Den 10 augusti fick Poly Network ett hack på 611 miljoner dollar-det hittills största kryptorelaterade hacket. Denna attack var särskilt intressant jämfört med majoriteten av DeFi -hack, som vanligtvis använder en form av flashlån och arbitrage för att utnyttja smarta kontraktVad är smarta kontrakt? Ett smart kontrakt är ett datorpro ... Snarare och mindre belopp. I det här fallet hittade hackaren ett utnyttjande som gjorde att han kunde kringgå de privata nycklarna och få det smarta kontraktet att skicka pengarna direkt till plånböcker under deras kontroll. CipherTrace har bekräftat att nästan alla medel hittills har återförts till Poly Network. Poly Network har också bekräftat avkastningen på sitt Twitter -flöde.
Där det typiska DeFi -hacket är mot specifika DeFi -instrument, vilket resulterar i mycket mindre förluster, var attacken i detta fall mot Poly Networks infrastruktur, med fokus på själva DeFi -plattformen och riktad kontroll över den decentraliserade börsens (DEX) smarta kontrakt. Som ett resultat blev huvudkontraktet över hela kedjan fullständigt kontrollerat av hackaren, vilket gjorde att han kunde låsa upp tokens som skulle låsas inom kontraktet, skicka tokens till adresser under deras kontroll och sedan upprepa attacken över kedjor.
Hur hackades Poly Network
Poly Network fungerar som en tvärkedjig interoperabilitetsbro för att underlätta överföringen av tokens mellan två relativt oberoende blockchains. Som sådan är själva bron en av deras viktigaste Poly Network -smarta kontrakt. För att broar mellan kedjor ska fungera effektivt (t.ex. för att användare ska kunna använda nätverket för att överföra tokens över kedjor) måste de behålla stora summor likviditet. När en användare vill ”överbrygga” mellan kedjor måste Poly Network effektivt bränna/mynta motsvarande tillgångar på respektive kedjor.
Kontraktet som utfärdar dessa överföringar mellan kedjor använder "behållare" för att verifiera och genomföra transaktionerna. När målvakten undertecknar på källkedja d CrossChainManager kontrakt på destinationskedja kommer att kontrollera behållarens signatur för giltighet och utföra motsvarigheten på destinationskedjan för att slutföra "bron".
Eftersom det smarta kontraktet genomför transaktionerna och inte användaren själv kunde hackaren utnyttja CrossChainManager smart kontrakt och byt ut "keepers" mot en skadlig målvakt under deras kontroll. Som ett resultat blev huvudkontraktet över kedjorna på Poly-nätverket fullständigt kontrollerat av hackaren, vilket gjorde att han kunde låsa upp tokens som skulle förbli låsta inom bryggkontraktet och flytta tokens till adresser under hans kontroll. Hackaren replikerade sedan attacken över kedjor.
Vilka är de verkliga offren för Poly Network -hacket?
Som ett resultat av hackarens handlingar led användarnas medel som var "låsta" i dessa kontrakt den verkliga förlusten. Medan specifika individer tokens inte togs, genom att ta bort en så stor summa låst i protokollet, skulle Poly Network inte längre ha likviditet för att stödja en storflykt om alla användare ville dra sina pengar från kontrakten. På grund av DeFi: s decentraliserade karaktär är det emellertid nästan omöjligt att sakna några KYC-processer och gränsöverskridande räckvidd.
Sammantaget är det en sofistikerad exploatering till ett dåligt utformat smart kontrakt, med "risken" och "beteendet" som påverkar användarna av Poly Network. Investerarna är de verkliga offren, inte Poly Network själva. Förmodligen delar Poly Network ansvaret med hackaren genom att inte säkerställa kvaliteten på deras smarta kontrakt och därmed utsätta investerare för betydande risk.
Det finns för närvarande ingen indikation på att Poly Network -koden någonsin hade fått en granskning. Söker genom protokollets GitHub repor angav inte att några revisioner hade utförts eller rapporterats.
Poly Network hacker returnerar över hälften av de stulna medlen
Till stor förvåning för dem som övervakade Poly Network -stölden började angriparen den 11 augusti att återlämna några av de stulna medlen. Detta fick många på internet att undra - varför?
I alla byten som hackaren har gjort i ett försök att dölja deras spår verkar det som om hackaren vid ett tillfälle hade återanvänt en plånbok som redan hade tidigare transaktioner med några framträdande utbyten som kunde ha identifierande information om "känner din kund" (KYC) om honom.
