Як хакер PolyNetwork вкрав 600 мільйонів доларів? Експерти з безпеки показують пальцями

Понад сім годин після того, як про це було вперше повідомлено, деталі про експлоатацію, яка залучила 600 мільйонів доларів США на цифрові активи від PolyNetwork, з’являлися повільно. За відсутності всебічного аудиту групи з кібербезпеки висловили спільний рефрен програмістам, що стоять за мережею сумісності між ланцюжками: це залежить від вас.

Кошти, пов'язані з атакою, були відстежені за трьома окремими адресами - по одній на кожній Ethereum, Смарт ланцюжок Binance та Багатокутник.

Щодо ланцюжка подій, які отримали там неправомірні кошти, експерти з безпеки мають різні думки - деякі навіть доходять до звинувачення своїх колег у введенні в оману громадськості.

Відповідно до початкового аналізу китайського аудитора безпеки BlockSec, який він попередив, що ще не перевірив, крадіжка могла бути результатом «або витоку закритого ключа, який використовується для підпису міжланцюжкового повідомлення», або « помилка в процесі підписання PolyNetwork, яка була використана для підписання створеного повідомлення».

Інші дослідники також натякали на погану практику безпеки, що могло призвести до крадіжки приватних ключів, які використовуються командою PolyNetwork для авторизації транзакцій.

Розробник Ethereum та дослідник безпеки Mudit Gupta пише що PolyNetwork використовує багатопідписний гаманець для транзакцій. У його конфігурації чотири людини мають доступ до ключа для підписання транзакцій, а троє повинні підписати: «Зловмисник отримав принаймні 3 кіперів, а потім використав їх, щоб змінити кіперів на одного кіпера». По суті, хакер заблокував їх. (Спочатку Гупта думав, що Poly використовує мультисиг 1/1.)

Команда безпеки блокчейну SlowMist каже, що це не зовсім те, що сталося. Натомість, як сказано, зловмисник скористався недоліком у функції смарт-контракту, щоб змінити його власника, перенаправивши потік коштів на власну адресу зловмисника. «Ця подія не сталася через витік закритого ключа зберігача», — йдеться в повідомленні. повідомляє.

PolyNetwork ретвітнув пост у своєму блозі, тоді як Гупта категорично не погодився з SlowMist, припускаючи або грубе імпотенцію, або корупцію.

Незалежно від того, чи отримав зловмисник приватні ключі, чи скористався слабким смарт -контрактом, один із способів зробити це - це бути відповідальним. Але чи це була внутрішня робота? Зрештою, за даними аналітичної компанії блокчейн CipherTrace, так звані тяги за килимки, тип афери на вихід, були Найпопулярніша форма крипто -шахрайства минулого року. 

Зарано говорити. SlowMist каже, що «отримав поштову скриньку зловмисника, IP-адресу та відбитки пальців пристрою за допомогою відстеження в ланцюжку та за його межами, а також відстежує можливі підказки щодо ідентифікації, пов’язані з зловмисником Poly Network». Але розслідування ще не привело до того, що керівник Poly тримає в руках димлячу зброю. (Або, якщо так, SlowMist ще не повідомляє.)

Поки що невідомо, чи зможе зловмисник скористатися коштами. PolyNetwork також попросила «майнерів постраждалих блокчейнів і криптобірж внести токени в чорний список» з адрес експлуататора. У відповідь Tether заявив, що заморозив 33 мільйони доларів USDT, пов’язаних з атакою, а керівники Binance, OKEx і Huobi пообіцяли допомогти обмежити збитки.

Хакер, однак, взявся за видаючи насмішки з блокчейну Ethereum, додаючи повідомлення до блоків. «ЩО Я ЗРОБЛЮ НОВИЙ ТОКЕН І ДОЗВОЛЮ DAO ВИРІШИТИ, КУДИ ПІТИ ТОКЕНИ», — написали вони в одному повідомлення.

Можливо, але, можливо, хтось інший повинен написати розумні контракти для цього.

Джерело: https://decrypt.co/78250/how-did-polynetwork-hacker-steal-600-million-security-experts-point-fingers