Что произошло? 2 июля DeFi-протокол Poly Network подвергся взлому, в результате которого хакеры выпустили различные криптоактивы на миллиарды долларов в 10 сетях. По данным исследователей, им удалось манипулировать функцией смарт-контракта в протоколе межсетевого моста. Инцидент затронул 57 криптовалют в таких блокчейнах, как Ethereum, BNB Chain, Polygon, Avalanche и Heco. Команда проекта приостановила предоставление услуг в связи с эксплойтом. Она не уточнила стоимость украденных монет, при этом компания по кибербезопасности PeckShield озвучила сумму в 5 млн долларов.
Источник: Twitter.com
Что еще известно? Poly Network обратилась за помощью в расследовании к централизованным биржам (CEX) и правоохранителям, а также рекомендовала разработчикам и держателям токенов вывести ликвидность и разблокировать свои активы. В компании надеются, что хакеры вернут средства во избежание проблем с законом.
Источник: Twitter.com
По данным исследователя под ником Arhat, эксплойт стал результатом уязвимости смарт-контракта, которая позволила хакерам «создать вредоносный параметр, содержащий поддельную подпись валидатора и заголовок блока». Таким образом они обошли процесс проверки и выпустили токены из Ethereum-пула Poly Network на собственный адрес в сетях Metis, BNB Chain и Polygon. Процесс повторялся для других блокчейнов, что позволило накопить большое количество токенов.
В какой-то момент в кошельке хакеров оказались токены на сумму около 42 млрд долларов. При этом они смогли конвертировать и украсть лишь малую часть стоимостью $400 000. Он отметил, что большинство монет не имело ликвидности.
Источник: Twitter.com
Представители поставщика решений по безопасности блокчейна Dedaub отметили слабые места в мультиподписи протокола, заявив, что в течение двух лет использовалась простая схема «3 из 4». Кроме того, закрытые ключи к адресам были скомпрометированы.
В Dedaub пояснили, что атака не была сложной, поскольку не были использованы логические ошибки. Эксперты добавили, что команда Poly Network реагировала медленно, потратив семь часов, что стоило платформе 5,5 млн долларов в виде украденной криптовалюты. При этом отсутствие ликвидности во многих токенах предотвратило дальнейшие потери.
Источник: Twitter.com
После взлома Poly Network гендиректор Binance Чанпэн Чжао успокоил клиентов, заявив, что «эксплойт не затрагивает пользователей биржи, поскольку она не поддерживает депозиты из этой сети».
Источник: Twitter.com
Poly Network уже подвергалась атаке в августе 2021 года. Тогда хакеры, связанные с северокорейской группой Lazarus Group, похитили более 600 млн долларов.