Крупнейший взлом в истории DeFi: Poly Network потеряла $600 млн
10 августа в 6 утра по восточному времени были похищены криптоактивы на сумму более полумиллиарда долларов США из кросс-чейн протокола Poly Network, который облегчает обмен токенами между блокчейнами, включая Ethereum, BSC и Polygon.
С убытком превышающим $600 млн — это крупнейший взлом в истории DeFi, затмевающий взлом EasyFi с потерями в $59 млн. Ранее по общей сумме украденных средств из-за атаки на смарт-контракт лидировал EasyFi.
Со слов представителей проекта, злоумышленник смог «воспользоваться уязвимостью между вызовами контрактов» и украсть активы на Ethereum на сумму $270 млн, активы на Binance Smart Chain на сумму $250 млн и почти $85 млн USDC на Polygon.
Однако исследователь безопасности Мудит Гупта не поверил в это, написав в Твиттере: «Похоже, что нет никакой проблемы между вызовами контрактов, и взлом *вызван компрометацией одного хранителя».
Аудиторская фирма Pecksheld опубликовала анализ взлома.
Пользователи пострадали; заморожено $33 млн.
Согласно твиту криптоинвестора Boxmining, от взлома пострадали многие китайские инвесторы и фонды, поскольку Poly Network использовалась блокчейнами NEO и Ontology для перевода активов с Ethereum. Мост работает путем блокировки активов на стороне Ethereum и минтинга эквивалентных активов в целевом блокчейне. Поскольку активов на стороне моста Ethereum больше нет, связанные токены по сути ничего не стоят.
Поскольку злоумышленник находился в процессе депонирования своих неправомерно полученных доходов в протокол DeFi — Curve Finance, команда Poly обратилась ко всем биржам и эмитентам стейблкоинов с просьбой попытаться заблокировать или внести в черный список транзакции злоумышленника.
Tether, эмитент стейблкоина USDT, быстро принял меры по внесению адреса злоумышленника в черный список и заморозил $33 млн в USDT. Всего через пару минут злоумышленник безуспешно попытался внести USDT в Curve. Если бы депозит прошел, то скорее всего, средства были бы безвозвратно утеряны после смешивания в пулах ликвидности Curve с другими пользовательскими депозитами.
Злоумышленник идентифицирован?
После этого команда Poly Network опубликовала это письмо хакеру.
Компания SlowMist, специализирующаяся на безопасности блокчейна, утверждает, что получила личную идентификационную информацию о злоумышленнике, которая может помочь в возврате украденных криптоактивов.
Возможно, в ответ на это злоумышленник недавно отправил транзакцию, содержащую это сообщение:
Это сообщение похоже на то, которое недавно оставил эксплойтер(ы) Thorchain, который также утверждал, что он мог бы украсть больше активов.
Учитывая масштаб ограбления, мы можем только надеяться, что у злоумышленника действительно есть "белая шляпа". Однако на данный момент он, похоже, доволен троллингом своих несчастных жертв.
Оригинал: https://thedefiant.io/poly-hack/