Det finns påståenden om att hackaren kan vara en vit hatt, med tanke på att pengarna återbetalas. Det är emellertid extremt osannolikt att en vit hatt skulle ha tagit samma steg för att försöka dölja spåren om de alltid hade tänkt att lämna tillbaka pengarna.
Vid tidpunkten för denna blogg har CipherTrace bekräftat att nästan alla medel har återlämnats till Poly Network till de adresser som de hade utvecklat specifikt för hackaren att returnera pengarna. Dessa adresser är:
- 0x71Fb9dB587F6d47Ac8192Cd76110E05B8fd2142f
- 0xEEBb0c4a5017bEd8079B88F35528eF2c722b31fc
- 0xA4b291Ed1220310d3120f515B5B7AccaecD66F17
Medel fryst 10 augusti (hackedag)
USDT fryst
Medlen återvände den 11 augusti
Polykontrakt: 85 miljoner dollar USDC
BSC -kontrakt: 256.2 miljoner dollar i 3 stora tokens (mestadels BTCB, Binance pegged ETH, BUSD) och 2.637 miljoner dollar i BNB
Ethereum -kontrakt: 3.4 miljoner dollar i SHIB, renBTC och Fei
Medlen återvände den 12 augusti
Ethereum -kontrakt: 96.42 miljoner dollar DAI
Konsekvenserna av ett så stort DeFi -hack
Lagstiftare kommer att påskynda implementeringen av DeFi -föreskrifter, särskilt eftersom antalet DeFi -hackar spiraler, vilket framgår av detta senaste Poly Network -hack. I slutändan kommer tillsynsmyndigheter sannolikt att klassificera decentraliserade börser (DEX) som virtuella tillgångstjänstleverantörer (VASP) i enlighet med FATF: s rekommendationer. FinCEN kommer sannolikt att klassificera DEX som Money Service Businesses (MSB), vilket innebär att DEX och andra DeFi-applikationer kommer att krävas för att uppfylla AML- och KYC-skyldigheter. Jag förväntar mig också att CFTC reglerar DeFi -samhällen och SEC reglerar DeFi -värdepappersregler.
Dessutom kommer smarta kontraktskvalitetsstandarder att bli strängare, revisionsstandarder kommer att dyka upp. Vidare kommer DeFi ”försäkringsmarknaden” att utvecklas och mogna som på ett adekvat sätt kan utvärdera och under rätt DeFi tekniska risker.
DeFi -hackar närmar sig 2 miljarder dollar för året - vad är nästa?
Det här hacket exemplifierar vikten av smart kontraktsäkerhet och revisionsstandarder för att säkerställa kvaliteten och minska sårbarheten i koden.
Enligt vår senaste Rapport om kryptovalutabrott och penningtvätt, i slutet av augusti utgör DeFi-hackvolymen som kriminella tjänade år 2021 361 miljoner dollar. Idag har detta antal nästan tredubblats eftersom DeFi -hackar nu utgör 994 miljoner dollar, vilket utgör 90% av hela 2021: s hackvolym som toppar drygt 1.1 miljarder dollar.
Eftersom DeFi -hack och bedrägerier fortsätter att växa exponentiellt kvartal över kvartal, verkar framtiden för DeFi -kriminalitet dyster om trenden ska fortsätta. Om DeFi -brott fortsätter att bli mer sofistikerade, enligt förhandsgranskningen av Poly Network -hacket, kommer smarta kontrakt sannolikt att bli allt mer riktade för attacker i större skala.
Appendix
Den 11 augusti höll hackaren en "on-chain" Q&A. Följande kan ses genom att avkoda ingångsdata för några av hans transaktioner.
Frågor och svar, del ett:
F: VARFÖR HACKING?
S: KUL 🙂
F: VARFÖR POLY NÄTVERK?
S: KORSKÄDDHACKNING ÄR VARM
F: VARFÖR ÖVERFÖRING AV TOKEN?
S: ATT HÅLLA DET SÄKERT.
NÄR jag upptäckte buggen fick jag en blandad känsla. FRÅGA DIG SJÄLV VAD DU GÖR HAR DU TILL SÅ MYCKET FORTUNE. FRÅGA PROJEKTLAGET POLITIVT SÅ ATT DE KAN FIXA DET? NÅGON KAN VARA TRAITOREN GIVEN EN MILJARD! JAG KAN INTE LITA PÅ INGEN! DEN ENDA LÖSNINGEN JAG KAN KOMMA MED ÄR ATT SPARA DET PÅ ETT _TRUSTED_ KONTO MITT SOM HÅLLER SJÄLV _ANONYMT_ OCH _SÄKERT_.
NU LUKTAR ALLA EN KÄNSLA AV KONSPIRAT. INSIDER? INTE JAG, MEN VEM VET? JAG ANSVARAR ANSVARET FÖR ATT UTSLÄPPA SÄNDBARHETEN INNAN NÅGON INSIDER GÖMMER OCH UTNYTTAR DET!
F: VARFÖR SÅ SOPHISTISK?
S: POLY -NÄTVERKET ÄR ETT GODT SYSTEM. DET är en av de mest utmanande attackerna som en hackare kan njuta av. OCH JAG MÅSTE SNABB ATT SLÅ NÅGRA INSIDERS ELLER HACKERS, JAG TAR DET SOM EN BONUS UTMANING 🙂
F: ÄR DU UTSTÄLLT?
ETT NEJ. ALDRIG. JAG FÖRSTÅR RISKEN FÖR ATT EXPONERA MIG SELV OM JAG INTE GÖR OND. SÅ ANVÄND JAG TIDLIG E -POST, IP ELLER _SO CALLED_ FINGERPRINT, SOM VAR OTRACABEL. JAG FÖREDRAR ATT BO I MÖRKET OCH RÄDDA VÄRLDEN.
https://etherscan.io/tx/0x1fb7d1054df46c9734be76ccc14fa871b6729e33b98f9a3429670d27ec692bc0
Frågor och svar, DEL två:
F: VAD HÄNDADE VERKLIGEN 30 TIMMER SEDAN?
S: LÅNG BERÄTTELSE.
TROR DET ELLER INTE, JAG VAR _FORCED_ ATT SPELA SPELET.
POLYNÄTVERKET ÄR ETT SOPHISTISKT SYSTEM, KOMMER JAG INTE ATT BYGGA EN LOKAL TESTMILJÖ. Jag misslyckades med att producera en POC i början. MEN AHA MOMEMNT kom bara innan jag skulle ge upp. EFTER att jag har debuggerat hela natten skapade jag ett _SINGLE_ MEDDELANDE TILL ONTOLOGY NETWORK.
JAG VILL PLANERA ATT LANSCHA EN COOL BLITZKRIEG ATT ÖVERTAGA FYRA NÄTVERK: ETH, BSC, POLYGON & HECO. MEN HECO -NÄTVERKET GÅR FEL! RELÄET HAR INTE LIKNANDE MED DET ANDRA, EN FÖRHÅLLARE KOMPONERADE MIN EXPLOIT DIREKT OCH NYCKELEN UPPDATERADES TILL VARJE FELPARAMETRAR. DET RUINERADE MIN PLAN.
JAG SKA HA SOM STOPPADE I DETTA ögonblicket, MEN JAG BESLUTADE ATT LÅTA SHOWEN GÅ! VAD OM DE LÄPPER BUGGEN HEMLIGT UTAN NOGEN ANMÄLAN?
MEN jag VILL INTE ORSAKA _REAL_ PANIK I CRYPTO -VÄRLDEN. SÅ JAG VÄLJADE ATT IGNORERA SKITMYNTAR, SÅ MÅSTE Människor INTE LÄMNA OM ATT DE SKA BLI NOLL. JAG TAR VIKTIGA TEKNIKER (UNDTAGEN FÖR SHIB) OCH SÄLJAD INTE DEM.
F: VARFÖR SÄLJER/BYTER DU STABLARNA?
A: JAG VAR PISSAD AV POLYTEGETET FÖR DET INLEDANDE ANSVARET.
DE ANBEFALADE ANDRA ATT SKylla på och hata mig innan jag hade någon chans att svara! Givetvis visste jag att det finns falska defektmynt, men jag tog det INTE på allvar eftersom jag inte hade någon plan att tvätta dem.
I MELLANVARET KAN INSÄTTA STABELLEN VÄNNA ETT intresse för att täcka potentiella kostnader så att jag har mer tid att förhandla med det poliga laget.
https://etherscan.io/tx/0xd4ee4807c07702a3202f45666983855d7fa22eb1c230e4c1e840fc9389e54729
Frågor och svar, DEL TRE:
F: VARFÖR TIPS 13.37?
S: JAG KÄNNDE VÄRMEN FRÅN ETERUM -GEMENSKAPEN.
