2 июня неизвестные атаковали межсетевой протокол Poly Network и выпустили токены на десятки миллиардов долларов на нескольких блокчейнах. Команда остановила работу моста.
«Уважаемые пользователи, мы хотели бы сообщить, что Poly Network временно приостанавливает свои сервисы из-за недавней атаки. Мы активно взаимодействуем с соответствующими сторонами и тщательно оцениваем объем затронутых активов», — сообщили разработчики.
Кроссчейн-мосты позволяют переводить токены между сетями, блокируя активы в одной и выпуская в другой. Предположительно, хакеры смогли манипулировать производящим операции смарт-контрактом.
Злоумышленники эмитировали в свою пользу 10 млрд BUSD и 100 млн BNB (~$24,5 млрд на тот момент) на Metis, 999 трлн SHIB на Heco и миллионы токенов в других сетях.
По предварительной оценке команды Poly Network, инцидент затронул 57 различных токенов на 10 блокчейнах.
Согласно PeckShield, на определенный момент в кошельке хакеров находились активы суммарной стоимостью $42,8 млрд.
Эксперты компании Dedaub назвали эксплойт «взломом Poly Network на $34 млрд». По их данным, злоумышленники не использовали какие-либо уязвимости, а скомпрометировали три из четырех закрытых ключей адресов мультиподписи для управления смарт-контрактом.
Специалисты обратили внимание, что команда протокола использовала в течение двух лет простую мультисиг-схему «3 из 4».
В Dedaub также отметили, что разработчики Poly Network не реагировали на атаку в течение семи часов. Это позволило хакерам продать активы примерно на $5,5 млн. Извлечь большую прибыль им помешало отсутствие достаточной ликвидности в сетях.
Команда Metis подтвердила, что по этой причине у атаковавших протокол не было никакой возможности реализовать выпущенные BUSD и BNB на сумму около $34,5 млрд.
В августе 2021 года неизвестные взломали Poly Network и вывели $611 млн в различных криптовалютах. В течение месяца хакеры вернули протоколу все средства и даже отправленное им вознаграждение в размере 160 ETH (~$500 000 на тот момент).
Напомним, за первую половину 2023 года криптоиндустрия потеряла около $655,6 млн в результате взломов и мошенничеств.