Exploit w sieci Poly
Exploit Poly Network był atakiem przeprowadzonym przez anonimowych hakerów 10 sierpnia 2021 r. W wyniku ataku hakerom przekazano ponad 610 milionów dolarów w cyfrowej kryptowalucie . Wszystkie aktywa zostały zwrócone do Poly Network w ciągu następnych 15 dni. Był to jeden z największych incydentów związanych z bezpieczeństwem w DeFi pod względem wartości rynkowej .
Tło
Poly Network to protokół interoperacyjności, który pozwala użytkownikom wymieniać jedną kryptowalutę na inną, na przykład wymieniając Bitcoin na Ethereum . Przed atakiem Poly Network przesłała 10 miliardów dolarów w aktywach cyfrowych między łańcuchami bloków, o łącznej wartości prawie 1 miliarda dolarów.
Atak
Hakerzy przenieśli około 610 milionów dolarów najcenniejszych zasobów cyfrowych na trzy kontrolowane przez siebie adresy w Ethereum, Binance Smart Chain i Polygon.
Po ataku zespół Poly poprosił giełdy i górników o zwrócenie uwagi na przepływ skradzionych tokenów i wezwał do zatrzymania transakcji hakerów, Tether zamroził USDT o wartości 33 milionów dolarów. W liście otwartym na Twitterze zespół Poly chciał nawiązać komunikację z hakerami i nakłonić ich do zwrotu skradzionych tokenów. [ potrzebne źródło ]
Hakerzy ogłosili 11 sierpnia 2021 r., że planują zwrócić tokeny. Twierdzili, że celem kradzieży było ujawnienie luk w zabezpieczeniach i zabezpieczenie Poly Network. Opublikowali pytania i odpowiedzi, aby komunikować się ze społeczeństwem, umieszczając wiadomości w transakcjach z ich adresami.
Hakerzy wymagali adresów z wieloma podpisami do transferu. Poly Network wygenerowała adres odbioru i zaczęła odzyskiwać aktywa, które zostały zwrócone jako pierwsze 11 sierpnia. 13 sierpnia hakerzy zwrócili aktywa o wartości 340 milionów dolarów, a większość reszty przenieśli na adres z wieloma podpisami, kontrolowany wspólnie przez nich i Poly Sieć.
Po otrzymaniu tokenów, Poly Network zaczęła zwracać się do hakerów per „ Panie Biały Kapelusz ” i zaoferowała im nagrodę za błąd w wysokości 500 000 dolarów oraz stanowisko „głównego doradcy ds. pozostałe aktywa, których to dotyczy.
Ostatnie zhakowane pieniądze zostały zwrócone do Poly Network 25 sierpnia.
Reakcja
Decyzja Poly Network o określeniu hakerów jako „białych kapeluszy” rozgniewała niektórych w świecie bezpieczeństwa, którzy obawiali się, że może to stanowić precedens dla hakerów-przestępców, którzy będą wybielać swoje działania. Hakerka w białym kapeluszu, Katie Paxton-Fear, powiedziała, że „oznaczenie tego hacka jako białego kapelusza jest naprawdę rozczarowujące”. Charlie Steele, były urzędnik Departamentu Sprawiedliwości i FBI, uważał, że „prywatne firmy nie mają prawa obiecywać immunitetu przed ściganiem karnym” i „w tym przypadku, gdy haker ukradł 600 milionów dolarów „dla zabawy”, a następnie zwrócił większość z nich, wszystkie pozostając anonimowym, prawdopodobnie nie zmniejszy obaw organów regulacyjnych dotyczących różnorodności zagrożeń stwarzanych przez kryptowaluty”.
Następstwa
Poly Network uruchomiła globalny program nagród za błędy w Immunefi. Program ma na celu zachęcenie większej liczby agencji bezpieczeństwa i organizacji białych kapeluszy do udziału w audycie podstawowych funkcji Poly Network, zwłaszcza w celu wyeliminowania potencjalnych zagrożeń bezpieczeństwa. Nagrody są rozdzielane zgodnie z wpływem luki w zabezpieczeniach w oparciu o system klasyfikacji ważności luk w zabezpieczeniach Immunefi — nagrody wahają się do 100 000 USD za krytyczne luki w zabezpieczeniach.