On August 10, Poly Network suffered a $611 million hack—the largest crypto-related hack to date. This attack was especially interesting compared to the majority of DeFi hacks, which typically use a form of flash loans and arbitrage to exploit akıllı sözleşmelerAkıllı sözleşmeler nedir? Akıllı sözleşme bir bilgisayar uzmanıdır ... Daha and smaller amounts of funds. In this case, the hacker found an exploit that allowed him to bypass the private keys and have the smart contract simply send the funds directly to wallets under their control. CipherTrace has confirmed that nearly all the funds have thus far been returned to Poly Network. Poly Network has also confirmed the return on their Twitter feed.
Where the typical DeFi hack is against specific DeFi instruments, resulting in much smaller losses, in this case the attack was against Poly Network’s infrastructure, focusing on the DeFi platform itself and targeting control of the decentralized exchange’s (DEX) smart contracts. As a result, the main cross-chain contract became completely controlled by the hacker, allowing him to unlock tokens that were supposed to be locked within the contract, send the tokens to addresses under their control, and then repeat the attack across chains.
Poly Network nasıl hacklendi?
Poly Network, nispeten bağımsız iki blok zinciri arasında belirteçlerin transferini kolaylaştırmak için zincirler arası bir birlikte çalışabilirlik köprüsü görevi görür. Bu nedenle, ana Poly Network akıllı sözleşmelerinden biri köprünün kendisidir. Zincirler arasındaki köprülerin etkili bir şekilde hareket etmesi için (örneğin, kullanıcıların zincirler arasında jetonları aktarmak için ağı kullanabilmeleri için), büyük miktarda likidite sağlamaları gerekir. Bir kullanıcı zincirler arasında "köprü kurmak" istediğinde, Poly Network'ün ilgili zincirlerdeki eşdeğer varlıkları verimli bir şekilde yakması/basması gerekir.
Bu zincirler arası token transferlerini yayınlayan sözleşme, işlemleri doğrulamak ve yürütmek için “tutucuları” kullanır. Kaleci imza attıktan sonra kaynak zinciri the Çapraz Zincir Yöneticisi üzerinde sözleşme hedef zincir Gardiyan imzasının geçerliliğini kontrol edecek ve “köprü”yü tamamlamak için hedef zincirdeki eşdeğerini yürütecektir.
İşlemleri kullanıcının kendisi değil de akıllı sözleşme yürüttüğü için bilgisayar korsanı, Çapraz Zincir Yöneticisi akıllı sözleşme ve kontrolleri altındaki kötü niyetli bir kaleci için “bekçileri” değiştirin. Sonuç olarak, Poly Network üzerindeki ana zincirler arası sözleşme, tamamen bilgisayar korsanı tarafından kontrol edildi ve köprü sözleşmesinde kilitli kalması gereken jetonların kilidini açmasına ve jetonları kendi kontrolü altındaki adreslere taşımasına izin verdi. Bilgisayar korsanı daha sonra saldırıyı zincirler arasında çoğalttı.
Poly Network hackinin gerçek kurbanları kimler?
Hacker'ın eylemlerinin bir sonucu olarak, kullanıcıların bu sözleşmelerde “kilitlenen” fonları gerçek zarara uğradı. Belirli bireyler tokenleri alınmazken, protokolde kilitli bu kadar büyük bir miktarı kaldırarak, Poly Network artık tüm kullanıcılar fonlarını sözleşmelerden çekmek isterse büyük ölçekli bir çıkışı destekleyecek likiditeye sahip olmayacaktı. Bununla birlikte, DeFi'nin merkezi olmayan doğası nedeniyle, herhangi bir KYC sürecinin ve sınır ötesi erişimin olmaması, gerçek mağdurların kim olduğunu ve nerede bulunduklarını belirlemek neredeyse imkansız olduğu anlamına gelir.
Genel olarak, Poly Network kullanıcılarını etkileyen “risk” ve “davranış” ile kötü tasarlanmış bir akıllı sözleşmeye yönelik karmaşık bir istismardır. Yatırımcılar, Poly Network'ün kendileri değil gerçek kurbanlardır. Muhtemelen, Poly Network, akıllı sözleşmelerinin kalitesini garanti etmeyerek ve böylece yatırımcıları önemli risklere maruz bırakarak, bilgisayar korsanıyla sorumluluğu paylaşır.