JAG VAR BETYDIG ATT Undersöka FRÅGOR FRÅN HECO OCH DEBUGGERA MINA SKRIV. Jag trodde att det var nätverksfrågor VARFÖR JAG KAN INTE SÄTTA IN (JAG VAR BAKOM ETT SOPHISTIKATISERAT PROXY). SÅ JAG DELADE MIN GOODWILL KÄREN.
F: VARFÖR FRÅGA TORNADO OCH DAO?
A: HAR VITNAT SÅ MÅNGA HACKNINGAR, JAG VISSTE INSÄTTNING TORNADO ÄR ETT VIS MEN DESPERAT BESLUT. DET VAR MOT MIN ORIGINALA AVSIKT. ATT VARA CROWDSOURCED HACKEREN VAR BARA DITT DÅLIGA SKICK EFTER ATT MÖTE SÅ MÅNGA BEGGAR 🙂
F: VARFÖR ÅTERVÄNDA?
S: DET ÄR ALLTID PLANEN! JAG ÄR _ INTE_ MYCKET intresserad av pengar! Jag vet att det gör ont när människor attackeras, men de borde inte lära sig något av dessa hackar? Jag meddelade det återkommande beslutet före midnatt så människor som trodde på mig borde ha en bra vila 😉
F: VARFÖR ÅTERGÅNGER SAKTIGT?
S: JAG BEHÖVER TID ATT PRata MED POLYTEN. Tyvärr, det är det enda sättet jag vet att bevisa min värdighet medan jag gömmer mig själv. OCH JAG BEHÖVER NÅGON VIL.
F: POLYTEN?
A: Jag började redan prata med dem i korthet, loggarna finns på eterum. JAG KAN ELLER INTE publicera dem. FÄRGARNA SOM DE HAR LIDAT ÄR TIDIGA MEN MINNES.
JAG VILL GÖRA DENNA TIPS OM HUR SÄKERAR DERAS NÄTVERK, SÅ ATT DE KAN VARA KOMMANDE ATT HANTERA MILLJARDSPROJEKTET I FRAMTIDEN. POLY -NÄTVERKET ÄR ETT VÄLT designat system och det kommer att hantera fler tillgångar. DE HAR FÅTT MYCKET NYA FÖLJARE PÅ TWITTER, eller hur?
https://etherscan.io/tx/0xe954bed9abc08c20b8e4241c5a9e69ed212759152dd588bb976b47eca353a5bc
Värde hämtat från Poly Network Hack
Kedja | TX Hash | tillgång | mängd | $ värde |
BSC | 0x534966864bda354628d4f1c66db45cbefcdda7433e9576e7664fea01bb05be9a | BNB | 6,613.44 | $2,460,861.21 |
BSC | 0xd59223a8cd2406cfd0563b16e06482b9a3efecfd896d590a3dba1042697de11a | USDC | 87,603,373.77 | $87,624,502.53 |
BSC | 0x4e57f59395aca4847c4d001db4a980b92aab7676bc0e2d57ee39e83502527d6c | ETH | 26,629.16 | $85,896,083.66 |
BSC | 0x50105b6d07b4d738cd11b4b8ae16943bed09c7ce724dc8b171c74155dd496c25 | BTCB | 1,023.88 | $47,427,704.52 |
BSC | 0xd65025a2dd953f529815bd3c669ada635c6001b3cc50e042f9477c7db077b4c9 | BUSD | 32,107,854.11 | $32,124,918.14 |
BSC | 0xea37b320843f75a8a849fdf13cd357cb64761a848d48a516c3cac5bbd6caaad5 | USDC | 298.9405633 | $299.04 |
ETH | 0xad7a2c70c958fcd3effbf374d0acf3774a9257577625ae4c838e24b0de17602a | ETH | 2,857.49 | $8,977,279.13 |
ETH | 0x5a8b2152ec7d5538030b53347ac82e263c58fe7455695543055a2356f3ad4998 | USDC | 96,389,444.23 | $96,430,660.58 |
ETH | 0x3f55ff1fa4eb3437afe42f4fea57903e8e663bc3b17cb982f1c8d4c8f03a2083 | WBTC | 1,032.12 | 46,971,609.47 |
ETH | 0xa7c56561bbe9fbd48e2e26306e5bb10d24786504833103d3f023751bbcc8a3d9 | DAI | 673,227.94 | $673.628.12 |
ETH | 0xc917838cc3d1edd871c1800363b4e4a8eaf8da2018e417210407cc53f94cd44e | UNI | 43,023.75 | $1,242,040.44 |
ETH | 0xe05dcda4f1b779989b0aa2bd3fa262d4e6e13343831cb337c2c5beb2266138f5 | SHIB | 259,737,345,149.52 | $1,974,082.34 |
