Các chi tiết khác đang được đưa ra ánh sáng sau cuộc tấn công vào ngày 2 tháng 7 trên nền tảng cross-chain bridge PolyNetwork, dẫn đến việc một hacker có thể phát hành hàng tỷ token ngoài luồng để kiếm lợi nhuận.
Trong một bài đăng trên Twitter vào ngày 2 tháng 7, PolyNetwork đã xác nhận rằng họ đã trở thành nạn nhân bởi một cuộc tấn công DeFi mới nhất sau khi những kẻ tấn công thao túng chức năng hợp đồng thông minh trên giao thức cross-chain bridge, đồng thời bổ sung rằng họ sẽ tạm thời đình chỉ các dịch vụ.
Trong bản cập nhật gần đây nhất, đội ngũ đã tiết lộ việc tấn công đã ảnh hưởng đến 57 tài sản tiền điện tử trên 10 blockchain bao gồm Ethereum, BNB Chain, Polygon, Avalanche, Heco, OKx và các loại khác như Metis.
Nó không chỉ rõ số tiền đã bị đánh cắp trong cuộc tấn công nhưng Peckshield trước đó đã báo cáo rằng kẻ khai thác đã chuyển số tiền điện tử trị giá ít nhất 5 triệu USD ra ngoài.
“Chúng tôi đã bắt đầu liên lạc với các sàn giao dịch tập trung và các cơ quan thực thi pháp luật, đồng thời tìm kiếm sự hỗ trợ từ họ,” đội ngũ cho biết trong bản cập nhật ngày 3 tháng 7.
Nó cũng khuyên các nhóm dự án và chủ sở hữu token rút thanh khoản và mở khóa token LP (nhà cung cấp thanh khoản) của họ.
Vụ hack ’34 tỷ’ Poly Network
Nhà phân tích bảo mật DeFi @0xArhat cho biết việc khai thác này là kết quả của lỗ hổng hợp đồng thông minh cho phép tin tặc “tạo ra một tham số độc hại có chứa chữ ký xác thực giả mạo và tiêu đề khối (block header)”.
Điều này đã được hợp đồng thông minh chấp nhận cho phép tin tặc bỏ qua quy trình xác minh cho phép chúng phát hành token từ nhóm Ethereum của Poly Network đến địa chỉ của chính chúng trên các chain khác, chẳng hạn như Metis, BNB Chain và Polygon.
Quá trình này được lặp lại đối với các chain khác cho phép kho token được tích lũy.
Nhà phân tích cho biết tại một thời điểm, ví của hacker chứa khoảng 42 tỷ USD token nhưng chỉ có thể chuyển đổi và đánh cắp một phần trong số đó.
“Bằng cách này, tin tặc đã có thể đúc hàng tỷ token trên nhiều blockchain khác nhau chưa tồn tại trước đó và chuyển chúng đến địa chỉ ví của họ.”
Vụ tấn công Poly Network mới nhất đã được nhà cung cấp giải pháp bảo mật blockchain Dedaub đặt tên là “vụ hack 34 tỷ Poly Network”.
Getting to the bottom of the "34 billion" Poly network hack with a technical postmortem.
TL ; DR
Poly network had a simple 3 of 4 multisig arrangement over 2 years!
Looking at the final event we found that the private keys to the addresses marked were compromised. pic.twitter.com/Y0eMJXcYso
— Dedaub (@dedaub) July 2, 2023
Dedaub lưu ý những điểm yếu trong đa chữ ký của giao thức nói rằng nó có sự sắp xếp đa chữ ký “3 trên 4” đơn giản trong hơn hai năm, ông nói thêm:
“Nhìn vào sự kiện cuối cùng, chúng tôi thấy rằng các khóa riêng của các địa chỉ được đánh dấu đã bị xâm phạm.”
Dedaub giải thích rằng cuộc tấn công không phức tạp vì không có lỗi logic nào bị khai thác. Nó nói thêm rằng Poly Network đã phản hồi chậm trong bảy giờ, khiến nền tảng phải trả 5,5 triệu USD tiền điện tử bị đánh cắp.
May mắn thay, việc thiếu thanh khoản trong nhiều token đã ngăn chặn tổn thất tiếp theo.
Sau vụ tấn công, Giám đốc điều hành Binance, Changpeng Zhao đã trấn an khách hàng, nói rằng “Điều này không ảnh hưởng đến người dùng Binance. Chúng tôi không hỗ trợ tiền gửi từ mạng này.”
Poly Network got rekt again; allegedly because of compromised hot keys.
It's going to keep happening untill our industry changes our approach to security.
Smart contract audits only scratch the surface.
ps Poly network has NOTHING to do with Polygon. https://t.co/n1qI48b4Kb
— Mudit Gupta (@Mudit__Gupta) July 2, 2023
PolyNetwork đã bị tấn công một lần trước đó trong một trong những vụ khai thác lớn nhất của ngành vào tháng 8 năm 2021 khi các tin tặc, sau đó được tiết lộ là có liên hệ với tập đoàn hack Lazarus Group của Triều Tiên, đã kiếm được hơn 600 triệu USD.
Tin Tức Bitcoin tổng hợp.