Şu anda Poly Network kodunun bir denetim aldığına dair bir gösterge yok. Protokolün GitHub'ında arama yapma repo herhangi bir denetim yapıldığını veya rapor edildiğini göstermedi.
Poly Network hacker returns over half of stolen funds
Poly Network hırsızlığını izleyenleri şaşırtacak şekilde, saldırgan 11 Ağustos'ta çalınan fonların bir kısmını iade etmeye başladı. Bu, internette birçok kişinin merak etmesine neden oldu - neden?
Bilgisayar korsanının izlerini gizlemek için yaptığı tüm takaslarda, bilgisayar korsanının bir noktada, "müşterinizi tanıyın" (KYC) bilgilerini tanımlayabilecek bazı önemli borsalarla daha önce işlemleri olan bir cüzdanı yeniden kullandığı görülüyor. o.
Fonların iadesi göz önüne alındığında, bilgisayar korsanının potansiyel olarak beyaz bir şapka olduğu iddiaları var. Ancak, her zaman parayı iade etmeyi amaçlamış olsaydı, beyaz bir şapkanın fon izini gizlemek için aynı adımları atması pek olası değildir.
Bu blogun yazıldığı sırada CipherTrace, neredeyse tüm fonların Poly Network'e, bilgisayar korsanının fonları iade etmesi için özel olarak geliştirdikleri adreslere iade edildiğini doğruladı. Bu adresler:
- 0x71Fb9dB587F6d47Ac8192Cd76110E05B8fd2142f
- 0xEEBb0c4a5017bEd8079B88F35528eF2c722b31fc
- 0xA4b291Ed1220310d3120f515B5B7AccaecD66F17
Fonlar 10 Ağustos'ta donduruldu (hack günü)
USDT frozen
Fonlar 11 Ağustos'ta iade edildi
Çoklu sözleşme: 85 milyon USDC
BSC sözleşmesi: 256.2 ana tokende (çoğunlukla BTCB, Binance sabitlenmiş ETH, BUSD) 3 milyon dolar ve BNB'de 2.637 milyon dolar
Ethereum sözleşmesi: SHIB, renBTC ve Fei'de 3.4 milyon dolar
Fonlar 12 Ağustos'ta iade edildi
Ethereum contract: $96.42 million DAI
Böylesine büyük bir DeFi hackinin yansımaları
Milletvekilleri, özellikle bu en son Poly Network hackinde gösterildiği gibi, özellikle DeFi hack'lerinin sayısı arttıkça, DeFi düzenlemelerinin uygulanmasını hızlandıracaklar. Nihayetinde, düzenleyicilerin FATF'nin tavsiyelerine göre merkezi olmayan borsaları (DEX'ler) sanal varlık servis sağlayıcıları (VASP'ler) olarak sınıflandırması muhtemeldir. FinCEN'in DEX'leri Para Hizmeti İşletmeleri (MSB'ler) olarak sınıflandırması muhtemeldir; bu, DEX'lerin ve diğer DeFi uygulamalarının kara para aklamayı önleme (AML) ve KYC yükümlülüklerini yerine getirmesi gerekeceği anlamına gelir. Ayrıca CFTC'nin DeFi topluluklarını düzenlemesini ve SEC'in DeFi menkul kıymet düzenlemelerini düzenlemesini beklerdim.
Ayrıca akıllı sözleşme kalite standartları daha katı hale gelecek, denetim standartları ortaya çıkacaktır. Ayrıca, DeFi “sigorta piyasası”, doğru DeFi teknik risklerini yeterince değerlendirebilecek ve altında tutabilecek şekilde gelişecek ve olgunlaşacaktır.
DeFi saldırıları yıl için 2 milyar dolara yaklaşıyor - sırada ne var?
Bu hack, kaliteyi sağlamak ve koddaki güvenlik açıklarını azaltmak için akıllı sözleşme güvenliği ve denetim standartlarının önemini örneklemektedir.
son haberimize göre Kripto Para Suçu ve Kara Para Aklamayı Önleme RaporuAğustos sonunda, suçlular tarafından 2021'de netleştirilen DeFi-hack hacmi 361 milyon doları buluyor. Bugün, DeFi hack'leri 994 milyon doları oluşturduğundan, 90'in 2021 milyar doları aşan hack hacminin %1.1'ını oluşturduğundan, bugün bu sayı neredeyse üç katına çıktı.
