANJE?
O: ZA ZABAVO 🙂
V: ZAKAJ POLY MREŽA?
O: VREZ VREŽENE VERIGE JE VROČ
V: ZAKAJ PRENOS ŽELENOV?
O: ZA VARNOST.
PRI UGOTAVLJENJU HRUPA sem imel mešane občutke. VPRAŠAJTE SE, KAKO NAREDITI, KAKO STE BILI V SREČI S SOBO. POLITIČNO VPRAŠATI TEAM PROJEKTA, DA TO LAHKO POPRAVIjo? Kdorkoli bi lahko bil veleizdajalec, ki je dobil en milijardo! NIKOJ NE LAHKO ZAUPAM! JEDINA REŠITEV, KI JIH LAHKO PRIPRAVIM, JE VARČEVANJE NA _PREVERENEM_ RAČUNU, KDO SE SAMO SAMO _ANONIMNO_ IN _VARNO_.
SEDAJ VSAK DUHI ČUT ZAVEZNOSTI. INSIDER? NE JAZ, KDO pa ve? OBVEZUJEM SE, DA RAZGLEDAMO RANJIVOST, PREDEN KAJ VSAK VLADI Skrivajo in IZKORIŠČAJO!
V: ZAKAJ TAKO SOFISTICIRANO?
O: POLI MREŽA JE POMEMBAN SISTEM. To je eden izmed najbolj zahtevnih napadov, v katerih lahko heker uživa. IN Moral sem biti hiter, da sem premagal vse notranje osebe ali hekerje, to sem vzel kot bonusni klic 🙂
V: Ali ste izpostavljeni?
O: NE. NIKOLI. RAZUMEM TVEGANJE, DA SE IZPOZNAM, ČE NE ZLOGIM. TAKO SAM UPORABILA ZAČASNO E -POŠTO, IP ALI _ TAKO KLIČAN_ PRSTNI TISK, KI JIH NI ZDRAVILO. Raje ostanem v temi in rešim SVET.
https://etherscan.io/tx/0x1fb7d1054df46c9734be76ccc14fa871b6729e33b98f9a3429670d27ec692bc0
Vprašanja in odgovori, drugi del:
V: KAJ SE JE V resnici zgodilo pred 30 urami?
O: DOLGA ZGODBA.
VERUJETE ALI NE, PRILOŽEN SAM BILI IGRO.
POLI MREŽA JE POVEZAN SISTEM, NISMO UMELI ZGRADITI LOKALNEGA TESTIRALNEGA OKOLJA. NISMO ZGODILI MESTA NA ZAČETKU. Vendar pa je AHA MOMEMNT PRIŠLI PREDEN, DA NAM VEDEL. PO IZKLOPLJANJU NASTOPANJA VSE NOČI, sem IZDELA _ ENO_ POROČILO V ONTOLOŠKO MREŽO.
NAČRTOVAL sem, da zaženem COOL BLITZKRIEG, da prevzamem štiri mreže: ETH, BSC, POLYGON & HECO. KAKO GRE HECO MREŽA! RELEJER SE NE OBNAŠA KOT DRUGI, VAROVALEC JE SAMO PREPUSTIL MOJO EKSPLOATACIJO, KLJUČ pa je bil posodobljen na nekatere napačne parametre. PORAZIL JE MOJ NAČRT.
V tistem trenutku bi se moral ustaviti, vendar sem se odločil, da pustim, da se predstava nadaljuje! KAJ, ČE BREZPLAČNO POPRAVLJAJO BUG BREZ OBVESTILA?
NIKOLI Nisem želel povzročiti _REAL_ PANIKE SVETA CRYPTO. Zato sem se odločil, da ne bom upošteval posranih kovancev, da se ljudje ne bi morali skrbeti, da bodo šli v nič. Vzel sem pomembne žetone (RAZEN ZA SHIB) IN Nisem NIČ PRODAL.
V: TAKO ZAKAJ PRODATI/ZAMENITI KONJE?
O: POLY TEAM me je POZDRAVILO ZA ZAČETNI ODGOVOR.
SPOZNALI SO DRUGE, DA ME KRIJUJO IN SOZDRŽAVAJO, PREDEN MORAM IMATI KAKRŠNEGA ŠPORTA ZA ODGOVOR! Seveda sem vedel, da obstajajo ponarejeni kovanci DEFI, vendar tega NISEM VZEL resno, ker jih nisem imel v načrtu.
V tem času bi lahko z odlaganjem konjušnic zaslužili nekaj obresti, da bi pokrili potencialne stroške, da bom imel več časa za pogajanja z ekipo.
https://etherscan.io/tx/0xd4ee4807c07702a3202f45666983855d7fa22eb1c230e4c1e840fc9389e54729
Vprašanja in odgovori, tretji del:
V: ZAKAJ TIPPING 13.37?
