Während sich Krypto-Hacks offenbar im Abwärtstrend befinden, erlebte der Markt kürzlich einen der größten Angriffe in der noch jungen Geschichte der Kryptowährungsbranche im dezentralen Finanzwesen (DeFi), bei dem ein anonymer Hacker eine Schwachstelle aufdeckte, die er ausnutzen könnte -chain im digitalen Framework-Protokoll von Poly Networks und verdienen Sie 610 Millionen US-Dollar mit drei separaten Blockchains.

Poly Network ist eine gemeinsame Mission von Ontology, Neo und Switcheo. Es soll eine „heterogene Interoperabilitätsprotokoll-Allianz“ fördern, die Blockchains in das größere kettenübergreifende Ökosystem integriert. Dank seiner Infrastruktur ermöglicht das Protokoll Benutzern den nahtlosen Wechsel von Token auf verschiedenen Blockchains.

Bei näherer Betrachtung des Upgrades entschied das Kernteam von Poly Network, dass es sich um einen Angriff handelte Ergebnis Etwa 273 Millionen US-Dollar von Ethereum, 85 Millionen US-Dollar an US Coin (USDC) vom Polygon Network und 253 Millionen US-Dollar von der Binance Smart Chain wurden kompromittiert. Darüber hinaus wurden im Rahmen des Mining-Prozesses auch große Mengen an renBTC, Wrapped Bitcoin (wBTC) und Wrapped Ether (wETH) verloren.

Bezüglich des Hackerangriffs sagte Anton Bukov, Mitbegründer der DeFi-Kombination 1inch Network, gegenüber Cointelegraph, dass eines der Subsysteme von Poly Network darauf ausgelegt sei, Vertragsinteraktionen weiterzuleiten. Benutzerintelligenz zwischen verschiedenen Blockchains – erwies sich als fehlerhaft, darunter:

„Hacker haben gefälschte Transaktionsinteraktionen auf einer Kette umgangen, um den Systemvertrag mit einer anderen Kette zu signalisieren, und das Eigentum an dem Vermögenswert auf den öffentlichen Schlüssel des Hackers übertragen.“ Die Entwickler und Prüfer von Poly Network haben keine Sicherheitslücke entdeckt, die eine Reihe willkürlicher Anrufe über einen Privileged-Good-Vertrag ermöglicht hätte. „

Tragen Sie einen weißen Hut

John Jefferies, Direktor für Finanzanalyse bei CipherTrace, kommentierte die Angelegenheit und sagte gegenüber Cointelegraph, dass der Vorfall besonders interessant im Vergleich zu früheren DeFi-Hacks sei, die häufig in Form von schneller Kreditvergabe und Arbitrage für Smart Contract Mining und Diebstahl von Münzen erfolgten:

„Im Wesentlichen hat der Hacker einen Exploit gefunden, der es ihm ermöglichte, private Schlüssel zu umgehen und einen Vertrag abzuschließen, der nur Geld an ihn selbst sendet. Von allen Swaps, die Hacker nutzten, um ihre Spuren aufzudecken, scheint es so zu sein, dass der Hacker irgendwann eine Wallet wiederverwendet hat, die frühere Transaktionen mit mehreren Börsen durchgeführt hatte. Prominente Transaktionen können KYC-Informationen über ihn identifizieren. „

Jefferies ist nicht nur von den Absichten des Hackers überzeugt, obwohl alle gestohlenen Gelder wieder dort sind, wo sie hingehören. „Es ist unwahrscheinlich, dass ein White Hat Schritte unternommen hat, um den Weg des Fonds zu verschleiern, wenn er immer die Absicht hat, das Geld zurückzugeben“, erklärte er.

In einer ungewöhnlichen, aber faszinierenden Wendung führte der Hacker von Poly Network kurz nach dem Einbruch ein Interview im Stil von „Ask Me Anything“ durch, bei dem er Nachrichten nutzte, die in Ethereum-Transaktionen eingebettet waren. Auf die Frage, warum das Poly Network im Fokus stehe, antwortete der Hacker: „Cross-Chain-Hacking ist angesagt“ und fügte hinzu, dass er viel Zeit damit verbracht habe, Schwachstellen im Netzwerk herauszufinden, die möglicherweise ausgenutzt werden könnten.

Darüber hinaus sagte dieser Hacker auch, dass der Plan keineswegs darin bestehe, die 610 Millionen US-Dollar zu behalten, sondern vielmehr darin, die Schwachstelle der Öffentlichkeit zugänglich zu machen, bevor die Entwickler von Poly Network sie heimlich reparieren könnten. „Ich muss ihnen [Poly Network] Tipps geben, wie sie ihre Community schützen können, damit sie sich für die Abwicklung eines milliardenschweren [Dollar-]Projekts in der Zukunft qualifizieren können.“ Er fügte hinzu:

„Als ich den Fehler entdeckte, hatte ich gemischte Gefühle. Fragen Sie sich, was Sie tun würden, wenn Sie mit einem solchen Vermögen konfrontiert würden. Bitten Sie die Missionscrew höflich, ihnen zu erlauben, das Problem zu beheben? Jeder kann ein Verräter sein, wenn man ihm eine Milliarde gibt. Ich kann niemandem glauben! Die einzige Lösung, die ich in Betracht ziehen kann, besteht darin, es auf einem vertrauenswürdigen Konto zu speichern. „

Das Geld ist zurück

Poly Network veröffentlichte am Donnerstag eine Erklärung, in der es bekannt gab, dass es die gesamten 610 Millionen US-Dollar an Geldern erhalten habe privaten Transfer an eine Multisig-Wallet, die zusammen mit dem Hacker ins Visier genommen wird. Zu den einzigen verbliebenen Token gehört Tether (USDT) im Wert von 33 Millionen US-Dollar, das kurz nach der Nachricht vom Angriff eingefroren wurde.

Die Hacker von Poly Network begannen, einen erheblichen Teil der gestohlenen Gelder an das kettenübergreifende DeFi-Protokoll zurückzugeben. Tatsächlich bestätigte CipherTrace etwas mehr als einen Tag nach dem Ereignis, dass mindestens 265 Millionen US-Dollar in Form von 1 Million USDC an Poly Network zurückgezahlt wurden; 256.2 Millionen US-Dollar hauptsächlich über Bitcoin BEP-2 (BTCB), Binance Neo-Ether und Binance USD (BUSD); 2.637 Millionen US-Dollar in Binance Coin (BNB); und 3.4 Millionen US-Dollar in Shiba Inu (SHIB), renBTC und Fei.

Der Angreifer behauptete von Anfang an, er sei bereit, das gestohlene Geld vollständig zurückzugeben – ein Versprechen, das er am vergangenen Donnerstag abgegeben hatte – mit dem Ziel, Poly eine teure Lektion über seine Sicherheitsmängel zu erteilen.

Tom Robinson, leitender Wissenschaftler beim Blockchain-Analyseunternehmen Elliptic, vermutet jedoch, dass der Sinneswandel auf die Tatsache zurückzuführen sein könnte, dass die Transparenz der Blockchain es Hackern sehr erschwert, Gelder aus gestohlenen Vermögenswerten zu waschen oder abzuheben.

Sebastian Bürgel, Gründer des auf Ethereum basierenden Datenschutzprotokolls HOPR, sagte gegenüber Cointelegraph, dass Diebstahl zwar nie eine gute Sache sei, er es aber beeindruckend finde, wie nah die DeFi-Community untereinander sein kann – von Tether bis zum USDT im Wert von 33 US-Dollar Millionen werden bei OKEx und Binance eingefroren und bieten Unterstützung bei der Überwachung des Geldabflusses – um zu verhindern, dass Hacker entsprechende Vermögenswerte abheben oder austauschen, fügen Sie hinzu:

„Hoffentlich wird es zu einer stärkeren Fokussierung auf Sicherheit und Auditierung führen. Die Begeisterung für DeFi ist ansteckend, aber es ist wichtig, sich daran zu erinnern, dass ein großer Wert auf dem Spiel steht. Der Wunsch, sich schnell zu bewegen, kann an der Sicherheit nicht vorbeigehen. „

„Nein danke“, sagte „Mr. Weißer Hut "

Nachdem ein Sprecher von Poly Network herausgefunden hatte, dass die Motive des Hackers völlig rein waren, erklärte er, das Unternehmen sei bereit, die Person zu empfehlen, die das Unternehmen zum „Mr. White Hat „- 500,000 $ Bonus per Nachricht mit der Aufschrift „Wir senden Ihnen einen 500,000 $ Bonus, wenn das Restguthaben ohne eingefrorenes USDT zurückgegeben wird.“ „

Überraschenderweise lehnte der Hacker höflich ab und sagte, er habe nie auf das Angebot reagiert. „Ich werde Ihr gesamtes Geld zurückschicken“, erklärte er und unterschrieb.

Verwandte Themen: Wie werden DeFi-Protokolle gehackt?

Unter allen Umständen – abzüglich des oben erwähnten eingefrorenen USDT – sieht es so aus, als ob der größte Hack in der Geschichte der dezentralen Finanzen endlich vorbei ist. Und während die Identifizierung des Angreifers ein Rätsel bleibt, hat das chinesische Cybersicherheitsunternehmen SlowMist kürzlich ein Update veröffentlicht, in dem es behauptet, sein Sicherheitsteam sei bereit, die E-Mail-Adresse, IP-Adresse und den Fingerabdruck des Geräts des Angreifers zu ermitteln.

Hoffentlich ist diese Episode eine sehr wirksame Erinnerung daran, dass Sicherheit immer von größter Bedeutung sein sollte, wenn die Grundlage für jede Mission gelegt wird, unabhängig von der technologischen Ausstattung. Daher wird es interessant sein zu beobachten, wie sich Start-ups und andere an DeFi beteiligte Unternehmen weiterentwickeln und ihre aktuellen Sicherheitssysteme ersetzen, da Hacker das Geld später möglicherweise nicht mehr zurückgeben müssen.