На этой неделе проект Poly Network, созданный для взаимодействия между разными блокчейнами, успешно атаковали хакеры. Сумма убытков от атаки колоссальная — более 600 миллионов долларов. В одночасье инцидент стал крупнейшим взломом криптовалютного протокола за всю историю существования индустрии. Спустя некоторое время появилась первая информация о том, как именно злоумышленникам удалось совершить взлом и что они будут делать с полученными средствами дальше. Рассказываем о ситуации подробнее.
По традиции начнём с объяснения. Взломы проектов в нише криптовалют — не редкость. Они случаются достаточно часто, причём порой такие случаи заканчиваются гибелью хакнутых проектов. К примеру, в январе 2019 года мошенники взломали криптобиржу Cryptopia, которая в итоге так и не смогла восстановиться и вернуться к работе.
Сам взломанный проект Poly Network ставил перед собой амбициозную цель: разработчики хотели объединить разные блокчейны между собой — по типу Эфириума, BSC, Solana или Avalanche — и позволить их пользователям взаимодействовать с разными сетями. В итоге это должно было закончиться созданием «интернета нового поколения». Именно такой слоган находится на сайте проекта.
Поскольку проектом пользовались юзеры разных сетей, их было достаточно много. Собственно, этим в том числе и объясняется рекордная сумма украденных средств. Хотя часть последних в итоге всё же вернули.
Как взломали Poly Network?
Согласно первоначальному анализу китайского аудитора BlockSec, взлом может быть результатом либо «утечки приватного ключа, который используется для подписи межсетевого сообщения», либо «ошибкой в процессе подписания транзакций в сети Poly». Сообщается, что первоначально хакер или группа хакеров начали выводить полученные средства на адреса в сетях Эфириум, Binance Smart Chain и Polygon.
Напомним, приватный ключ — уникальная комбинация из букв и цифр, которая служит своего рода пропуском к содержимому криптовалютного адреса. Наличие приватного ключа позволяет пользователю утверждать, что криптовалюта действительно ему принадлежит. Вдобавок с помощью ключа он может распоряжаться монетами, то есть отправлять их на разные адреса или использовать их для обмена на децентрализованных биржах.
Разработчик Эфириума Мудит Гупта отметил, что Poly Network использует multisig-кошелёк для транзакций. В этой конфигурации четыре человека имеют доступ к ключу для подписания транзакций, при этом как минимум трое должны использовать свои ключи для непосредственно самой подписи для проведения перевода цифровых активов.
Напомним, технология multisig подразумевает использование нескольких подписей для проведения транзакции. По сути для отправки средств нужно получить одобрение нескольких людей-владельцев приватных ключей. Если нужное число подписей не собирается, значит провести перевод не получится. Обычно данную технологию используют основатели криптовалютных бирж. Таким образом они страхуются от возможного взлома и нечестности со стороны кого-то из представителей проекта.
Вот цитата эксперта по этому поводу, в которой он делится видением происходящего. Реплику приводит Decrypt.
Злоумышленник заполучил доступ к полномочиям как минимум трёх хранителей ключей, а затем использовал их, чтобы сменить механизм подписи на одноразовый.
То есть мошенник не просто получил доступ к трём ключам из четырёх существующих, но и применил их для ликвидации механизма мультиподписи. По сути этим он упростил свои дальнейшие действия и развязал руки.
При этом у аналитиков команды по кибербезопасности SlowMist есть другая версия произошедшего. По их словам, атака на проект произошла из-за уязвимости в функции смарт-контракта, которая позволяет менять уже упомянутых хранителей приватных ключей. Таким образом злоумышленникам удалось перенаправить средства на свои кошельки. То есть утечки важной информации не было, к ней добрались через проблемы в коде самого протокола.
Сам Гупта не согласен с этим — у себя в Твиттере он отметил, что в SlowMist, возможно, упускают из вида некоторые детали.
В SlowMist забыли, что любая информация, которую пользователь вносит в блокчейн, должна быть подписана хранителями. Хакеры смогли либо украсть их приватные ключи, либо обманом заставили подписать какой-то вредоносный код.
В SlowMist намекнули, что после их исследования следов деятельности злоумышленников нет никаких предпосылок для того, чтобы инцидент мог оказаться целенаправленным саботажем изнутри Poly Network. То есть возможная версия того, что создатели проекта сами сбежали с деньгами, отпадает.
Чуть позже появилась информация о том, что хакеры сделали заявление: они вернут обратно средства, украденные из Poly Network. Ниже в обозревателе блокчейна отмечены транзакции по возврату средств. На момент написания статьи было возвращено уже 1000 BTC, 26 629 ETH и почти 120 миллионов BUSD.
Соответственно, начальная сумма убытков стала меньше. Однако пока взлом Poly в любом случае остаётся крупнейшим случаем взлома проекта из ниши децентрализованных финансов.
Скорее всего, это было сделано или как публичный жест, или из-за банальной невозможности вывести потраченные монеты: всё же криптокошельки злоумышленников почти сразу же после взлома оказались в чёрных списках многих платформ и бирж. Вдобавок нам уже известны прецеденты возврата средств после хакерских атак на криптовалютные протоколы, а значит в таком развитии событий нет ничего нового.
Мы считаем, что данное происшествие станет ещё одним шагом в развитии индустрии криптовалют. И хотя потерю средств нельзя назвать приятным событием, без таких событий нельзя обойтись на пути развития новой технологии, которой и являются цифровые активы на базе блокчейна. Хочется надеяться, что в дальнейшем случаев взломов популярных проектов будет всё меньше. А число "возвратов" украденных денег только увеличится.