O: TOČINO sem začutil iz skupnosti ETHEREUM.
ZAKLJUČENO sem raziskoval vprašanja iz Heka in odpravljal napake svojih skriptov. MISLIL sem, da gre za omrežna vprašanja, zakaj ne bi mogel odložiti (bil sem za podpredsednikom). TAKO SAM DELIL MOJO DOBRO VOLJO.
V: ZAKAJ VPRAŠATI TORNADO IN DAO?
O: KOT JE BIL PRIČAK TOLIKEGA VLOGOVANJA, SEM VEDEL, DA JE ODLAGANJE V TORNADO MUDRA, A OBČASNA ODLOČBA. TO JE BILO PROTI MOJI IZVORNI NAMENI. BITI HREZALNIK, KI JE V ZVEZI Z MREŽO, JE BILA SAMO MOJA SLABA ŠALA PO SREČANJU TOLIKO PROSEMNIKOV 🙂
V: ZAKAJ SE VRNIMO?
O: TO JE VEDNO NAČRT! MENE _ NAM ZELO ZANIMA DENAR! VEM, DA BOLI, KADAR LJUDJE NAPADAJO, ALI SE NE MORAJO NAČINITI OD TIH HAKOV? OBVESTILO SAM O ODLOČITVI ZA VRNITEV PRED polnočjo, DA SO LJUDI, KI SO VANJO V MENO, MORALI DOBRO POČIVATI 😉
V: ZAKAJ POČASNO VRNITEV?
O: POTREBUJEM ČAS ZA POGOVOR S POLY TEAM -om. Oprostite, to je edini način, da znam dokazovati svoje dostojanstvo, medtem ko skrivam svojo identiteto. IN POTREBUJEM NEKAJ POČITKA.
V: POLY TEAM?
O: Z njimi sem se že začenjal pogovarjati na kratko, Dnevniki so na Ethereumu. Jih LAHKO ALI LAHKO NE OBJAVIM. BOLEČINE, KI JIH SO TRPELE, SO ZAČASNE, A SPOMENE.
Z veseljem bi jim dal NASVETE, KAKO VAROVATI MREŽE, DA LAHKO V PRIHODNOSTI LAHKO UPRAVLJAJO MILARIJSKI PROJEKT. POLI MREŽA JE DOBRO PROJEKTIRAN SISTEM IN BO OBRAVIL VEČ SREDSTEV. SO IMALI veliko novih sledilcev na twiterju, kajne?
https://etherscan.io/tx/0xe954bed9abc08c20b8e4241c5a9e69ed212759152dd588bb976b47eca353a5bc
Vrednost vzeta iz Poly Network Hack
Chain | TX Hash | sredstvo | znesek | $ vrednost |
BSC | 0x534966864bda354628d4f1c66db45cbefcdda7433e9576e7664fea01bb05be9a | BNB | 6,613.44 | $2,460,861.21 |
BSC | 0xd59223a8cd2406cfd0563b16e06482b9a3efecfd896d590a3dba1042697de11a | USDC | 87,603,373.77 | $87,624,502.53 |
BSC | 0x4e57f59395aca4847c4d001db4a980b92aab7676bc0e2d57ee39e83502527d6c | ETH | 26,629.16 | $85,896,083.66 |
BSC | 0x50105b6d07b4d738cd11b4b8ae16943bed09c7ce724dc8b171c74155dd496c25 | BTCB | 1,023.88 | $47,427,704.52 |
BSC | 0xd65025a2dd953f529815bd3c669ada635c6001b3cc50e042f9477c7db077b4c9 | BUSD | 32,107,854.11 | $32,124,918.14 |
BSC | 0xea37b320843f75a8a849fdf13cd357cb64761a848d48a516c3cac5bbd6caaad5 | USDC | 298.9405633 | $299.04 |
ETH | 0xad7a2c70c958fcd3effbf374d0acf3774a9257577625ae4c838e24b0de17602a | ETH | 2,857.49 | $8,977,279.13 |
ETH | 0x5a8b2152ec7d5538030b53347ac82e263c58fe7455695543055a2356f3ad4998 | USDC | 96,389,444.23 | $96,430,660.58 |
ETH | 0x3f55ff1fa4eb3437afe42f4fea57903e8e663bc3b17cb982f1c8d4c8f03a2083 | WBTC | 1,032.12 | 46,971,609.47 |
ETH | 0xa7c56561bbe9fbd48e2e26306e5bb10d24786504833103d3f023751bbcc8a3d9 | DAI | 673,227.94 | $673.628.12 |
ETH | 0xc917838cc3d1edd871c1800363b4e4a8eaf8da2018e417210407cc53f94cd44e | UNI | 43,023.75 | $1,242,040.44 |
ETH | 0xe05dcda4f1b779989b0aa2bd3fa262d4e6e13343831cb337c2c5beb2266138f5 | SHIB | 259,737,345,149.52 | $1,974,082.34 |
