Mặc dù có vẻ như các vụ tấn công tiền điện tử đang có xu hướng giảm, nhưng chỉ gần đây, thị trường đã chứng kiến một trong những cuộc tấn công lớn nhất từ trước đến nay trong lịch sử non trẻ của ngành tài chính phi tập trung (DeFi), trong đó một hacker vô danh có thể khai thác lỗ hổng trong chuỗi chéo giao thức khung kỹ thuật số của Poly Network, qua đó kiếm được 610 triệu đô la từ ba blockchains riêng biệt.
Mạng Poly là một dự án hợp tác do Ontology, Neo và Switcheo điều hành. Nó tìm cách thúc đẩy một “liên minh giao thức tương tác không đồng nhất” tích hợp các blockchains vào hệ sinh thái chuỗi chéo lớn hơn. Nhờ cơ sở hạ tầng của nó, giao thức cho phép người dùng hoán đổi mã thông báo trên các blockchain khác nhau một cách liền mạch.
Nghiên cứu kỹ hơn về sự phát triển, nhóm nhà phát triển cốt lõi của Poly Network đã tiết lộ rằng cuộc tấn công kết quả khoảng 273 triệu đô la từ Ethereum, 85 triệu đô la Mỹ Coin (USDC) từ mạng Polygon và 253 triệu đô la từ Chuỗi thông minh Binance bị xâm phạm. Hơn nữa, một lượng lớn renBTC, Bitcoin được bọc (wBTC) và Ether được bao bọc (wETH) cũng bị mất như một phần của hoạt động khai thác.
Liên quan đến cách vụ hack xảy ra, Anton Bukov, đồng sáng lập của DeFi tổng hợp 1inch Network, nói với Cointelegraph rằng một trong những hệ thống con của Poly Network – được thiết kế để có khả năng chuyển tiếp các tương tác hợp đồng thông minh của người dùng giữa các blockchain khác nhau – hóa ra là bị lỗi, thêm:
“Tin tặc đã bắc cầu các tương tác giao dịch giả mạo trên một chuỗi để làm cho hệ thống hợp đồng với một chuỗi khác, chuyển quyền sở hữu kho tài sản sang khóa công khai của tin tặc. Các nhà phát triển và kiểm toán viên của Poly Network đã không nhận thấy lỗ hổng bảo mật, cho phép nhiều cuộc gọi của người dùng tùy ý thông qua một hợp đồng thông minh có nhiều đặc quyền ”.
Đội một chiếc mũ trắng
Cung cấp suy nghĩ của mình về vấn đề này, John Jefferies, giám đốc phân tích tài chính của CipherTrace, nói với Cointelegraph rằng sự cố này đặc biệt thú vị so với bất kỳ vụ hack DeFi nào trước đây, thường sử dụng hình thức cho vay nhanh và chênh lệch giá để khai thác hợp đồng thông minh và ăn cắp tiền, thêm:
“Về cơ bản, hacker đã tìm thấy một cách khai thác cho phép anh ta vượt qua các khóa cá nhân và có hợp đồng chỉ gửi tiền cho chính anh ta. Trong tất cả các hoạt động hoán đổi mà tin tặc đã thực hiện nhằm lật tẩy dấu vết của họ, có vẻ như tại một thời điểm, tin tặc đã sử dụng lại một chiếc ví đã có các giao dịch trước đó với một số sàn giao dịch nổi bật có thể nhận dạng thông tin KYC về anh ta. “
Ngoài ra, Jefferies không hoàn toàn bị thuyết phục về ý định của hacker, mặc dù tất cả số tiền bị đánh cắp hiện đã trở lại nơi chúng thuộc về. “Không có khả năng một chiếc mũ trắng đã thực hiện các bước để cố gắng làm xáo trộn đường mòn quỹ nếu họ luôn có ý định trả lại tiền,” ông nói.
Trong một sự kiện kỳ lạ nhưng thú vị, ngay sau khi vi phạm, hacker Poly Network đã thực hiện một cuộc phỏng vấn theo kiểu Ask Me Anything, sử dụng các thông điệp được nhúng trong các giao dịch Ethereum. Khi được hỏi về lý do tại sao Mạng Poly được chọn làm mục tiêu, hacker trả lời “hack chuỗi chéo đang rất nóng”, nói thêm rằng họ đã dành rất nhiều thời gian để cố gắng xác định các lỗ hổng trên mạng để khai thác.
Không chỉ vậy, hacker này còn tuyên bố rằng kế hoạch không bao giờ là giữ 610 triệu USD mà là để lộ lỗ hổng bảo mật trước công chúng trước khi các nhà phát triển của Poly Network có thể bí mật sửa lỗi. “Tôi muốn cung cấp cho họ [Poly Network] mẹo về cách bảo mật mạng của họ, để họ có thể đủ điều kiện quản lý một tỷ [dollar] dự án trong tương lai. ” Anh ấy tiếp tục bổ sung thêm:
“Khi phát hiện ra con bọ, tôi có nhiều cảm xúc lẫn lộn. Hãy tự hỏi bản thân bạn sẽ làm gì nếu bạn phải đối mặt với một vận may như vậy. Hỏi nhóm dự án một cách lịch sự để họ có thể sửa chữa nó? Bất cứ ai cũng có thể là kẻ phản bội được đưa ra một tỷ. Tôi có thể tin tưởng không ai cả! Giải pháp duy nhất mà tôi có thể nghĩ ra là lưu nó vào một tài khoản đáng tin cậy ”.
