PolyNetwork Hacker 600 Milyon Doları Nasıl Çaldı? Güvenlik Uzmanları İşaret Ediyor

İlk bildirilmesinden yedi saatten fazla bir süre sonra, PolyNetwork'ten 600 milyon dolarlık dijital varlıkları ele geçiren bir istismarla ilgili ayrıntıların ortaya çıkması yavaş oldu. Kapsamlı bir denetimin yokluğunda, siber güvenlik grupları zincirler arası uyumluluk ağının arkasındaki programcılara ortak bir nakaratta bulundular: Bu size kalmış.

Saldırıyla bağlantılı fonlar, her biri bir adreste olmak üzere üç ayrı adrese kadar takip edildi. Ethereum, Binance Akıllı Zincir, ve Çokgen.

Yanlış yönlendirilen fonları getiren olaylar zincirine gelince, güvenlik uzmanlarının farklı görüşleri var - bazıları meslektaşlarını halkı yanıltmakla suçlayacak kadar ileri gidiyor.

Çin merkezli güvenlik denetçisi BlockSec'in henüz doğrulamadığı konusunda uyardığı bir ilk analize göre, hırsızlık "zincirler arası mesajı imzalamak için kullanılan özel anahtarın sızması" veya " hazırlanmış bir mesajı imzalamak için kötüye kullanılan PolyNetwork'ün imzalama sürecindeki bir hata."

Diğer araştırmacılar da zayıf güvenlik uygulamalarının PolyNetwork ekibi tarafından işlemlere izin vermek için kullanılan özel anahtarların çalınmasına yol açmış olabileceğini ima etti.

Ethereum geliştiricisi ve güvenlik araştırmacısı Mudit Gupta yazdı PolyNetwork, işlemler için çoklu imza cüzdanı kullanır. Yapılandırmasında, dört kişinin işlemleri imzalama anahtarına erişimi vardır ve üç kişinin imzalaması gerekir: "Saldırgan en az 3 kaleci ele geçirdi ve daha sonra onları kalecileri tek bir kaleciyle değiştirmek için kullandı." Aslında, bilgisayar korsanı onları kilitledi. (Gupta başlangıçta Poly'nin 1/1 multisig kullandığını düşündü.)

Blockchain güvenlik ekibi SlowMist, olanın tam olarak bu olmadığını söylüyor. Bunun yerine, saldırganın, koruyucusunu değiştirmek için akıllı sözleşme işlevindeki bir kusurdan yararlandığını ve fon akışını saldırganın kendi adresine yeniden yönlendirdiğini söylüyor. “Bu olayın kalecinin özel anahtarının sızması nedeniyle meydana gelmesi söz konusu değil” dedi. rapor.

PolyNetwork, blog gönderisini retweet ederken, Gupta, SlowMist'e şiddetle karşı çıkarak ya büyük iktidarsızlık ya da yolsuzluk önerdi.

Saldırganın özel anahtarlar elde edip etmediğinden veya zayıf bir akıllı sözleşmeden yararlandığından bağımsız olarak, bunlardan herhangi birini yapmanın bir yolu, sorumlu olmaktır. Ama içeriden bir iş miydi? Sonuçta, blockchain analitik firması CipherTrace'e göre, bir tür çıkış dolandırıcılığı olan halı çekme olarak adlandırılan, en popüler kripto dolandırıcılığı geçen yıl. 

Söylemek için çok erken. SlowMist, "zincir içi ve zincir dışı izleme yoluyla saldırganın posta kutusunu, IP'sini ve cihaz parmak izlerini yakaladığını ve Poly Network saldırganıyla ilgili olası kimlik ipuçlarını izlediğini" söylüyor. Ancak soruşturması henüz Poly'de bir yöneticinin dumanı tüten bir silah tutmasına yol açmadı. (Ya da varsa, SlowMist henüz söylemiyor.)

Bu arada, saldırganın fonları kullanıp kullanamayacağı belli değil. PolyNetwork ayrıca, istismarcının adreslerinden “etkilenen blok zinciri ve kripto borsalarının madencilerinden tokenleri kara listeye almalarını” istedi. Buna karşılık Tether, saldırıyla bağlantılı olarak 33 milyon dolarlık USDT'yi dondurduğunu söylerken, Binance, OKEx ve Huobi'deki yöneticiler hasarı sınırlamaya yardım etme sözü verdi.

Ancak hacker, alay hareketi yapmak bloklara mesajlar ekleyerek Ethereum blok zincirinden. "YENİ BİR TOKEN YAPARSANIZ VE JETONLARIN NEREYE GİDECEĞİNE DAO KARAR VERİRSE NE OLSUN" diye yazdılar. mesaj.

Belki, ama belki de bunun için akıllı sözleşmeleri başka biri yazmalı.

Kaynak: https://decrypt.co/78250/how-did-polynetwork-hacker-steal-600-million-security-experts-point-fingers