Embora os hacks de criptografia pareçam estar em tendência de baixa, o mercado recentemente experimentou um dos maiores ataques na história incipiente da indústria criptográfica de finanças descentralizadas (DeFi), onde um hacker anônimo expôs uma vulnerabilidade que poderia explorar cruzadamente. -chain no protocolo de estrutura digital da Poly Networks e ganhe 610 milhões de dólares americanos em três blockchains separados.

Poly Network é uma missão conjunta da Ontology, Neo e Switcheo. O objetivo é promover uma “aliança heterogênea de protocolos de interoperabilidade” que integre blockchains ao maior ecossistema de cadeia cruzada. Graças à sua infraestrutura, o protocolo permite que os usuários alternem tokens perfeitamente em diferentes blockchains.

Após uma inspeção mais detalhada da melhoria, a equipe principal de melhoria da Poly Network decidiu que o ataque Resultado Aproximadamente US$ 273 milhões da Ethereum, US$ 85 milhões em US Coin (USDC) da Polygon Network e US$ 253 milhões da Binance Smart Chain foram comprometidos. Além disso, uma grande quantidade de renBTC, Wrapped Bitcoin (wBTC) e Wrapped Ether (wETH) também foram perdidos como parte do processo de mineração.

Com relação ao ataque de hackers, Anton Bukov, cofundador da combinação DeFi 1inch Network, disse ao Cointelegraph que um dos subsistemas da Poly Network – é projetado para retransmitir interações contratuais. A inteligência do usuário entre blockchains totalmente diferentes revelou-se falha, incluindo:

“Os hackers contornaram as interações de transações falsas em uma cadeia para sinalizar o contrato do sistema com outra cadeia e transferiram a propriedade do ativo para a chave pública do hacker. Os construtores e auditores da Poly Network não encontraram nenhuma vulnerabilidade de segurança que permitisse uma série de ligações arbitrárias de pessoas por meio de um contrato de bem privilegiado. “

Use um chapéu branco

Comentando sobre o assunto, John Jefferies, diretor de análise financeira da CipherTrace, disse ao Cointelegraph que o incidente foi particularmente interessante em comparação com hacks anteriores de DeFi, que muitas vezes assumiam a forma de empréstimo rápido e arbitragem para mineração de contrato inteligente e roubo era usado por moedas:

“Essencialmente, o hacker encontrou uma exploração que lhes permitiu contornar as chaves privadas e celebrar um contrato que apenas envia dinheiro para si próprios. De todas as trocas que os hackers usaram para descobrir seus rastros, parece que em algum momento o hacker reutilizou uma carteira que tinha transações anteriores com múltiplas trocas. Transações proeminentes podem identificar informações KYC sobre ele. “

Jefferies também não está satisfeito apenas com as intenções do hacker, embora todos os fundos roubados estejam de volta ao lugar a que pertencem. “É improvável que um chapéu branco tenha tomado medidas para disfarçar o caminho do fundo se sempre pretende devolver o dinheiro”, afirmou.

Em uma reviravolta incomum, mas interessante, logo após a invasão, o hacker da Poly Network realizou uma entrevista no estilo Ask Me Anything usando mensagens incorporadas em transações Ethereum. Quando questionado sobre o motivo do foco da Poly Network, o hacker respondeu: “O hacking entre cadeias está na moda”, acrescentando que ele passou muito tempo descobrindo vulnerabilidades na rede que poderiam ser exploradas.