DeFi hack'leri ve dolandırıcılık her çeyrekte katlanarak artmaya devam ederken, trend devam ederse DeFi suçunun geleceği kasvetli görünüyor. DeFi suçları, Poly Network hack tarafından önizlendiği gibi daha karmaşık hale gelmeye devam ederse, akıllı sözleşmelerin daha büyük ölçekli saldırılar için giderek daha fazla hedeflenmesi muhtemeldir.
Ek
11 Ağustos'ta bilgisayar korsanı "zincir üzerinde" bir Soru-Cevap düzenledi. Aşağıdakiler, bazı işlemlerine ilişkin girdi verilerinin kodunun çözülmesiyle görüntülenebilir.
Soru-Cevap, BİRİNCİ BÖLÜM:
S: NEDEN HACKING?
C: EĞLENCE İÇİN 🙂
S: NEDEN POLY NETWORK?
C: ÇAPRAZ ZİNCİR HACKING SICAKTIR
S: NEDEN TOKEN AKTARILIYOR?
C: GÜVENLİ TUTMAK İÇİN.
HATAYI BELİRLEDİĞİMDE, KARIŞIK BİR HİSSEM OLDU. KENDİNİZE BU KADAR KAZANÇLA KARŞILAŞTIĞINIZDA NE YAPACAĞINIZI SORUN. PROJE EKİBİNİN DÜZELTİLMESİ İÇİN KESİNLİKLE İSTİYOR MUSUNUZ? HERKES BİR MİLYAR VERİLEN HAİN OLABİLİR! KİMSEYE GÜVENMEYECEĞİM! BULABİLECEĞİM TEK ÇÖZÜM KENDİMİ _ANONİM_ VE _GÜVENLİ_ TUTARAK GÜVENİLİR BİR HESAPTA KAYDETMEK.
ŞİMDİ HERKES BİR KOMPLO HİSSESİ KOKUSU ALIYOR. İÇİNDEKİLER? BEN DEĞİL AMA KİM BİLİR? HERHANGİ BİR İÇERİĞİ GİZLEMEDEN VE SÖMÜRMEDEN ÖNCE, KESİNTİSİZ AÇIĞI AÇMA SORUMLULUĞUNU ALDIM!
S: NEDEN BU KADAR SOFİSTİKASYON?
C: POLY AĞ UYGUN BİR SİSTEMDİR. BİR HACKER'IN OYNAYABİLECEĞİ EN ZORLU SALDIRILARDAN BİRİDİR. VE HERHANGİ BİR İÇİ VEYA HACKER'I GEÇMEK İÇİN HIZLI OLMAM GEREKİRDİ, BONUS MÜCADELE OLARAK ALDIM 🙂
S: MARUZ KALIR MISINIZ?
C: HAYIR. ASLA. KÖTÜ BİR ŞEY YAPMADIM BİLE KENDİMİ MARUZ KALMA RİSKİNİ ANLADIM. BU NEDENLE İZLENMEYEN GEÇİCİ E-POSTA, IP VEYA _SO ÇAĞRILAN_ PARMAK İZİ KULLANDIM. KARANLIKTA KALIP DÜNYAYI KURTARMAYI TERCİH EDERİM.
https://etherscan.io/tx/0x1fb7d1054df46c9734be76ccc14fa871b6729e33b98f9a3429670d27ec692bc0
Soru-Cevap, İKİNCİ BÖLÜM:
S: 30 SAAT ÖNCE GERÇEKTEN NE OLDU?
UZUN HİKAYE.
İNANIN YA DA İNANMAYIN, OYUNU OYNAMAK İÇİN ZORLANMIŞTIM.
POLY AĞI KARŞILAŞTIRILMIŞ BİR SİSTEMDİR, YEREL BİR TEST ORTAMI OLUŞTURMAYI YAPAMADIM. BAŞINDA BİR POC ÜRETİMİ BAŞARISIZ OLDUM. ANCAK, AHA ANI BEN VERMEDEN HEMEN ÖNCE GELDİ. BÜTÜN GECE HATA AYIKLAMADAN SONRA, ONTOLOJİ AĞINA _TEK_ BİR MESAJ OLUŞTURDUM.
