Атака на Poly Network раскрыла недостатки DeFi: детали крупнейшего взлома в истории

Не так давно криптовалютное общество всколыхнула шокирующая новость о взломе  Poly Network, который уже успели окрестить крупнейшим не только в сети децентрализованных финансов (DeFi), но и во всей истории криптоиндустрии.

Хакер, личность которого все еще остается неизвестной, воспользовавшись уязвимостью в кроссчейне, протоколе цифровой структуры Poly Network, смог украсть 611 миллионов долларов в различной криптовалюте из трех различных блокчейнов.

По данным Poly Network, в общей сложности было украдено примерно 273 миллиона долларов из сети Ethereum, 85 миллионов долларов в монетах (USDC) из сети Polygon и 253 миллиона долларов из Binance Smart Chain. 

Как удалось взломать Poly Network?

По мнению соучредителя агрегатора DeFi 1inch Network Антона Букова, подобное удалось хакеру из-за того, что он смог обнаружить неисправность в одной из подсистем Poly Network, предназначенной для пересылки взаимодействий смарт-контрактов пользователей между различными блокчейнами.

Он объяснил, что хакер сперва связал фиктивные транзакции в одной цепочке, после чего заключил системный контракт с другой цепочкой. А права собственности на хранилище активов передал на открытый ключ.

Таким образом, ошибка разработчиков и аудиторов Poly Network, которые упустили из виду или проигнорировали уязвимость, позволяющую совершать множественные произвольные вызовы пользователей через привилегированный смарт-контракт, обошлась в кругленькую сумму.

Как заявил Cointelegraph главный финансовый аналитик CipherTrace Джон Джеффрис, этот взлом отличается от всех предыдущих атак не только масштабностью, но и способом взлома.

По его словам, хакер смог найти уязвимость, позволившую ему обойти систему закрытых ключей и заставить смарт-контракт отправлять средства самому себе.

“Возможно, в какой-то момент хакер повторно использовал кошелек, с уже зафиксированными предыдущими транзакциями с некоторыми известными биржами, которые могли бы идентифицировать информацию KYC о нем”, — добавил Джеффрис.

Кроме того, Джеффрис сомневается, что хакер изначально намеревался возвращать деньги, поскольку в таком случае он бы не пытался скрыть след украденных средств. 

Хотя, если эта атака не была заказанной со стороны Poly Network для проверки надежности систем, такие действия являются противозаконной деятельностью, за которую придется нести уголовную ответственность. Поэтому, неудивительно, что хакер предпринял все возможные меры предосторожности.

Вскоре после взлома хакер, используя встроенные сообщения в транзакции Ethereum рассказал, что сеть Poly Network была выбрана для атаки из-за того, что нынче весьма популярно кроссчейн-хакерство. А сама атака готовилась довольно долго, поскольку требовалось время на изучение слабостей системы и нахождение необходимой лазейки.

Хакер заявил, что никогда не намеревался присвоить украденные 611 миллионов долларов. Его целью было раскрыть уязвимость сети пользователям до того, как разработчики Poly Network смогут ее тайно исправить.

Он посчитал более безопасным не сообщать команде об ошибке, поскольку не был уверен в том, что его открытие предатели компании не используют для кражи средств, которые уже вряд ли кто-то вернет.

“Я никому не могу доверять! Это было единственным решением, которое я смог придумать”, — объяснил хакер.

Все украденные деньги были возвращены!

В четверг, 12 августа, компания Poly Network заявила, что все украденные 611 миллионов долларов были возвращены хакером на специальный кошелек с мультиподписью. Конечно за исключением токенов Tether (USDT) на сумму 33 миллиона долларов, которые были заморожены сразу после новостей об атаке.

Сперва хакер вернул часть украденных средств межсетевому протоколу DeFi. По данным CipherTrace, более 265 миллионов долларов были возвращены Poly Network в виде 1 миллиона долларов США в долларах США; 256,2 миллиона долларов в BTCB и BUSD; 2,637 миллиона долларов в Binance Coin (BNB) и 3,4 миллиона долларов в шиба-ину (SHIB), renBTC и Fei.

Как утверждал сам хакер, целью всей атаки было преподать дорогой урок Poly Network по безопасности, а деньги он хотел вернуть изначально.

Однако главный научный сотрудник аналитической компании Elliptic Том Робинсон, считает, что на самом деле хакеру было чрезвычайно трудно отмыть или обналичить украденные активы из-за прозрачности блокчейна.

После выяснения всех обстоятельств взлома и возвращения украденных денег, представитель Poly Network заявил, что компания готова предложить хакеру, которого компания окрестила “мистером Вайтхет”, вознаграждение в размере 500 000 долларов США  в качестве вознаграждения за выявление уязвимости сети. Но хакер вежливо отказался.

Теперь же, когда все деньги возвращены, уязвимость сети выявлена и, возможно, даже уже исправлена разработчиками Poly Network, общество больше всего интересует личность эксцентричного “благодетеля”, которая до сих пор остается загадкой.

Однако, возможно вскоре это и прояснится, поскольку китайская компания по кибербезопасности SlowMist объявила, что смогла идентифицировать адрес электронной почты, IP-адрес и отпечаток устройства хакера, атаковавшего Poly Network.

В любом случае надеюсь, что в будущем протоколы безопасности DeFi и других систем будут прорабатывать и проверять гораздо тщательнее.

Post a Comment