BTC

$60863.216

-3.28%

ETH

$2908.007

-3.91%

BNB

$590.24

-0.91%

XRP

$0.505

-1.51%

Marché

Le piratage de Poly Network a révélé une vulnérabilité DeFi, mais la communauté est venue à la rescousse

16 août 2021 - Autour 6 min minutes pour lire

Alors que les piratages cryptographiques semblent suivre une tendance à la baisse, le marché a récemment connu l'une des attaques les plus importantes de l'histoire naissante de l'échange d'actifs cryptographiques de la finance décentralisée (DeFi), où un pirate informatique anonyme a exposé une vulnérabilité qui pourrait exploiter la crypto-monnaie. -chain dans le protocole de cadre numérique Poly Networks et gagnez 610 millions de dollars américains grâce à trois blockchains distinctes.

Poly Network est une mission conjointe d'Ontology, Neo et Switcheo. Il vise à promouvoir une « alliance de protocoles d’interopérabilité hétérogène » qui intègre les blockchains dans un écosystème inter-chaînes plus vaste. Grâce à son infrastructure, le protocole permet aux utilisateurs d'alterner de manière transparente des jetons sur des blockchains totalement différentes.

Après une inspection plus approfondie de l'amélioration, l'équipe d'amélioration principale de Poly Network a décidé que l'assaut Résultat Environ 273 millions de dollars d'Ethereum, 85 millions de dollars de pièces américaines (USDC) du réseau Polygon et 253 millions de dollars de la Binance Smart Chain ont été compromis. De plus, une grande quantité de renBTC, Wrapped Bitcoin (wBTC) et Wrapped Ether (wETH) ont également été perdus dans le cadre du processus d'exploitation minière.

Concernant l'attaque de piratage, Anton Bukov, co-fondateur de la combinaison DeFi 1inch Network, a déclaré à Cointelegraph que l'un des sous-systèmes de Poly Network est conçu pour relayer les interactions contractuelles. L’intelligence utilisateur entre des blockchains totalement différentes – s’est avérée défectueuse, notamment :

«Les pirates ont contourné les fausses interactions de transaction sur une chaîne pour signaler le contrat système avec une autre chaîne et ont transféré la propriété de l'actif à la clé publique du pirate. Les développeurs et les auditeurs de Poly Network n'ont découvert aucune faille de sécurité permettant plusieurs appels arbitraires de personnes via un contrat d'assistance privilégié. "

Portez un chapeau blanc

Commentant l'affaire, John Jefferies, directeur de l'analyse financière chez CipherTrace, a déclaré à Cointelegraph que l'incident était particulièrement intéressant par rapport aux précédents hacks DeFi, qui prenaient souvent la forme de prêts rapides et d'arbitrages pour l'exploitation minière de contrats intelligents et le vol de pièces de monnaie :

« Essentiellement, le pirate informatique a trouvé un exploit qui lui a permis de contourner les clés privées et de conclure un contrat qui ne lui envoie de l’argent qu’à lui-même. Parmi tous les échanges que les pirates ont utilisés pour découvrir leurs traces, il semble qu'à un moment donné, le pirate ait réutilisé un portefeuille ayant effectué des transactions précédentes avec plusieurs échanges. Des transactions importantes peuvent identifier les informations KYC le concernant. "

Jefferies n'est pas non plus entièrement convaincu des intentions du pirate informatique, même si tous les fonds volés sont à nouveau à leur place. « Il est peu probable qu’un chapeau blanc ait pris des mesures pour dissimuler la trajectoire du fonds s’il a toujours l’intention de restituer l’argent », a-t-il déclaré.

Dans une tournure inhabituelle mais fascinante des événements, peu de temps après l'effraction, le pirate informatique de Poly Network a réalisé une interview de style Ask Me Anything en utilisant des messages intégrés dans les transactions Ethereum. Lorsqu'on lui a demandé pourquoi le réseau Poly était ciblé, le pirate informatique a répondu : « Le piratage cross-chain est à la mode », notamment en disant qu'il avait passé beaucoup de temps à identifier les vulnérabilités de la communauté qui pourraient éventuellement être exploitées.