ETH, BSC, POLYGON & HECO: DÖRT AĞI DEVAM ETMEK İÇİN HUZURLU BİR BLITZKRIEG BAŞLATMAYI PLANLIYORDUM. ANCAK HECO AĞI YANLIŞ GİDER! RÖLE DİĞERLERİ GİBİ DAVRANIŞ DEĞİLDİR, BİR KORUYUCU SADECE ÇALIŞMAMI DOĞRUDAN AKTARDI VE ANAHTAR BAZI YANLIŞ PARAMETRELERLE GÜNCELLENDİ. PLANIMI BOZDU.
O AN DURMAM GEREKİRDİ, AMA GÖSTERİYİ DEVAM ETMEYE KARAR VERDİM! HİÇBİR BİLDİRİM YAPMADAN HATAYI GİZLİ BİR ŞEKİLDE YAMALARSA NE YAPARLAR?
ANCAK, KRİPTO DÜNYASINDA GERÇEK_ PANİK YAPMAK İSTEMEDİM. BEN BU KADAR PARALARI GÖSTERMEYİ SEÇTİM, BU NEDENLE İNSANLAR ONLARIN SIFIRLANACAKLARI KONUSUNDA ENDİŞE ETMESİNE GEREK YOKTUR. ÖNEMLİ TOKENLER ALDIM (SHIB HARİÇ) VE HİÇBİRİNİ SATMADIM.
S: O halde NEDEN AHIRLAR SATILIYOR/TAKAS YAPILIYOR?
C: İLK YANITLARI İÇİN POLY TAKIMI TARAFINDAN KIZILDIM.
BEN CEVAP VERECEĞİMDEN ÖNCE BAŞKALARINI BENİ SUÇLAMAYA VE BENDEN NEFRET ETMEYE ÇAĞIRDILAR! SAHTE DEFI PARASI OLDUĞUNU DÜŞÜNDÜM, AMA ONLARI AKLAMA PLANI OLMADIĞINDAN CİDDİ ALAMADIM.
Bu arada, POLİ TAKIMI İLE MÜZAKERE ETMEK İÇİN DAHA FAZLA ZAMAN OLABİLMEK İÇİN AHIRLARI YATIRMAK OLASI MALİYETLERİ KARŞILAMAK İÇİN BİRAZ FAİZ KAZANABİLİR.
https://etherscan.io/tx/0xd4ee4807c07702a3202f45666983855d7fa22eb1c230e4c1e840fc9389e54729
Soru-Cevap, ÜÇÜNCÜ BÖLÜM:
S: NEDEN 13.37 Bahşiş?
C: ETHEREUM TOPLULUĞUNDAN SICAKLIK HİSSEDİYORUM.
HECO'DAN SORUNLARI ARAŞTIRMAK VE Scriptlerimde Hata Ayıklamakla Meşguldüm. NEDEN YATIRIM YAPAMAYACAĞIM AĞ OLUŞTURMA SORUNLARI OLDUĞUNU DÜŞÜNDÜM (GELİŞMİŞ BİR PROXYİN ARDINDA OLDUM). BU NEDENLE ÇOCUKLA İYİ NİYETİMİ PAYLAŞTIM.
S: NEDEN TORNADO VE DAO'YA SORUYORSUNUZ?
C: BU KADAR ÇOK HACKING'E TANIK OLARAK, TORNADO'YA YATIRIM YAPMANIN AKILLI AMA MUHTEŞEM BİR KARAR OLDUĞUNU BİLİYORDUM. ORİJİNAL NİYETİMİN KARŞISINDA OLDU. KİŞİ KAYNAKLI HACKER OLMAK BU KADAR DİLİNDE TANIŞTIKTAN SONRA KÖTÜ ŞAKAM OLDU 🙂
S: NEDEN GERİ DÖNÜYORSUNUZ?
C: BU DAİMA PLANDIR! PARA İLE ÇOK İLGİLENMİYORUM!İNSANLAR SALDIRILDIĞINDA AŞIRI OLDUĞUNU BİLİYORUM AMA BU TÜKETİMLERDEN BİR ŞEY ÖĞRENMELERİ GEREKİR değil mi? DÖNÜŞ KARARINI GECE GECE ÖNCE DUYURDUM BU NEDENLE BANA İNANAN İNSANLAR İYİ DİNLENMELİ 😉
S: NEDEN YAVAŞÇA DÖNÜYORSUNUZ?
C: POLİ TAKIMI İLE KONUŞMAK İÇİN ZAMANA İHTİYACIM VAR. Üzgünüm, KENDİ KİMLİĞİMİ GİZLERKEN ONURMU KANITLAMANIN BİLDİĞİM TEK YOL BU. VE biraz dinlenmeye ihtiyacım var.
S: POLİ EKİBİ?
C: ONLARLA KISACA KONUŞMAYA BAŞLADIM, GÜNLÜKLER ETHERUM'DA. ONLARI YAYINLAYABİLİR YA DA YAYINLAMAYABİLİRİM. Çektikleri Acılar GEÇİCİ AMA UNUTMAYACAKTIR.
ONLARA GELECEKTE MİLYARLIK PROJEYİ YÖNETMEYE UYGUN OLABİLMELERİ İÇİN AĞLARININ GÜVENLİĞİNE YÖNELİK İPUÇLARI VERMEK İSTİYORUM. POLY NETWORK İYİ TASARLANMIŞ BİR SİSTEMDİR VE DAHA FAZLA VARLIĞI İŞLEYECEKTİR. TWITTER'DA BİRÇOK YENİ TAKİPÇİSİ VAR, değil mi?
https://etherscan.io/tx/0xe954bed9abc08c20b8e4241c5a9e69ed212759152dd588bb976b47eca353a5bc
Poly Network Hack'ten alınan değer
zincir | TX Hash'i | varlık | miktar | $ değer |
BSC | 0x534966864bda354628d4f1c66db45cbefcdda7433e9576e7664fea01bb05be9a | BNB | 6,613.44 | $2,460,861.21 |
BSC | 0xd59223a8cd2406cfd0563b16e06482b9a3efecfd896d590a3dba1042697de11a | USDC | 87,603,373.77 | $87,624,502.53 |
BSC | 0x4e57f59395aca4847c4d001db4a980b92aab7676bc0e2d57ee39e83502527d6c | ETH | 26,629.16 | $85,896,083.66 |
BSC | 0x50105b6d07b4d738cd11b4b8ae16943bed09c7ce724dc8b171c74155dd496c25 | BTCB | 1,023.88 | $47,427,704.52 |
BSC | 0xd65025a2dd953f529815bd3c669ada635c6001b3cc50e042f9477c7db077b4c9 | BUSD | 32,107,854.11 | $32,124,918.14 |
BSC | 0xea37b320843f75a8a849fdf13cd357cb64761a848d48a516c3cac5bbd6caaad5 | USDC | 298.9405633 | $299.04 |
ETH | 0xad7a2c70c958fcd3effbf374d0acf3774a9257577625ae4c838e24b0de17602a | ETH | 2,857.49 | $8,977,279.13 |
ETH | 0x5a8b2152ec7d5538030b53347ac82e263c58fe7455695543055a2356f3ad4998 | USDC | 96,389,444.23 | $96,430,660.58 |
ETH | 0x3f55ff1fa4eb3437afe42f4fea57903e8e663bc3b17cb982f1c8d4c8f03a2083 | WBTC | 1,032.12 | 46,971,609.47 |
ETH | 0xa7c56561bbe9fbd48e2e26306e5bb10d24786504833103d3f023751bbcc8a3d9 | DAI | 673,227.94 | $673.628.12 |
ETH | 0xc917838cc3d1edd871c1800363b4e4a8eaf8da2018e417210407cc53f94cd44e | UNI | 43,023.75 | $1,242,040.44 |
ETH | 0xe05dcda4f1b779989b0aa2bd3fa262d4e6e13343831cb337c2c5beb2266138f5 | SHIB | 259,737,345,149.52 | $1,974,082.34 |
ETH | 0xb12681d9e91e69b94960611b227c90af25e5352881907f1deee609b8d5e94d7d | RenBTC | 14.47265047 | $659,141.75 |
ETH | 0x06aca16c483c3e61d5cdf39dc34815c29d6672a77313ec36bf66040c256a7db3 | USDT | 33,431,197.73 | $33,391,733.96 |
ETH | 0xc797aa9d4714e00164fcac4975d8f0a231dae6280458d78382bd2ec46ece08e7 | Weth | 26,109.06 | $82,052,128.62 |
ETH | 0xd8c1f7424593ddba11a0e072b61082bf3d931583cb75f7843fc2a8685d20033a | FEI | 616,082.59 | $616,082.59 |
