Hackertámadás érte a Poly Network platformot, több millió dollárt loptak el
Fokozatosan érkeznek az újabb részletek a Poly Network nevű cross-chain bridge platformot ért július 2-i támadást követően, melynek következtében egy hacker több milliárd tokent tudott a semmiből kibocsátani profitszerzés céljából.
Egy július 2-i Twitter-bejegyzésben a Poly Network megerősítette, hogy egy DeFi exploit támadás áldozata lett, miután a támadóknak sikerült manipulálniuk a cross-chain bridge protokoll egyik okosszerződés funkcióját. Hozzátették, hogy ideiglenesen felfüggesztik a szolgáltatásaikat.
A legfrissebb közleményben a csapat felfedte, hogy a támadás 10 blokkláncon – köztük az Ethereum, BNB Chain, Polygon, Avalanche, Heco, OKx – 57 kriptoeszközre volt hatással. Azt nem pontosították, hogy mennyit loptak el a támadás során. De a Peckshield korábban arról számolt be, hogy a hackertámadó legalább 5 millió dollár értékű kriptót utalt ki.
„Már kezdeményeztük a kommunikációt a központi tőzsdékkel és a bűnüldöző szervekkel, és kértük a segítségüket.” – közölte a csapat egy július 3-i frissítésben.
Azt is tanácsolták a projektcsapatoknak és a token tulajdonosoknak, hogy utalják ki az eszközeiket és oldják fel az LP (likviditásszolgáltató) tokenjeiket.
Nem ez volt az első Poly Network hackertámadás
@0xArhat DeFi biztonsági elemző szerint a támadás egy okosszerződés sebezhetőségének eredménye volt, amely lehetővé tette a hacker számára, hogy „egy hamis validáló aláírást és blokkfejlécet tartalmazó rosszindulatú paramétert készítsen”. Ezt az okosszerződés elfogadta, lehetővé téve a hacker számára, hogy megkerülje az ellenőrzési folyamatot. Így tokeneket adhatott ki a Poly Network Ethereum pooljából a saját címére más láncokon, például a Metis, a BNB Chain és a Polygon láncokon. A folyamatot megismételte más láncok esetében is, lehetővé téve a tokenek felhalmozását.
Egy ponton a hacker tárcájában mintegy 42 milliárd dollár értékű token volt. De csak a töredékét tudta átalakítani és ellopni – mondta az elemző.
A Dedaub blokkláncbiztonsági megoldásokat kínáló cég a protokoll multi-sig gyengeségeit állapította meg. Kiemelték, hogy két éven keresztül egy egyszerű „3 a 4-ből” multi-signature elrendezéssel rendelkezett, hozzátéve: „A végső eseményt megvizsgálva azt találtuk, hogy a megjelölt címek privát kulcsai kompromittálódtak”.
Dedaub kifejtette, hogy a támadás nem volt összetett, mivel nem használtak ki logikai hibákat. Hozzátette, hogy a Poly Network lassan reagált, hét órát vett igénybe, ami a platformnak 5,5 millió dollárnyi ellopott kriptóba került. Szerencsére a likviditás hiánya sok token esetében megakadályozta a további veszteségeket.
A támadást követően a Binance vezérigazgatója, Changpeng Zhao megnyugtatta az ügyfeleket, kijelentve, hogy „Ez nem érinti a Binance felhasználóit. Nem támogatunk betéteket ebből a hálózatból”.
A Poly Network platformját már egyszer megtámadták az iparág egyik legnagyobb exploitja során 2021. augusztusában. Ekkor a hackerek – akikről később kiderült, hogy kapcsolatban állnak az észak-koreai Lazarus Group hackerszervezettel – több mint 600 millió dollárral távoztak.