Além disso, este hacker também disse que o plano não era de forma alguma manter os US$ 610 milhões, mas sim expor a vulnerabilidade ao público antes que os desenvolvedores da Poly Network pudessem corrigi-la secretamente. “Preciso dar a eles [Poly Network] dicas para proteger sua comunidade e permitir que eles se qualifiquem para lidar com um projeto de um bilhão [de dólares] no futuro. Ele adicionou:

“Quando descobri o erro, tinha emoções confusas. Pergunte a si mesmo o que você fará se for confrontado com tal fortuna. Pedir educadamente à tripulação da missão que lhes permita consertar o problema? Qualquer um pode ser um traidor se você lhe der um bilhão. Não posso acreditar em ninguém! A única solução que posso considerar é salvá-lo em uma conta confiável. “

O dinheiro está de volta

A Poly Network divulgou um comunicado na quinta-feira anunciando que recebeu todos os US$ 610 milhões em fundos transferência para uma carteira multisig que é alvo junto com o hacker. Os únicos tokens restantes incluem Tether (USDT) no valor de US$ 33 milhões, que foi congelado logo após a notícia do ataque.

Os hackers da Poly Network começaram a devolver uma parte significativa dos fundos roubados ao protocolo DeFi cross-chain. Na verdade, pouco mais de um dia após o evento, a CipherTrace confirmou que pelo menos US$ 265 milhões na forma de US$ 1 milhão foram devolvidos à Poly Network; US$ 256.2 milhões principalmente via Bitcoin BEP-2 (BTCB), Binance Neo-Ether e Binance USD (BUSD); US$ 2.637 milhões em Binance Coin (BNB); e US$ 3.4 milhões em Shiba Inu (SHIB), renBTC e Fei.

O invasor afirmou desde o início que estava pronto para devolver integralmente o dinheiro roubado – uma promessa feita na última quinta-feira – com o objetivo de ensinar à Poly uma lição cara sobre suas falhas de segurança.

No entanto, Tom Robinson, cientista-chefe da empresa de análise de blockchain Elliptic, sugeriu que a mudança de opinião pode ser devido ao fato de que a transparência do blockchain torna muito difícil para os hackers lavarem ou retirarem fundos de ativos roubados.

Sebastian Bürgel, fundador do protocolo de proteção de dados HOPR baseado em Ethereum, disse ao Cointelegraph que, embora o roubo nunca seja uma coisa boa, ele acha impressionante o quão próximas a comunidade DeFi pode ser uma da outra – do Tether, o USDT com valor a partir de US$ 33 milhões de congelamentos para OKEx e Binance fornecem assistência no monitoramento da saída de fundos – para evitar que hackers retirem ou troquem ativos relacionados, adicione:

“Esperamos que isso incentive um foco maior na segurança e na auditoria. O entusiasmo pelo DeFi é contagiante, mas é importante lembrar que há um grande valor em jogo. O desejo de agir rapidamente não pode ignorar a segurança. “

“Não, obrigado”, afirmou “Sr. Chapéu branco "

Depois de descobrir que os motivos do hacker eram completamente naturais, um porta-voz da Poly Network disse que a empresa estava aberta a recomendar a pessoa específica – que tornou a empresa “Sr. White Hat “- Bônus de $ 500,000 por meio de uma mensagem que diz” Enviaremos a você um bônus de 500,000 quando o saldo restante for devolvido sem USDT congelado. “

Surpreendentemente, o hacker recusou educadamente, dizendo que nunca respondeu à oferta. “Vou mandar todo o seu dinheiro de volta”, afirmou ele, assinando.

Relacionado: Como os logs do DeFi são hackeados?

Com todos os meios – menos o USDT congelado mencionado acima – parece que o maior hack na história das finanças descentralizadas finalmente acabou. E embora a identificação do invasor permaneça um mistério, a agência chinesa de segurança cibernética SlowMist lançou recentemente uma atualização alegando que sua equipe de segurança foi capaz de identificar o endereço de e-mail, o endereço IP e a impressão digital do dispositivo do invasor.

Esperamos que este episódio seja um poderoso lembrete de que a segurança deve ser sempre de suma importância ao estabelecer as bases para qualquer missão, independentemente da sua oferta tecnológica. Conseqüentemente, será interessante ver como as startups e outras empresas envolvidas no DeFi evoluem e atualizam suas configurações de segurança existentes, já que os hackers podem não querer devolver o dinheiro na próxima vez.