Çoklu | 0x1d260d040f67eb2f3e474418bf85cc50b70101ca2473109fa1bf1e54525a3e01 | USDC | 85,089,610.91 | $85,061,020.80 |
Çoklu | 0xfbe66beaadf82cc51a8739f387415da1f638d0654a28a1532c6333feb2857790 | USDC | 108.694578 | $108.66 |
Çoklu Ağ Hacker Adresleri
Poly Network, saldırgan tarafından kontrol edildiği iddia edilen üç adresi herkese açık olarak belirledi:
- 0xC8a65Fadf0e0dDAf421F28FEAb69Bf6E2E589963 (ETH)
- 0x0D6e286A7cfD25E0c01fEe9756765D8033B32C71 (BSC)
- 0x5dc3603C9D42Ff184153a8a9094a73d461663214 (POLYGON)
Kaynak: https://ciphertrace.com/poly-network-suffers-largest-crypto-hack-ever-recorded/
- &
- 11
- Hesap
- Türkiye
- iddiaya göre
- Izin
- AML
- açıkladı
- kara para aklama
- uygulamaları
- arbitraj
- varlık
- Varlıklar
- denetim
- Ağustos
- Milyar
- binance
- Blog
- KÖPRÜ
- Böcek
- inşa etmek
- BUSD
- işletmeler
- Sebeb olmak
- CFTC
- CipherTrace
- iddia
- kod
- Paraları
- topluluklar
- topluluk
- Komplo
- devam etmek
- sözleşme
- sözleşmeleri
- Suç
- Suçları
- Suçlular
- Sınır ötesi
- kripto
- DAO
- veri
- gün
- Merkezi olmayan
- Defi
- Dex
- DID
- E-posta
- çevre
- ETH
- Ethereum
- Değişimleri
- göç
- sömürmek
- karşı
- sahte
- FinCEN
- parmak izi
- sabit
- flaş
- Airdrop Formu
- dolandırıcılık
- eğlence
- para
- gelecek
- oyun
- GitHub
- Tercih Etmenizin
- Büyümek
- kesmek
- Hacker
- hackerlar
- hack
- kesmek
- Ne kadar
- Nasıl Yapılır
- HTTPS
- Kimlik
- bilgi
- Altyapı
- içerideki
- faiz
- Internet
- Birlikte çalışabilirlik
- Yatırımcılar
- IP
- sorunlar
- IT
- koruma
- anahtar
- anahtarlar
- KYC
- büyük
- son
- başlatmak
- ÖĞRENİN
- Likidite
- Krediler
- yerel
- Uzun
- büyük
- çoğunluk
- Yapımı
- milyon
- karışık
- para
- izleme
- hareket
- ağ
- ağ
- ağlar
- tebliğ
- Ontoloji
- sipariş
- Diğer
- Panik
- Patch
- İnsanlar
- planlama
- platform
- PoC
- özel
- Özel Anahtarlar
- başına
- proje
- vekil
- yayınlamak
- Soru-Cevap
- kalite
- azaltmak
- yönetmelik
- Denetleyiciler
- DİNLENME
- İade
- Risk
- güvenli
- tasarruf
- ölçek
- SEC
- Senetler
- güvenlik
- satmak
- duyu
- Paylaşılan
- Paylar
- İşaretler
- akıllı
- akıllı sözleşme
- Akıllı Sözleşmeler
- So
- standartlar
- başladı
- kalmak
- çalıntı
- destek
- sürpriz
- sistem
- konuşma
- Teknik
- geçici
- Test yapmak
- hırsızlık
- zaman
- ipuçları
- simge
- Jeton
- işlemler
- Güven
- kullanıcılar
- damarlar
- Sanal
- sanal varlık servis sağlayıcıları
- hacim
- güvenlik açıkları
- güvenlik açığı
- Cüzdan
- Cüzdan
- DSÖ
- içinde
- Dünya
- sıfır