Эксплойт сети Poly

Эксплойт Poly Network — это атака, проведенная анонимными хакерами 10 августа 2021 года. В результате атаки было передано более 610 миллионов долларов в цифровой криптовалюте хакерам . Все активы были возвращены Poly Network в течение следующих 15 дней. Это был один из крупнейших инцидентов безопасности в DeFi истории с точки зрения рыночной стоимости.

Фон

Poly Network — это протокол совместимости, который позволяет пользователям обменивать одну криптовалюту на другую, например обменивать биткойны на Ethereum . ^[1] Перед атакой Poly Network перевела между блокчейнами цифровые активы на сумму 10 миллиардов долларов общей стоимостью почти 1 миллиард долларов.

Атака

Хакеры перевели наиболее ценные цифровые активы на сумму около 610 миллионов долларов США на три контролируемых ими адреса в Ethereum, Binance Smart Chain и Polygon. ^[2]^[3]

После атаки команда Poly попросила биржи и майнеров быть в курсе потока украденных токенов и призвала остановить хакерские транзакции, Tether заморозил USDT на сумму 33 миллиона долларов. В открытом письме в Twitter команда Poly хотела установить связь с хакерами и призвать их вернуть украденные токены. ^{[ нужна ссылка ]}

11 августа 2021 года хакеры объявили, что планируют вернуть токены. Они утверждали, что целью кражи было выявление уязвимостей и обеспечение безопасности Poly Network. Они разместили вопросы и ответы для общения с общественностью, встраивая сообщения в транзакции со своими адресами. ^[4]

Для передачи хакерам требовались адреса с мультиподписью. Poly Network сгенерировала адрес для сбора и приступила к восстановлению активов, которые были возвращены первыми 11 августа. 13 августа хакеры вернули активы на сумму 340 миллионов долларов и перевели большую часть остальных на адрес с мультиподписью, совместно контролируемый ими и Poly. Сеть. ^[5]^[6]

После получения токенов Poly Network начала обращаться к хакерам как « Мистер Белая Шляпа » и предложила наградить их наградой за обнаружение ошибок в размере 500 000 долларов и должностью «главного советника по безопасности» Poly Network в качестве стратегии, обеспечивающей безопасное возвращение токенов. остальные затронутые активы. ^[7]

Последние взломанные деньги были возвращены Poly Network 25 августа. ^[8]

Реакция

Решение Poly Network называть хакеров «белыми шляпами» разозлило некоторых представителей мира безопасности, которые опасались, что это может создать прецедент для хакеров-преступников, которые смогут обелить свои действия. Хакер «Белой шляпы» Кэти Пакстон-Фир сказала, что «называть этот хак «белой шляпой» действительно разочаровывает». ^[9] Чарли Стил, бывший сотрудник Министерства юстиции и ФБР, считал, что «частные компании не имеют полномочий обещать иммунитет от уголовного преследования», и «в этом случае, когда хакер украл 600 миллионов долларов «ради развлечения», а затем вернул большую их часть, все оставаясь анонимным, вряд ли уменьшит обеспокоенность регуляторов по поводу разнообразия рисков, связанных с криптовалютами». ^[9]

Последствия

Poly Network запустила глобальную программу вознаграждения за обнаружение ошибок в Immunefi. Программа направлена на то, чтобы побудить больше агентств безопасности и организаций «белой шляпы» принять участие в аудите основных функций Poly Network, особенно для устранения потенциальных рисков безопасности. Награды распределяются в зависимости от воздействия уязвимости на основе системы классификации серьезности уязвимостей Immunefi — вознаграждения варьируются до 100 000 долларов США за критические уязвимости. ^[10]