Các khoản tiền đã trở lại
Poly Network đã phát hành một tuyên bố vào thứ Năm thông báo rằng tất cả 610 triệu đô la trong số tiền đã được chuyển nhượng đến một ví multisig nằm trong tầm ngắm của nó cùng với tin tặc. Các mã thông báo duy nhất còn lại bao gồm Tether (USDT) trị giá 33 triệu đô la, đã bị đóng băng ngay sau khi có tin tức về cuộc tấn công.
Tin tặc Poly Network bắt đầu bằng cách trả lại một phần đáng kể số tiền bị đánh cắp cho giao thức DeFi chuỗi chéo. Thật vậy, chỉ hơn một ngày sau sự kiện, CipherTrace xác nhận rằng ít nhất 265 + triệu đô la đã được trả lại cho Poly Network dưới dạng 1 triệu đô la USDC; 256,2 triệu đô la chủ yếu thông qua Bitcoin BEP-2 (BTCB), Binance neo-Ether và Binance USD (BUSD); 2,637 triệu đô la trong Binance Coin (BNB); và 3,4 triệu đô la trong Shiba Inu (SHIB), renBTC và Fei.
Ngay từ đầu, kẻ tấn công đã tuyên bố sẵn sàng trả lại toàn bộ số tiền bị đánh cắp – một lời hứa đã được đưa ra vào thứ Năm tuần trước – tuyên bố rằng mục đích là để dạy cho Poly một bài học đắt giá về các lỗi bảo mật của nó.
Tuy nhiên, Tom Robinson, nhà khoa học trưởng tại công ty phân tích blockchain Elliptic, cho rằng sự thay đổi của trái tim có thể là do thực tế là tin tặc nhận thấy rất khó khăn để rửa / rút tiền từ các tài sản bị đánh cắp do tính minh bạch của chuỗi khối.
Sebastian Bürgel, người sáng lập giao thức bảo mật dữ liệu dựa trên Ethereum HOPR, nói với Cointelegraph rằng mặc dù trộm cắp không bao giờ là một điều tốt, nhưng anh ấy nghĩ rằng thật ấn tượng khi cộng đồng DeFi có thể xích lại gần nhau – từ việc Tether đóng băng USDT trị giá 33 triệu đô la cho OKEx và Binance cho vay hỗ trợ trong việc giám sát các khoản tiền bị bòn rút – để ngăn chặn tin tặc rút hoặc trao đổi bất kỳ tài sản nào có liên quan, thêm vào:
“Hy vọng rằng nó sẽ khuyến khích sự tập trung nhiều hơn vào bảo mật và kiểm toán. Sự nhiệt tình của DeFi rất dễ lây lan, nhưng điều quan trọng cần nhớ là có một giá trị rất lớn đang bị đe dọa. Mong muốn di chuyển nhanh chóng không thể vượt qua an ninh ”.
“Không, cảm ơn,” nói “Mr. Mũ trắng”
Sau khi xác định động cơ của tin tặc là hoàn toàn trong sạch, người phát ngôn của Poly Network nói rằng công ty sẵn sàng đề nghị cá nhân – người mà công ty gọi là “Mr. White Hat, ”- tiền thưởng 500.000 đô la thông qua một thông báo có nội dung“ Chúng tôi sẽ gửi cho bạn khoản tiền thưởng trị giá 500k khi số tiền còn lại được trả lại ngoại trừ USDT bị đóng băng. ”
Đáng ngạc nhiên, hacker đã lịch sự từ chối, nói rằng anh ta không bao giờ đáp lại lời đề nghị. “Tôi sẽ gửi lại tất cả tiền của họ,” anh ta nói, ký tên.
Liên quan: Làm thế nào để các giao thức DeFi bị tấn công?
Với tất cả các khoản tiền được quay trở lại – trừ USDT bị đóng băng nói trên – có vẻ như vụ hack lớn nhất trong lịch sử tài chính phi tập trung cuối cùng đã kết thúc. Và mặc dù danh tính của kẻ tấn công tiếp tục là một bí ẩn, công ty an ninh mạng Trung Quốc SlowMist gần đây đã phát hành một bản cập nhật tuyên bố rằng đội bảo mật của họ đã có thể xác định địa chỉ email, địa chỉ IP và vân tay thiết bị của kẻ tấn công.
Hy vọng rằng, tập phim này là một lời nhắc nhở nghiêm khắc về việc bảo mật phải luôn là tầm quan trọng hàng đầu khi đặt nền móng cho bất kỳ dự án nào, bất kể đề xuất công nghệ của nó như thế nào. Do đó, sẽ rất thú vị khi thấy các công ty khởi nghiệp và các công ty khác hoạt động trong DeFi tiếp tục phát triển và nâng cấp các thiết lập bảo mật hiện có của họ như thế nào vì trong lần tiếp theo, hacker có thể không muốn trả lại tiền.
.