Non seulement cela, ce pirate informatique a également déclaré que le plan n'était en aucun cas de conserver les 610 millions de dollars, mais plutôt d'exposer la vulnérabilité au public avant que les développeurs de Poly Network puissent la réparer secrètement. «Je dois leur donner des conseils à [Poly Network] pour sécuriser leur communauté afin de leur permettre de se qualifier pour gérer un projet d'un milliard de dollars à l'avenir. Il ajouta:

«Quand j'ai découvert l'erreur, j'avais des émotions mitigées. Demandez-vous ce que vous ferez si vous êtes confronté à une telle fortune. Demander poliment à l'équipage de la mission de lui permettre de réparer les inconvénients ? N’importe qui peut être un traître si vous lui donnez un milliard. Je ne peux faire confiance à personne ! La seule solution que je puisse envisager est de le mettre de côté sur un compte de confiance. "

L'argent est revenu

Poly Network a publié jeudi un communiqué annonçant avoir reçu la totalité des 610 millions de dollars de fonds. transférer à un portefeuille multisig ciblé avec le pirate informatique. Les seuls jetons restants incluent Tether (USDT) d'une valeur de 33 millions de dollars, qui a été gelé peu de temps après l'annonce de l'attaque.

Les pirates de Poly Network ont ​​commencé à restituer une partie importante des fonds volés au protocole DeFi inter-chaînes. En fait, un peu plus d'un jour après l'événement, CipherTrace a confirmé qu'au moins 265 millions de dollars sous la forme d'un million USDC avaient été restitués à Poly Network ; 1 millions de dollars principalement via Bitcoin BEP-256.2 (BTCB), Binance Neo-Ether et Binance USD (BUSD) ; 2 millions de dollars en Binance Coin (BNB) ; et 2.637 millions de dollars en Shiba Inu (SHIB), renBTC et Fei.

L’attaquant a affirmé dès le début qu’il était prêt à restituer l’intégralité de l’argent volé – une promesse faite jeudi dernier – dans le but de donner à Poly une coûteuse leçon sur ses failles de sécurité.

Cependant, Tom Robinson, scientifique en chef de la société d'analyse de blockchain Elliptic, a suggéré que ce changement d'avis pourrait être dû au fait que la transparence de la blockchain rend très difficile pour les pirates informatiques le blanchiment ou le retrait de fonds provenant d'actifs volés.

Sebastian Bürgel, fondateur du protocole de protection des données HOPR basé sur Ethereum, a déclaré à Cointelegraph que même si le vol n'est jamais une bonne chose, il pense qu'il est impressionnant de voir à quel point la communauté DeFi peut être proche les unes des autres – de Tether, l'USDT en valeur à partir de 33 $ Des millions de dollars sont gelés sur OKEx et Binance fournit une assistance pour surveiller les sorties de fonds – pour empêcher les pirates informatiques de retirer ou d'échanger des actifs associés, ajoutez :

« Espérons que cela encouragera une plus grande concentration sur la sécurité et l’audit. L’enthousiasme pour la DeFi est contagieux, mais il est important de se rappeler que l’enjeu est d’une grande valeur. Le désir d’agir rapidement ne peut contourner la sécurité. "

«Non merci», a déclaré «M. Chapeau blanc "

Après avoir découvert que les motivations du pirate informatique étaient tout à fait pures, un porte-parole de Poly Network a déclaré que l'entreprise était prête à recommander la personne – qui a nommé l'entreprise « M. White Hat « - 500,000 500,000 $ de bonus au moyen d'un message indiquant » Nous vous enverrons un bonus de XNUMX XNUMX lorsque le solde restant sera restitué sans USDT gelé. "

Étonnamment, le pirate informatique a poliment refusé, affirmant qu’il n’avait jamais répondu à l’offre. « Je vous rendrai tout votre argent », déclara-t-il en signant.

Connexe : Comment les journaux DeFi sont-ils piratés ?

Avec tous les moyens encore – à l’exception de l’USDT gelé mentionné ci-dessus – il semble que le plus grand piratage de l’histoire de la finance décentralisée soit enfin terminé. Et tandis que l'identification de l'attaquant reste un mystère, la société chinoise de cybersécurité SlowMist a récemment publié une mise à jour affirmant que son équipe de sécurité était en mesure d'identifier l'adresse de messagerie, l'adresse IP et l'empreinte digitale de l'appareil de l'attaquant.

Espérons que cet épisode soit un puissant rappel que la sécurité doit toujours être d’une importance primordiale lors de l’établissement des bases de toute mission, quel que soit son apport technologique. Par conséquent, il sera intéressant de voir comment les startups et les autres entreprises impliquées dans DeFi évoluent et mettent à jour leurs configurations de sécurité actuelles, car les pirates informatiques n’auront peut-être pas besoin de restituer l’argent la prochaine fois.