ETH | 0xb12681d9e91e69b94960611b227c90af25e5352881907f1deee609b8d5e94d7d | renBTC | 14.47265047 | $659,141.75 |
ETH | 0x06aca16c483c3e61d5cdf39dc34815c29d6672a77313ec36bf66040c256a7db3 | USDT | 33,431,197.73 | $33,391,733.96 |
ETH | 0xc797aa9d4714e00164fcac4975d8f0a231dae6280458d78382bd2ec46ece08e7 | Weth | 26,109.06 | $82,052,128.62 |
ETH | 0xd8c1f7424593ddba11a0e072b61082bf3d931583cb75f7843fc2a8685d20033a | FEI | 616,082.59 | $616,082.59 |
Poly | 0x1d260d040f67eb2f3e474418bf85cc50b70101ca2473109fa1bf1e54525a3e01 | USDC | 85,089,610.91 | $85,061,020.80 |
Poly | 0xfbe66beaadf82cc51a8739f387415da1f638d0654a28a1532c6333feb2857790 | USDC | 108.694578 | $108.66 |
Poly Network Hacker -adresser
Poly Network identifierade offentligt tre adresser som påstås kontrolleras av angriparen:
- 0xC8a65Fadf0e0dDAf421F28FEAb69Bf6E2E589963 (ETH)
- 0x0D6e286A7cfD25E0c01fEe9756765D8033B32C71 (BSC)
- 0x5dc3603C9D42Ff184153a8a9094a73d461663214 (POLYGON)
Källa: https://ciphertrace.com/poly-network-suffers-largest-crypto-hack-ever-recorded/
- &
- 11
- Konto
- Alla
- påstås
- tillåta
- AML
- meddelade
- penningtvätt
- tillämpningar
- arbitrage
- tillgång
- Tillgångar
- revision
- AUGUSTI
- Miljarder
- binance
- Blogg
- BRO
- Bug
- SLUTRESULTAT
- BUSD
- företag
- Orsak
- CFTC
- CipherTrace
- hävdar
- koda
- Mynt
- samhällen
- samfundet
- Stämpling
- fortsätta
- kontrakt
- kontrakt
- Brott
- brott
- brottslingar
- gränsöverskridande
- crypto
- <b>PostNord</b>
- datum
- dag
- decentraliserad
- Defi
- Dex
- DID
- Miljö
- ETH
- ethereum
- Utbyten
- utvandring
- Exploit
- vänd
- fejka
- FinCEN
- fingeravtryck
- Fast
- Blixt
- formen
- bedrägeri
- kul
- fonder
- framtida
- lek
- GitHub
- god
- Väx
- hacka
- Hackaren
- hackare
- hacking
- hacka
- Hur ser din drömresa ut
- How To
- HTTPS
- Identitet
- informationen
- Infrastruktur
- Insider
- intresse
- Internet
- Interoperabilitet
- För Investerare
- IP
- problem
- IT
- hålla
- Nyckel
- nycklar
- KYC
- Large
- senaste
- lansera
- LÄRA SIG
- Likviditet
- Lån
- lokal
- Lång
- större
- Majoritet
- Framställning
- miljon
- blandad
- pengar
- övervakning
- flytta
- nät
- nätverk
- nätverk
- anmälan
- Ontologi
- beställa
- Övriga
- Panic
- Lappa
- Personer
- planering
- plattform
- PoC
- privat
- Privata nycklar
- Pro
- projektet
- ombud
- publicera
- Frågor och svar
- kvalitet
- minska
- föreskrifter
- Tillsynsmyndigheter
- REST
- återgår
- Risk
- säker
- sparande
- Skala
- SEC
- Värdepapper
- säkerhet
- sälja
- känsla
- delas
- aktier
- Tecken
- smarta
- smart kontrakt
- Smarta kontrakt
- So
- standarder
- igång
- bo
- stulna
- stödja
- överraskning
- system
- tala
- Teknisk
- temporär
- Testning
- stöld
- tid
- Tips
- token
- tokens
- Transaktioner
- Litar
- användare
- vaspar
- Virtuell
- leverantörer av virtuella tillgångar
- volym
- sårbarheter
- sårbarhet
- plånbok
- Plånböcker
- VEM
- inom
- världen
- noll-