" Хотя казалось, что количество криптографических хакерских атак сокращается, совсем недавно рынок стал свидетелем одной из крупнейших атак в молодой истории децентрализованных финансов (DeFi), в которой неизвестный хакер смог использовать лазейку в Poly Network, тем самым уйдя с 610 миллионами долларов от трех отдельных блокчейнов.
Poly Network - это совместный проект, возглавляемый Ontology, Neo и Switcheo. Он направлен на создание «альянса гетерогенных протоколов взаимодействия», интегрирующего блокчейны в более крупную межцепочечную экосистему. Благодаря своей инфраструктуре, протокол позволяет пользователям легко обменивать токены между различными блокчейнами.
Продолжая разработку, основная команда разработчиков Poly Network показала, что в результате атаки было взломано примерно 273 миллиона долларов из Ethereum, 85 миллионов долларов в монетах (USDC) из сети Polygon и 253 миллиона долларов из Binance Smart Chain. Кроме того, в результате эксплойта были потеряны значительные количества renBTC, обернутого биткойна (wBTC) и обернутого эфира (wETH).
Что касается того, как произошел взлом, Антон Буков, соучредитель агрегатора DeFi 1inch Network, сказал Cointelegraph, что одна из подсистем Poly Network, предназначенная для пересылки взаимодействий смарт-контрактов пользователей между различными блокчейнами, оказалась неисправен, добавив:
«Хакер связал фиктивные транзакционные взаимодействия в одной цепочке, чтобы заключить системный контракт с другой, передав права собственности на хранилище активов на открытый ключ хакера. Разработчики и аудиторы Poly Network не заметили уязвимости, позволяющей совершать множественные произвольные вызовы пользователей через смарт-контракт, имеющий множество привилегий ».
Надеваю белую шляпу
Высказывая свои мысли по этому поводу, Джон Джеффрис, главный финансовый аналитик CipherTrace, сказал Cointelegraph, что этот инцидент был особенно интересен по сравнению с любыми взломами DeFi в прошлом, которые обычно использовали форму флэш-кредитов и арбитража для использования смарт-контрактов и украсть средства, добавив:
«Хакер, по сути, нашел эксплойт, который позволил ему обойти закрытые ключи и заставить контракт просто отправлять средства самому себе. Во всех обменах, которые хакер сделал, чтобы скрыть свой след, похоже, что в какой-то момент хакер повторно использовал кошелек, в котором уже были предыдущие транзакции с некоторыми известными биржами, которые могли бы идентифицировать информацию KYC о нем ».
Кроме того, Джеффрис не совсем уверен в намерениях хакера, хотя все украденные средства теперь вернулись на свои места. «Маловероятно, что белая шляпа предприняла бы шаги, чтобы попытаться скрыть след средств, если бы они всегда намеревались вернуть деньги», - считает он.
По странному, но интересному повороту событий, вскоре после взлома хакер Poly Network провел самоинтервью в стиле Ask Me Anything, используя встроенные сообщения в транзакции Ethereum. На вопрос о том, почему именно сеть Poly была выбрана в качестве цели, хакер ответил: «Кроссчейн-хакинг - это популярно», добавив, что они потратили много времени, пытаясь определить уязвимости в сети, которые можно использовать.
Мало того, хакер утверждал, что его план никогда не состоял в том, чтобы оставить 610 миллионов долларов, а скорее раскрыть уязвимость массам, прежде чем разработчики Poly Network смогут тайно исправить ошибку. «Я хотел бы дать им [Poly Network] советы о том, как защитить свои сети, чтобы они могли иметь право управлять проектом на миллиард [долларов] в будущем». Далее он добавил:
«Когда я заметил ошибку, у меня возникли смешанные чувства. Спросите себя, что бы вы сделали, если бы столкнулись с такой удачей. Вежливо спросить команду проекта, чтобы они могли это исправить? Любой может быть предателем при условии, что один миллиард. Я никому не могу доверять! Единственное решение, которое я могу придумать, - это сохранить его в надежной учетной записи ».
Средства возвращены
В четверг Poly Network опубликовала заявление, в котором сообщается, что все 610 миллионов долларов из средств были переведены на кошелек с мультиподписью, который находится в ее ведении вместе с хакером. Единственные оставшиеся токены включают Tether (USDT) на сумму 33 миллиона долларов, которые были заморожены сразу после новостей об атаке.
Хакер Poly Network начал с того, что вернул значительную часть украденных средств межсетевому протоколу DeFi. В самом деле, чуть более чем через день после мероприятия CipherTrace подтвердил, что по крайней мере 265+ миллионов долларов были возвращены Poly Network в виде 1 миллиона долларов в долларах США; 256,2 миллиона долларов в основном через Bitcoin BEP-2 (BTCB), привязанный эфир Binance и Binance USD (BUSD); 2,637 миллиона долларов в Binance Coin (BNB); и 3,4 миллиона долларов в сиба-ину (SHIB), renBTC и Fei.
С самого начала злоумышленник утверждал, что готов вернуть все украденные средства - обещание, данное в прошлый четверг, - утверждая, что намерение состояло в том, чтобы преподать Поли дорогостоящий урок о недостатках его безопасности.
Однако Том Робинсон, главный научный сотрудник аналитической компании Elliptic, считает, что изменение взглядов могло быть связано с тем, что хакеру было чрезвычайно трудно отмыть / обналичить украденные активы из-за прозрачности блокчейн.
Себастьян Бюргель, основатель протокола конфиденциальности данных HOPR на основе Ethereum, сказал Cointelegraph, что, хотя кражи никогда не бывают хорошей вещью, он считает впечатляющим, что сообщество DeFi смогло объединиться - от Tether, заморозившего USDT на 33 миллиона долларов до OKEx и Binance предоставляет руку помощи в мониторинге перекачиваемых средств - чтобы хакер не мог вывести или обменять какие-либо задействованные активы, добавив:
«Надеюсь, это побудит больше внимания уделять безопасности и аудиту. Энтузиазм DeFi заразителен, но важно помнить, что на карту поставлена огромная ценность. Желание действовать быстро не может превзойти безопасность ».
«Нет, спасибо», - говорит «Мистер "Белая шляпа"
После того, как мотивы хакера были полностью чисты, представитель Poly Network сказал, что компания была готова предложить человеку, которого компания назвала «мистером». Белая шляпа »- вознаграждение в размере 500 000 долларов США в сообщении, которое гласит:« Мы отправим вам вознаграждение в размере 500 000 долларов США, когда будут возвращены оставшиеся средства, за исключением замороженных USDT ».
Удивительно, но хакер вежливо отказался, заявив, что так и не ответил на предложение. «Я отправлю все их деньги обратно», - сказал он, подписывая контракт.
Когда все средства вернулись на свои места - за исключением вышеупомянутого замороженного USDT - похоже, что крупнейший взлом в истории децентрализованных финансов, наконец, подошел к концу. И хотя личность хакера продолжает оставаться загадкой, китайская компания по кибербезопасности SlowMist недавно выпустила обновление, в котором утверждается, что ее группа безопасности смогла идентифицировать адрес электронной почты, IP-адрес и отпечаток устройства злоумышленника.
Надеюсь, этот эпизод послужит строгим напоминанием о том, что безопасность всегда должна иметь первостепенное значение при закладке основы любого проекта, независимо от его технологического предложения. Поэтому будет интересно посмотреть, как стартапы и другие фирмы, работающие в рамках DeFi, будут продолжать развиваться и обновлять свои существующие настройки безопасности, потому что в следующий раз хакер может не захотеть возвращать деньги.
