Trong khi các vụ hack tiền điện tử dường như đang có xu hướng giảm, thị trường gần đây đã trải qua một trong những cuộc tấn công lớn nhất trong lịch sử non trẻ của ngành tài chính phi tập trung (DeFi), trong đó một hacker ẩn danh đã phát hiện ra một lỗ hổng có thể khai thác chéo. -chain trong giao thức khung kỹ thuật số của Poly Networks và kiếm được 610 triệu đô la Mỹ từ ba chuỗi khối riêng biệt.

Poly Network là một sứ mệnh chung của Ontology, Neo và Switcheo. Nó nhằm mục đích thúc đẩy một “liên minh giao thức tương tác không đồng nhất” tích hợp các chuỗi khối vào hệ sinh thái chuỗi chéo lớn hơn. Nhờ cơ sở hạ tầng của nó, giao thức cho phép người dùng trao đổi liền mạch các mã thông báo trên các chuỗi khối khác nhau.

Sau khi kiểm tra kỹ hơn việc cải tiến, nhóm cải tiến cốt lõi của Poly Network đã quyết định rằng cuộc tấn công Kết quả Khoảng 273 triệu đô la từ Ethereum, 85 triệu đô la Mỹ bằng Coin (USDC) từ Mạng Polygon và 253 triệu đô la từ Chuỗi thông minh Binance đã bị xâm phạm. Ngoài ra, một lượng lớn renBTC, Wrapped Bitcoin (wBTC) và Wrapped Ether (wETH) cũng đã bị thất lạc trong quá trình khai thác.

Liên quan đến vụ tấn công hack, Anton Bukov, người đồng sáng lập tổ hợp DeFi 1inch Network, nói với Cointelegraph rằng một trong những hệ thống con của Poly Network – được thiết kế để chuyển tiếp các tương tác hợp đồng. Trí tuệ người dùng giữa các chuỗi khối khác nhau – hóa ra là thiếu sót, bao gồm:

“Tin tặc đã bỏ qua các tương tác giao dịch giả vờ trên một chuỗi để báo hiệu hợp đồng hệ thống với một chuỗi khác và chuyển quyền sở hữu tài sản sang khóa chung của tin tặc. Các nhà phát triển và kiểm tra viên của Poly Network đã không phát hiện ra bất kỳ lỗ hổng bảo mật nào cho phép nhiều cuộc gọi của người dùng tùy ý thông qua hợp đồng hàng hóa đặc quyền. “

Đội mũ trắng

Bình luận về vấn đề này, John Jefferies, giám đốc phân tích tài chính tại CipherTrace, nói với Cointelegraph rằng vụ việc này đặc biệt thú vị so với các vụ hack DeFi trước đây, thường diễn ra dưới hình thức cho vay nhanh và chênh lệch giá để khai thác hợp đồng thông minh và trộm cắp được sử dụng bởi các đồng tiền:

“Về cơ bản, hacker đã tìm thấy một cách khai thác cho phép họ bỏ qua các khóa riêng tư và ký kết một hợp đồng chỉ gửi tiền cho chính họ. Trong số tất cả các giao dịch hoán đổi mà tin tặc sử dụng để phát hiện dấu vết của chúng, có vẻ như tại một thời điểm nào đó, tin tặc đã sử dụng lại một chiếc ví đã có giao dịch trước đó với nhiều sàn giao dịch. Các giao dịch nổi bật có thể xác định thông tin KYC về anh ta. “

Jefferies cũng không chỉ hài lòng với ý định của hacker, mặc dù tất cả số tiền bị đánh cắp đều trở về nơi chúng thuộc về. Ông nói: “Một chiếc mũ trắng khó có thể thực hiện các bước để ngụy trang đường đi của quỹ nếu nó luôn có ý định trả lại tiền.

Trong một tình tiết bất thường nhưng thú vị, ngay sau vụ đột nhập, hacker Poly Network đã thực hiện một cuộc phỏng vấn theo phong cách Ask Me Anything bằng cách sử dụng các tin nhắn được nhúng trong giao dịch Ethereum. Khi được hỏi tại sao lại tập trung vào Poly Network, hacker trả lời: “Việc hack chuỗi chéo đang rất hot”, đồng thời nói thêm rằng anh ta đã dành rất nhiều thời gian để tìm ra các lỗ hổng trong cộng đồng có thể bị khai thác.

Không chỉ vậy, hacker này còn cho biết thêm rằng kế hoạch này không hề nhằm mục đích giữ lại số tiền 610 triệu USD mà hợp lý là để lộ lỗ hổng này cho công chúng trước khi các nhà phát triển tại Poly Network có thể bí mật sửa chữa nó. “Tôi cần cung cấp cho họ [Poly Network] Lời khuyên để bảo vệ cộng đồng của họ nhằm cho phép họ đủ điều kiện xử lý Dự án [đô la] tỷ đô trong tương lai. Anh ấy nói thêm:

“Khi phát hiện ra sai lầm, cảm xúc của tôi lẫn lộn. Hãy tự hỏi bản thân xem bạn sẽ làm gì nếu gặp phải vận may như vậy. Lịch sự yêu cầu đoàn công tác cho phép họ khắc phục nhược điểm? Bất cứ ai cũng có thể là kẻ phản bội nếu bạn cho họ một tỷ. Tôi không thể tin ai cả! Giải pháp duy nhất mà tôi có thể cân nhắc là đặt nó sang một tài khoản đáng tin cậy. “

Tiền đã về

Poly Network đưa ra một tuyên bố hôm thứ Năm thông báo rằng họ đã nhận được toàn bộ số tiền 610 triệu đô la chuyển đến một ví multisig được nhắm mục tiêu cùng với tin tặc. Các token duy nhất còn lại bao gồm Tether (USDT) trị giá 33 triệu USD, đã bị đóng băng ngay sau khi có tin về vụ tấn công.

Tin tặc Poly Network bắt đầu trả lại một phần đáng kể số tiền bị đánh cắp cho giao thức DeFi chuỗi chéo. Trên thực tế, chỉ hơn một ngày sau sự kiện, CipherTrace xác nhận rằng ít nhất 265 triệu USD dưới dạng 1 triệu USDC đã được trả lại cho Poly Network; 256.2 triệu USD chủ yếu thông qua Bitcoin BEP-2 (BTCB), Binance Neo-Ether và Binance USD (BUSD); 2.637 triệu USD tiền Binance Coin (BNB); và 3.4 triệu đô la bằng Shiba Inu (SHIB), renBTC và Fei.

Kẻ tấn công đã tuyên bố ngay từ đầu rằng hắn sẵn sàng trả lại toàn bộ số tiền bị đánh cắp – một lời hứa được đưa ra vào thứ Năm tuần trước – với mục đích dạy cho Poly một bài học đắt giá về những sai sót bảo mật của nó.

Tuy nhiên, Tom Robinson, nhà khoa học trưởng tại công ty phân tích blockchain Elliptic, cho rằng sự thay đổi quan điểm có thể là do tính minh bạch của blockchain khiến tin tặc rất khó rửa hoặc rút tiền từ tài sản bị đánh cắp.

Sebastian Bürgel, người sáng lập giao thức bảo vệ dữ liệu HOPR dựa trên Ethereum, nói với Cointelegraph rằng mặc dù hành vi trộm cắp không bao giờ là một điều tốt, nhưng ông cho rằng thật ấn tượng khi cộng đồng DeFi có thể thân thiết với nhau như thế nào – từ Tether, USDT có giá trị từ 33 đô la triệu USD bị đóng băng đối với OKEx và Binance cung cấp hỗ trợ trong việc giám sát dòng tiền ra – để ngăn chặn tin tặc rút hoặc trao đổi các tài sản liên quan, hãy thêm:

“Hy vọng rằng nó sẽ khuyến khích sự tập trung nhiều hơn vào an toàn và kiểm toán. Sự nhiệt tình của DeFi có tính lan truyền, nhưng điều quan trọng cần nhớ là có giá trị lớn đang bị đe dọa. Mong muốn di chuyển nhanh chóng không thể vượt qua an ninh. “

“Không, cảm ơn,” nói “Mr. Mũ trắng "

Sau khi biết rằng động cơ của hacker hoàn toàn trong sạch, một phát ngôn viên của Poly Network cho biết công ty sẵn sàng giới thiệu người cụ thể – người đã thành lập công ty “Mr. Mũ Trắng “- Tiền thưởng 500,000 USD qua tin nhắn có nội dung” Chúng tôi sẽ gửi cho bạn khoản tiền thưởng 500,000 khi số dư còn lại được trả lại mà không bị đóng băng USDT. “

Điều đáng ngạc nhiên là hacker đã lịch sự từ chối và nói rằng anh ta chưa bao giờ phản hồi lại lời đề nghị. “Tôi sẽ gửi lại tất cả số tiền của bạn,” anh ấy nói và ký tên.

Liên quan: Nhật ký DeFi bị hack như thế nào?

Ngược lại – trừ đi số USDT bị đóng băng được đề cập ở trên – có vẻ như vụ hack lớn nhất trong lịch sử tài chính phi tập trung cuối cùng đã kết thúc. Và trong khi việc nhận dạng kẻ tấn công vẫn còn là một điều bí ẩn, cơ quan an ninh mạng Trung Quốc SlowMist gần đây đã tung ra một bản cập nhật tuyên bố nhóm bảo mật của họ đã sẵn sàng xác định địa chỉ email, địa chỉ IP và dấu vân tay thiết bị của kẻ tấn công.

Hy vọng rằng tập phim này là một lời nhắc nhở mạnh mẽ rằng an toàn phải luôn có ý nghĩa quan trọng nhất khi đặt nền tảng cho bất kỳ dự án nào, bất kể việc cung cấp công nghệ của nó. Do đó, sẽ rất thú vị khi xem các công ty khởi nghiệp và các công ty khác liên quan đến DeFi phát triển và thay thế các thiết lập bảo mật hiện tại của họ như thế nào vì tin tặc có thể không cần trả lại tiền vào lần tới.