.

.

Marché

Le piratage de Poly Network a révélé une vulnérabilité DeFi, mais la communauté est venue à la rescousse

Alors que les piratages cryptographiques semblent suivre une tendance à la baisse, le marché a récemment connu l'une des attaques les plus importantes de l'histoire naissante de l'échange d'actifs cryptographiques de la finance décentralisée (DeFi), où un pirate informatique anonyme a exposé une vulnérabilité qui pourrait exploiter la crypto-monnaie. -chain dans le protocole de cadre numérique Poly Networks et gagnez 610 millions de dollars américains grâce à trois blockchains distinctes.

Poly Network est une mission conjointe d'Ontology, Neo et Switcheo. Il vise à promouvoir une « alliance de protocoles d’interopérabilité hétérogène » qui intègre les blockchains dans un écosystème inter-chaînes plus vaste. Grâce à son infrastructure, le protocole permet aux utilisateurs d'alterner de manière transparente des jetons sur des blockchains totalement différentes.

Après une inspection plus approfondie de l'amélioration, l'équipe d'amélioration principale de Poly Network a décidé que l'assaut Résultat Environ 273 millions de dollars d'Ethereum, 85 millions de dollars de pièces américaines (USDC) du réseau Polygon et 253 millions de dollars de la Binance Smart Chain ont été compromis. De plus, une grande quantité de renBTC, Wrapped Bitcoin (wBTC) et Wrapped Ether (wETH) ont également été perdus dans le cadre du processus d'exploitation minière.

Concernant l'attaque de piratage, Anton Bukov, co-fondateur de la combinaison DeFi 1inch Network, a déclaré à Cointelegraph que l'un des sous-systèmes de Poly Network est conçu pour relayer les interactions contractuelles. L’intelligence utilisateur entre des blockchains totalement différentes – s’est avérée défectueuse, notamment :

«Les pirates ont contourné les fausses interactions de transaction sur une chaîne pour signaler le contrat système avec une autre chaîne et ont transféré la propriété de l'actif à la clé publique du pirate. Les développeurs et les auditeurs de Poly Network n'ont découvert aucune faille de sécurité permettant plusieurs appels arbitraires de personnes via un contrat d'assistance privilégié. "

Portez un chapeau blanc

Commentant l'affaire, John Jefferies, directeur de l'analyse financière chez CipherTrace, a déclaré à Cointelegraph que l'incident était particulièrement intéressant par rapport aux précédents hacks DeFi, qui prenaient souvent la forme de prêts rapides et d'arbitrages pour l'exploitation minière de contrats intelligents et le vol de pièces de monnaie :

« Essentiellement, le pirate informatique a trouvé un exploit qui lui a permis de contourner les clés privées et de conclure un contrat qui ne lui envoie de l’argent qu’à lui-même. Parmi tous les échanges que les pirates ont utilisés pour découvrir leurs traces, il semble qu'à un moment donné, le pirate ait réutilisé un portefeuille ayant effectué des transactions précédentes avec plusieurs échanges. Des transactions importantes peuvent identifier les informations KYC le concernant. "

Jefferies n'est pas non plus entièrement convaincu des intentions du pirate informatique, même si tous les fonds volés sont à nouveau à leur place. « Il est peu probable qu’un chapeau blanc ait pris des mesures pour dissimuler la trajectoire du fonds s’il a toujours l’intention de restituer l’argent », a-t-il déclaré.

Dans une tournure inhabituelle mais fascinante des événements, peu de temps après l'effraction, le pirate informatique de Poly Network a réalisé une interview de style Ask Me Anything en utilisant des messages intégrés dans les transactions Ethereum. Lorsqu'on lui a demandé pourquoi le réseau Poly était ciblé, le pirate informatique a répondu : « Le piratage cross-chain est à la mode », notamment en disant qu'il avait passé beaucoup de temps à identifier les vulnérabilités de la communauté qui pourraient éventuellement être exploitées.

