El sitio DeFi multicadena POLY Network fue hackeado; cientos de millones podrían perderse

La plataforma de Finanzas descentralizadas (DeFi) entre cadenas POLY Network fue atacada el martes, y el presunto pirata informático drenó aproximadamente 600 millones de dólares en Cripto.

POLY Network, un protocolo lanzado por el fundador del proyecto chino de blockchain NEO, opera en las cadenas de bloques Binance Smart Chain, Ethereum y Polygon . El ataque del martes afectó a cada cadena consecutivamente, con el equipo de POLY. identificar tres direccionesdonde se transfirieron los activos robados.

En el momento en que POLY tuiteó la noticia del ataque, las tres direcciones tenían colectivamente más de 600 millones de dólares en diferentes criptomonedas, incluidas USDC,Wrapped Bitcoin, envueltoéter y Shiba Inu (SHIB), como muestran las plataformas de escaneo blockchain.

"Hacemos un llamado a los mineros de las cadenas de bloques y los exchanges de Cripto afectados para que incluyan en la lista negra los tokens provenientes de las direcciones mencionadas", dijo el equipo de POLY. tuiteó.

La cifra de 600 millones de dólares colocaría el hackeo de POLY Network entre los más grandes en la historia de las Cripto .

Tether congeló aproximadamente 33 millones de dólares en relación con el hackeo, dijo el CTO de Tether , Paolo Ardoino. tuiteó.

Aproximadamente una hora después de que POLY anunciara el ataque en Twitter, el pirata intentó mover activos, incluidos USDT Los registros muestran que se envió la transacción a través de la dirección de Ethereum al fondo de liquidez Curve.fi. La transacción fue rechazada.

Mientras tanto, cerca de $100 millones se han movido de la dirección de Binance Smart Chain en los últimos 30 minutos y se han depositado en el grupo de liquidez Ellipsis Finanzas.

No fue posible contactar al equipo de POLY para realizar comentarios al momento de la publicación.

POLY Network fue el segundo protocolo de interoperabilidad chino que se incluyó en la red de servicios basada en blockchain respaldada por el gobierno.

Anatomía de un exploit

BlockSec, una empresa de seguridad blockchain con sede en China, dijo en un comunicado:informe de análisis del ataque inicialque el ataque pudo haber sido provocado por la filtración de una clave privada que se utilizó para firmar el mensaje entre cadenas.

Pero también agregó que otra posible razón es un error potencial durante el proceso de firma de Poly que puede haber sido "abusado" para firmar el mensaje.

Según otra empresa de seguridad blockchain con sede en China,Niebla lenta, los fondos originales de los atacantes estaban enMonero, una Criptomonedas centrada en la privacidad, y luego se intercambiaron por BNB, ETH, MATICy algunas otras fichas.

Los atacantes iniciaron entonces ataques contra las cadenas de bloques de Ethereum, BSC y Polygon . El hallazgo fue respaldado por los socios de Slowmist, incluyendo la plataforma de intercambio china Hoo.

“Basándonos en los flujos de fondos y en la información de múltiples huellas dactilares, es probable que se trate de un ataque largamente planificado, organizado y bien preparado”, escribió Slowmist.

En respuesta al ataque, un portavoz de Binance Smart Chain le dijo a CoinDesk que, como blockchain “descentralizada”, los protocolos y usuarios de BSC deben tomar medidas de seguridad “extremadamente en serio”.

“Estamos al tanto del exploit de POLY que ha afectado a los usuarios de Ethereum, Polygon y BSC”, declaró el portavoz. “Recientemente, varios puentes sin confianza han sido víctimas de estos ataques críticos, y recomendamos realizar auditorías de seguridad y la debida diligencia antes de interactuar con cualquier proyecto”.

El portavoz dijo que BSC está trabajando actualmente con sus socios de seguridad para brindar el mayor apoyo posible a la investigación en curso.

El incidente de POLY Network demuestra la especial vulnerabilidad de los protocolos de cadena cruzada emergentes a los ataques. En julio, el protocolo de liquidez de cadena cruzada THORChain... sufrió Dos exploits en dos semanas. RARI Capital, otro protocolo DeFi de cadena cruzada, fue... golpeado por un ataque En mayo, perdió fondos por valor de casi $ 11 millones en ETH.

“Como lo demuestran todos los exploits que hemos visto, la interconexión entre cadenas es un área muy difícil… con la complejidad añadida de las conexiones con todas las demás cadenas y todas sus idiosincrasias”, dijo Ryan Watkins, analista de investigación de la firma de datos blockchain Messari.

ACTUALIZACIÓN (10 de agosto, 14:30 UTC):Agrega información sobre las direcciones de billetera y el movimiento de Tether.

ACTUALIZACIÓN (10 de agosto, 14:54 UTC):Agrega información sobre los fondos que salen de la dirección de Binance Smart Chain.

ACTUALIZACIÓN (10 de agosto, 17:36 UTC):Añade comentarios de Slowmist y Messari.

ACTUALIZACIÓN (10 de agosto, 18:02 UTC):Añade análisis de BlockSec sobre las posibles causas del hackeo.