Ссылки

^ «Информационный документ Poly Network» (PDF) . Архивировано (PDF) из оригинала 26 октября 2020 г. Проверено 20 мая 2020 г. ^{[ нужен неосновной источник ]}
^ Пончано, Джонатан. «Более 600 миллионов долларов украдено в Ethereum и других криптовалютах — это один из крупнейших взломов криптовалют за всю историю» . Форбс . Архивировано из оригинала 4 декабря 2021 г. Проверено 4 декабря 2021 г.
^ КракенFX (22 сентября 2021 г.). «Злоупотребление смарт-контрактами для кражи 600 миллионов долларов: как на самом деле произошел взлом сети Poly» . Блог Кракена . Архивировано из оригинала 17 июля 2022 г. Проверено 17 июля 2022 г.
^ Рассон, Мэри-Энн (11 августа 2021 г.). «Хакер, ограбивший криптовалюту, вернул 260 миллионов долларов» . Би-би-си . Архивировано из оригинала 11 августа 2021 г. Проверено 11 августа 2021 г.
^ Джон, Алан (14 августа 2021 г.). «Криптовалютная платформа Poly Network вознаграждает хакера «наградой за обнаружение ошибок» в размере 500 000 долларов » . Рейтер . Архивировано из оригинала 13 августа 2021 г. Проверено 14 августа 2021 г.
^ «Злоумышленник Poly Network возвращает средства после крупнейшей кражи DeFi» . Цепной анализ . 2021-08-12. Архивировано из оригинала 17 июля 2022 г. Проверено 17 июля 2022 г.
^ «Хакер в белой шляпе, укравший криптовалюту на сумму 610 миллионов долларов, возвращает большую часть денег» . Хранитель . Проверено 13 августа 2021 г.
^ Браун, Райан (23 августа 2021 г.). «Хакер, стоящий за ограблением криптовалюты на сумму 600 миллионов долларов, возвращает последнюю часть украденных средств» . CNBC . Архивировано из оригинала 17 июля 2022 г. Проверено 17 июля 2022 г.
^ Jump up to: ^а ^б Тайди, Джо (13 августа 2021 г.). «Криптовалютный хакер предложил награду за ограбление на 600 миллионов долларов » Би-би-си . Архивировано из оригинала 12 августа 2021 г. Проверено 13 августа 2021 г.
^ «Poly Network присоединяется к Immunefi с вознаграждением в размере 100 000 долларов США за обнаружение ошибок после взлома» . Архивировано из оригинала 17 августа 2021 г. Проверено 17 августа 2021 г.

[1] «Информационный документ Poly Network» (PDF) . Архивировано (PDF) из оригинала 26 октября 2020 г. Проверено 20 мая 2020 г. ^{[ нужен неосновной источник ]}

[2] Пончано, Джонатан. «Более 600 миллионов долларов украдено в Ethereum и других криптовалютах — это один из крупнейших взломов криптовалют за всю историю» . Форбс . Архивировано из оригинала 4 декабря 2021 г. Проверено 4 декабря 2021 г.

[3] КракенFX (22 сентября 2021 г.). «Злоупотребление смарт-контрактами для кражи 600 миллионов долларов: как на самом деле произошел взлом сети Poly» . Блог Кракена . Архивировано из оригинала 17 июля 2022 г. Проверено 17 июля 2022 г.

[4] Рассон, Мэри-Энн (11 августа 2021 г.). «Хакер, ограбивший криптовалюту, вернул 260 миллионов долларов» . Би-би-си . Архивировано из оригинала 11 августа 2021 г. Проверено 11 августа 2021 г.

[5] Джон, Алан (14 августа 2021 г.). «Криптовалютная платформа Poly Network вознаграждает хакера «наградой за обнаружение ошибок» в размере 500 000 долларов » . Рейтер . Архивировано из оригинала 13 августа 2021 г. Проверено 14 августа 2021 г.

[6] «Злоумышленник Poly Network возвращает средства после крупнейшей кражи DeFi» . Цепной анализ . 2021-08-12. Архивировано из оригинала 17 июля 2022 г. Проверено 17 июля 2022 г.

[7] «Хакер в белой шляпе, укравший криптовалюту на сумму 610 миллионов долларов, возвращает большую часть денег» . Хранитель . Проверено 13 августа 2021 г.

[8] Браун, Райан (23 августа 2021 г.). «Хакер, стоящий за ограблением криптовалюты на сумму 600 миллионов долларов, возвращает последнюю часть украденных средств» . CNBC . Архивировано из оригинала 17 июля 2022 г. Проверено 17 июля 2022 г.

[BBC-9] Jump up to: ^а ^б Тайди, Джо (13 августа 2021 г.). «Криптовалютный хакер предложил награду за ограбление на 600 миллионов долларов » Би-би-си . Архивировано из оригинала 12 августа 2021 г. Проверено 13 августа 2021 г.

[10] «Poly Network присоединяется к Immunefi с вознаграждением в размере 100 000 долларов США за обнаружение ошибок после взлома» . Архивировано из оригинала 17 августа 2021 г. Проверено 17 августа 2021 г.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]