Tin tặc PolyNetwork đã đánh cắp 600 triệu đô la như thế nào? Chuyên gia bảo mật chỉ tay

Hơn bảy giờ sau khi nó được báo cáo lần đầu tiên, chi tiết về một vụ khai thác thu được 600 triệu đô la tài sản kỹ thuật số từ PolyNetwork đã chậm được xuất hiện. Trong trường hợp không có một cuộc kiểm tra toàn diện, các nhóm an ninh mạng đã đưa ra một lệnh cấm chung cho các lập trình viên đằng sau mạng tương thích chuỗi chéo: Điều này là do bạn.

Các khoản tiền liên quan đến cuộc tấn công đã được truy tìm đến ba địa chỉ riêng biệt — mỗi địa chỉ trên Ethereum, Chuỗi thông minh Binancevà Polygon.

Đối với chuỗi sự kiện có số tiền bị chi sai ở đó, các chuyên gia bảo mật có những ý kiến ​​khác nhau - với một số người đi xa hơn là cáo buộc đồng nghiệp của họ đánh lừa công chúng.

Theo phân tích ban đầu của kiểm toán viên an ninh BlockSec có trụ sở tại Trung Quốc, họ cảnh báo rằng họ chưa xác minh, hành vi trộm cắp có thể là kết quả của “sự rò rỉ khóa riêng được sử dụng để ký tin nhắn xuyên chuỗi” hoặc “ một lỗi trong quá trình ký của PolyNetwork đã bị lạm dụng để ký một tin nhắn giả mạo.”

Các nhà nghiên cứu khác cũng nói bóng gió về các hoạt động bảo mật kém có thể đã dẫn đến việc đánh cắp các khóa cá nhân được nhóm PolyNetwork sử dụng để ủy quyền các giao dịch.

Nhà phát triển Ethereum và nhà nghiên cứu bảo mật Mudit Gupta đã viết PolyNetwork sử dụng ví multisig để giao dịch. Trong cấu hình của nó, bốn người có quyền truy cập vào khóa để ký giao dịch và ba người phải ký: “Kẻ tấn công đã nắm giữ ít nhất 3 người giữ và sau đó sử dụng chúng để thay đổi người giữ thành một người giữ duy nhất”. Trên thực tế, hacker đã khóa chúng lại. (Ban đầu Gupta nghĩ Poly đã sử dụng đa chữ ký 1/1.)

Nhóm bảo mật chuỗi khối SlowMist cho biết đó không hẳn là những gì đã xảy ra. Thay vào đó, kẻ tấn công đã lợi dụng lỗ hổng trong chức năng hợp đồng thông minh để thay đổi người giữ nó, định tuyến lại dòng tiền đến địa chỉ của chính kẻ tấn công. “Sự kiện này không xảy ra do rò rỉ khóa riêng của người giữ,” nó báo cáo.

PolyNetwork đã tweet lại bài đăng trên blog, trong khi Gupta hoàn toàn không đồng ý với SlowMist, cho rằng bất lực hoặc tham nhũng.

Bất kể kẻ tấn công có được khóa cá nhân hay khai thác một hợp đồng thông minh yếu, một cách để thực hiện một trong hai điều đó là chịu trách nhiệm. Nhưng đó có phải là một công việc bên trong không? Rốt cuộc, theo công ty phân tích blockchain CipherTrace, cái gọi là kéo thảm, một loại lừa đảo thoát, là hình thức gian lận tiền điện tử phổ biến nhất năm ngoái. 

Còn quá sớm để nói. SlowMist cho biết họ “đã nắm được hộp thư, IP và dấu vân tay thiết bị của kẻ tấn công thông qua theo dõi trên chuỗi và ngoài chuỗi, đồng thời đang theo dõi các manh mối nhận dạng có thể có liên quan đến kẻ tấn công Poly Network.” Nhưng cuộc điều tra của nó vẫn chưa dẫn đến việc một giám đốc điều hành tại Poly cầm súng hút thuốc. (Hoặc, nếu có, SlowMist vẫn chưa nói.)

Trong khi đó, vẫn chưa rõ liệu kẻ tấn công có thể sử dụng số tiền này hay không. PolyNetwork cũng đã yêu cầu “những người khai thác các sàn giao dịch blockchain và tiền điện tử bị ảnh hưởng đưa các token vào danh sách đen” từ địa chỉ của kẻ khai thác. Đáp lại, Tether cho biết họ đã đóng băng 33 triệu USDT có liên quan đến vụ tấn công, trong khi các giám đốc điều hành tại Binance, OKEx và Huobi cam kết sẽ giúp hạn chế thiệt hại.

Tuy nhiên, hacker đã đưa đến đưa ra những lời chế nhạo từ chuỗi khối Ethereum, bằng cách thêm tin nhắn vào các khối. “SAO NẾU TÔI TẠO MỘT TOKEN MỚI VÀ ĐỂ DAO QUYẾT ĐỊNH ĐÂU ĐÂU,” họ viết trong một tin nhắn.

Có lẽ, nhưng có lẽ ai đó nên viết các hợp đồng thông minh cho điều đó.

Nguồn: https://decrypt.co/78250/how-did-polynetwork-hacker-steal-600-million-security-experts-point-fingers