Неизвестные атаковали криптовалютный межсетевой протокол Poly Network и выпустили токены на десятки миллиардов долларов на нескольких блокчейнах. Команда остановила работу моста.
Неизвестному злоумышленнику или группе хакеров удалось обменять Ethereum на сумму более 10 миллионов долларов после успешной атаки на кросс-чейн мост Poly Network в это воскресенье.
Кроссчейн-мосты являются межсетевыми протоколами и позволяют переводить токены между различными блокчейн-сетями, блокируя активы в одной и выпуская в другой.
В ходе взлома злоумышленники заполучили возможность выпускать токены на разных блокчейнах в огромных количествах. По оценкам экспертов Beosin, хакеры отчеканили монет на 34 млрд. долл. США.
«Poly Network подвергся повторной хакерской атаке после 2021 года. Хакер произвел эмиссию активов на сумму более 34 млрд долларов в нескольких цепочках».
В Beosin при этом добавили, что «обналичить» удалось только порядка 10 млн долл. США по причине нехватки ликвидности в обменных пулах.
«Хакер, атаковавший Poly Network обменял в общей сложности 5196 ETH (~$10,1 млн) на блокчейне Ethereum. Другие токены (~$260 млн) злоумышленник не смог обналичить из-за низкой ликвидности».
После инцидента Poly Network сообщила своим пользователям, что работа сервиса будет временно приостановлена. В компании также отметили, что в ходе атаки были затронуты 57 активов на следующих 10 блокчейнах: Ethereum, BNB Chain, Polygon, Avax, Fantom, Optimism, Arbitrium, Gonosis, Heco и OKX.
В Poly Network заявили о намерении сотрудничать с централизованными биржами и правоохранительными органами в устранении последствий инцидента. Платформа порекомендовала разработчикам и держателям токенов вывести ликвидность и разблокировать свои LP-токены, а также выразила надежду, что злоумышленник вернет похищенные активы, что потенциально позволит избежать юридических последствий.
«Мы также настоятельно рекомендуем пользователям, владеющим затронутыми активами, ускорить процесс вывода ликвидности и разблокировки своих токенов LP [Liquidity Provider – поставщиков ликвидности]. Мы глубоко признательны вам за терпение и понимание в этот сложный период».
По данным криптоаналитика под ником Arhat, хакеры воспользовались уязвимостью в смарт-контракте, которая позволила хакерам «создать вредоносный параметр, содержащий поддельную подпись валидатора и заголовок блока». Таким образом они обошли процесс проверки и выпустили токены из Ethereum-пула Poly Network на собственный адрес в сетях Metis, BNB Chain и Polygon. Процесс повторялся для других блокчейнов, что позволило накопить большое количество токенов.
«Кросс-чейн взлом Poly Network на $34 млрд. Взлом произошел из-за уязвимости смарт-контракта в одном из инструментов кросс-чейн моста Poly Network».
Однако аналитики по безопасности из Beosin and Dedaub предположили, что атака на Poly Network могла произойти в результате компрометации или кражи закрытых ключей, используемых в основном смарт-контракте платформы, а не из-за конкретной уязвимости в самом смарт-контракте. По их словам, приватные ключи трех из четырех кошельков администраторов, которые обеспечивают работу основного смарт-контракта проекта, были скомпрометированы.
«Закрытые ключи Poly Network были потенциально скомпрометированы или же мультиподпись-систему подверглась атаке. Хакер использовал поддельные доказательства для инициирования операций вывода средств по контрактам межсетевого моста в нескольких цепочках».
«Техническое вскрытие взлома сети Poly на 34 миллиарда. Вкратце. В Poly network использовали простую систему с мультиподписью по схеме 3 из 4 [для подтверждения транзакции необходимо активирование 3 подписей из 4] в течение 2 лет! Закрытые ключи к отмеченным адресам были скомпрометированы».
Этот инцидент стал вторым крупным взломом системы безопасности Poly Network. В 2021 году кто-то украл из проекта активы на сумму 611 миллионов долларов, но позже вернул их.
Источник: The Block.
Читайте также:
Начать торговать и присоединиться к криптовалютному сообществу можно здесь.
Можете также почитать наши статьи на других площадках: