Cross-chain Poly Network, který slouží pro výměnu kryptoměn napříč jednotlivými blockchainy, má za sebou nelichotivé prvenství. Síť včera utrpěla hackerský útok, který uživatelům odsál kryptoměny za více než 611 milionů dolarů.
Za úspěchem útoku stojí podle bezpečnostních expertů ze společnosti SlowMist chyba v kryptografii. To je poměrně ojedinělá situace, protože za drtivou většinou úspěšných DeFi útoků stojí buď špatně napsané smart kontrakty, nebo zneužití některé nezamýšlené funkce DeFi produktů ve spojení s manipulací trhu.
Předpokládá se, že by mohl hack proběhnout podobně jako při relativně nedávném Anyswap exploitu, kdy hacker získal necelých osm milionů dolarů díky tomu, že se mu podařilo dopočítat privátní klíče.
Útok dle oficiálního twitteru PolyNetwork postihl tisíce uživatelů a již vedl k několika proaktivním reakcím, které mají za úkol minimalizovat dopady hacku. Tým PolyNetwork vyzval burzy a minery na postižených blockchainech ke spolupráci formou blacklistování tokenů ze seznamu zveřejněných adres.
Important Notice:
— Poly Network (@PolyNetwork2) August 10, 2021
We are sorry to announce that #PolyNetwork was attacked on @BinanceChain @ethereum and @0xPolygon Assets had been transferred to hacker’s following addresses:
ETH: 0xC8a65Fadf0e0dDAf421F28FEAb69Bf6E2E589963
BSC: 0x0D6e286A7cfD25E0c01fEe9756765D8033B32C71
Okolo 33 milionů dolarů v nejstarším a pravděpodobně stále nejpopulárnějším stablecoinu, tetheru, které se nalézaly na adresách patřících útočníkovi, bylo vydavatelem tetheru zmrazeno. Nabídku pomoci projektu s omezením dopadů útoku vyjádřilo také několik významných centralizovaných jednotlivých burz. V jejich čele stojí čínská Binance, jíž se útok přímo dotýká.
Požadavek PolyNetwork týmu se ale v komunitě nesetkal jen s pozitivní odezvou. Problém spočívá v tom, že cenzura transakcí – ať již v jakékoli podobě – je v přímém rozporu s ideami decentralizace i konceptem transakční sítě rezistentní vůči cenzuře, což byla od počátku jedna z hlavních kryptoměnových manter.
Tým PolyNetworku také oficiálně vyzval útočníka k vrácení prostředků, čímž by se dotyčný vyhnul právním krokům. A světe div se, v době vydání tohoto textu se hacker skutečně ozval a požádal o adresu multisig peněženky, kam by mohl prostředky vrátit.
Hope you will transfer assets to addresses below:
— Poly Network (@PolyNetwork2) August 11, 2021
ETH: 0x71Fb9dB587F6d47Ac8192Cd76110E05B8fd2142f
BSC: 0xEEBb0c4a5017bEd8079B88F35528eF2c722b31fc
Polygon: 0xA4b291Ed1220310d3120f515B5B7AccaecD66F17 pic.twitter.com/mKlBQU4a1B
Útočníkovi se podařilo z protokolu ukrást ethereum za 273 milionů dolarů, 253 milionů v tokenech na Binance Smart Chainu a 85 milionů dolarů v stablecoinu USDC z blockchainu Polygon network.
Zatímco stablecoiny mají centrálního vydavatele a není problém prostředky v nich uložené v případě potřeby zmrazit blacklistováním patřičných adres (což se v případě PolyNetworku již stalo s tetherem za 33 milionů dolarů), zmrazit kryptoměny je bez velmi kontroverzní spolupráce minerů prakticky nemožné.
Blockchainová bezpečnostní společnost SlowMist publikovala v reakci na útok upozornění, že již stačila vysledovat útočníkovo „ID“. Firma tvrdí, že disponuje útočníkovým e-mailem, IP adresou a digitálním otiskem zařízení (fingerprintem), ze kterého útok proběhl.
Další uživatelé si všimli, že některé z hackerových peněženek vykazují velké množství aktivity na DeFi produktech.
What’s strange is this account sending renBTC to the exploiter has used Tornado Cash recently but not for the stolen fundshttps://t.co/5f4L3tGvEr
— Troy (@0xalpharush) August 10, 2021
Peněženky také mají velké množství interakcí s klasickými centralizovanými burzami (FTX, Binance, OKEx), kde útočník pravděpodobně musel projít KYC procedurou – tedy důkladným prověřením svojí identity.
Za sítí Poly Networku, provádějící výměnu digitálních tokenů napříč celou škálou blockchainů, stojí zakladatel čínského blockchainového projektu Neo. Síť operuje na Ethereu, Binance Smart Chainu a Polygon kompatibilních blockchainech. Na projektu se podílí aliance týmů z blockchainových projektů Neo, Ontology či Switcheo.