ETH | 0xb12681d9e91e69b94960611b227c90af25e5352881907f1deee609b8d5e94d7d | renBTC | 14.47265047 | $659,141.75 |
ETH | 0x06aca16c483c3e61d5cdf39dc34815c29d6672a77313ec36bf66040c256a7db3 | USDT | 33,431,197.73 | $33,391,733.96 |
ETH | 0xc797aa9d4714e00164fcac4975d8f0a231dae6280458d78382bd2ec46ece08e7 | WETH | 26,109.06 | $82,052,128.62 |
ETH | 0xd8c1f7424593ddba11a0e072b61082bf3d931583cb75f7843fc2a8685d20033a | EIF | 616,082.59 | $616,082.59 |
Poli | 0x1d260d040f67eb2f3e474418bf85cc50b70101ca2473109fa1bf1e54525a3e01 | USDC | 85,089,610.91 | $85,061,020.80 |
Poli | 0xfbe66beaadf82cc51a8739f387415da1f638d0654a28a1532c6333feb2857790 | USDC | 108.694578 | $108.66 |
Naslovi hekerjev Poly Network
Poly Network je javno identificiral tri naslove, ki naj bi jih nadziral napadalec:
- 0xC8a65Fadf0e0dDAf421F28FEAb69Bf6E2E589963 (ETH)
- 0x0D6e286A7cfD25E0c01fEe9756765D8033B32C71 (BSC)
- 0x5dc3603C9D42Ff184153a8a9094a73d461663214 (POLYGON)
Vir: https://ciphertrace.com/poly-network-suffers-largest-crypto-hack-ever-recorded/
- &
- 11
- Račun
- vsi
- domnevno
- Dovoli
- AML
- razglasitve
- preprečevanje pranja denarja
- aplikacije
- arbitražo
- sredstvo
- Sredstva
- Revizija
- Avgust
- Billion
- binance
- Blog
- MOST
- Bug
- izgradnjo
- BUSD
- podjetja
- Vzrok
- CFTC
- CipherTrace
- terjatve
- Koda
- Kovanci
- skupnosti
- skupnost
- Conspiracy
- naprej
- Naročilo
- pogodbe
- Kriminal
- Zločini
- Kriminalci
- čezmejni
- kripto
- DAO
- datum
- dan
- Decentralizirano
- Defi
- Dex
- DID
- E-naslov
- okolje
- ETH
- ethereum
- Izmenjave
- Exodus
- Izkoristite
- s katerimi se sooča
- ponaredek
- FinCen
- prstnih odtisov
- fiksna
- Flash
- obrazec
- goljufija
- zabava
- Skladi
- Prihodnost
- igra
- GitHub
- dobro
- Grow
- kramp
- heker
- hekerji
- taksist
- žaga
- Kako
- Kako
- HTTPS
- identiteta
- Podatki
- Infrastruktura
- Insider
- obresti
- Internet
- Interoperabilnost
- Vlagatelji
- IP
- Vprašanja
- IT
- vzdrževanje
- Ključne
- tipke
- KYC
- velika
- Zadnji
- kosilo
- UČITE
- likvidnostno
- Posojila
- lokalna
- Long
- velika
- Večina
- Izdelava
- milijonov
- mešano
- Denar
- spremljanje
- premikanje
- mreža
- mreženje
- omrežij
- Obvestilo
- Ontologija
- Da
- Ostalo
- Panic
- Patch
- ljudje
- načrtovanje
- platforma
- PoC
- zasebna
- Zasebni ključi
- za
- Projekt
- proxy
- objavijo
- Vprašanja in odgovori
- kakovost
- zmanjša
- predpisi
- Regulatorji
- REST
- vrne
- Tveganje
- varna
- shranjevanje
- Lestvica
- SEC
- Vrednostni papirji
- varnost
- prodaja
- Občutek
- deli
- Delnice
- Znaki
- pametna
- pametna pogodba
- Pametne pogodbe
- So
- standardi
- začel
- bivanje
- ukradeno
- podpora
- presenečenje
- sistem
- pogovor
- tehnični
- začasna
- Testiranje
- Kraja
- čas
- nasveti
- žeton
- Boni
- Transakcije
- Zaupajte
- Uporabniki
- vaspi
- Virtual
- ponudniki storitev virtualnih sredstev
- Obseg
- Ranljivosti
- ranljivost
- denarnica
- Denarnice
- WHO
- v
- svet
- nič