Non seulement cela, ce pirate informatique a également déclaré que le plan n'était en aucun cas de conserver les 610 millions de dollars, mais plutôt d'exposer la vulnérabilité au public avant que les développeurs de Poly Network puissent la réparer secrètement. «Je dois leur donner des conseils à [Poly Network] pour sécuriser leur communauté afin de leur permettre de se qualifier pour gérer un projet d'un milliard de dollars à l'avenir. Il ajouta:

«Quand j'ai découvert l'erreur, j'avais des émotions mitigées. Demandez-vous ce que vous ferez si vous êtes confronté à une telle fortune. Demander poliment à l'équipage de la mission de lui permettre de réparer les inconvénients ? N’importe qui peut être un traître si vous lui donnez un milliard. Je ne peux faire confiance à personne ! La seule solution que je puisse envisager est de le mettre de côté sur un compte de confiance. "

L'argent est revenu

Poly Network a publié jeudi un communiqué annonçant avoir reçu la totalité des 610 millions de dollars de fonds. transférer à un portefeuille multisig ciblé avec le pirate informatique. Les seuls jetons restants incluent Tether (USDT) d'une valeur de 33 millions de dollars, qui a été gelé peu de temps après l'annonce de l'attaque.

Les pirates de Poly Network ont ​​commencé à restituer une partie importante des fonds volés au protocole DeFi inter-chaînes. En fait, un peu plus d'un jour après l'événement, CipherTrace a confirmé qu'au moins 265 millions de dollars sous la forme d'un million USDC avaient été restitués à Poly Network ; 1 millions de dollars principalement via Bitcoin BEP-256.2 (BTCB), Binance Neo-Ether et Binance USD (BUSD) ; 2 millions de dollars en Binance Coin (BNB) ; et 2.637 millions de dollars en Shiba Inu (SHIB), renBTC et Fei.

L’attaquant a affirmé dès le début qu’il était prêt à restituer l’intégralité de l’argent volé – une promesse faite jeudi dernier – dans le but de donner à Poly une coûteuse leçon sur ses failles de sécurité.

Cependant, Tom Robinson, scientifique en chef de la société d'analyse de blockchain Elliptic, a suggéré que ce changement d'avis pourrait être dû au fait que la transparence de la blockchain rend très difficile pour les pirates informatiques le blanchiment ou le retrait de fonds provenant d'actifs volés.

Sebastian Bürgel, fondateur du protocole de protection des données HOPR basé sur Ethereum, a déclaré à Cointelegraph que même si le vol n'est jamais une bonne chose, il pense qu'il est impressionnant de voir à quel point la communauté DeFi peut être proche les unes des autres – de Tether, l'USDT en valeur à partir de 33 $ Des millions de dollars sont gelés sur OKEx et Binance fournit une assistance pour surveiller les sorties de fonds – pour empêcher les pirates informatiques de retirer ou d'échanger des actifs associés, ajoutez :

« Espérons que cela encouragera une plus grande concentration sur la sécurité et l’audit. L’enthousiasme pour la DeFi est contagieux, mais il est important de se rappeler que l’enjeu est d’une grande valeur. Le désir d’agir rapidement ne peut contourner la sécurité. "

«Non merci», a déclaré «M. Chapeau blanc "

Après avoir découvert que les motivations du pirate informatique étaient tout à fait pures, un porte-parole de Poly Network a déclaré que l'entreprise était prête à recommander la personne – qui a nommé l'entreprise « M. White Hat « - 500,000 500,000 $ de bonus au moyen d'un message indiquant » Nous vous enverrons un bonus de XNUMX XNUMX lorsque le solde restant sera restitué sans USDT gelé. "

Étonnamment, le pirate informatique a poliment refusé, affirmant qu’il n’avait jamais répondu à l’offre. « Je vous rendrai tout votre argent », déclara-t-il en signant.

Connexe : Comment les journaux DeFi sont-ils piratés ?

Avec tous les moyens encore – à l’exception de l’USDT gelé mentionné ci-dessus – il semble que le plus grand piratage de l’histoire de la finance décentralisée soit enfin terminé. Et tandis que l'identification de l'attaquant reste un mystère, la société chinoise de cybersécurité SlowMist a récemment publié une mise à jour affirmant que son équipe de sécurité était en mesure d'identifier l'adresse de messagerie, l'adresse IP et l'empreinte digitale de l'appareil de l'attaquant.

Espérons que cet épisode soit un puissant rappel que la sécurité doit toujours être d’une importance primordiale lors de l’établissement des bases de toute mission, quel que soit son apport technologique. Par conséquent, il sera intéressant de voir comment les startups et les autres entreprises impliquées dans DeFi évoluent et mettent à jour leurs configurations de sécurité actuelles, car les pirates informatiques n’auront peut-être pas besoin de restituer l’argent la prochaine fois.

.

.

Visité 70 fois, 1 visite(s) aujourd'hui

Soyez sympa! Laissez un commentaire