Le site DeFi inter-chaînes POLY Network piraté ; des centaines de millions de dollars potentiellement perdus

La plateforme de Finance décentralisée inter-chaînes (DeFi) POLY Network a été attaquée mardi, le pirate informatique présumé ayant drainé environ 600 millions de dollars en Crypto.

POLY Network, un protocole lancé par le fondateur du projet chinois de blockchain NEO, fonctionne sur les blockchains Binance Smart Chain, Ethereum et Polygon . L'attaque de mardi a touché chaque chaîne consécutivement, l'équipe POLY identifier trois adressesoù les biens volés ont été transférés.

Au moment où POLY a tweeté la nouvelle de l'attaque, les trois adresses détenaient collectivement plus de 600 millions de dollars en différentes crypto-monnaies, dont USDC,Wrapped Bitcoin, enveloppééther et Shiba Inu (SHIB), montrent les plateformes de numérisation de blockchain.

« Nous appelons les mineurs des plateformes d'échange de blockchain et de Crypto concernées à mettre sur liste noire les jetons provenant des adresses ci-dessus », a déclaré l'équipe POLY. tweeté.

Le chiffre de 600 millions de dollars placerait le piratage de POLY Network parmi les plus importants de l'histoire de la Crypto .

Tether a gelé environ 33 millions de dollars en lien avec le piratage, a déclaré Paolo Ardoino, directeur technique de Tether. tweeté.

Environ une heure après que POLY a annoncé le piratage sur Twitter, le pirate a tenté de déplacer des actifs, notamment USDT Les enregistrements montrent que la transaction a été rejetée via l'adresse Ethereum vers le pool de liquidités Curve.fi.

Pendant ce temps, près de 100 millions de dollars ont été transférés de l'adresse Binance Smart Chain au cours des 30 dernières minutes et déposés dans le pool de liquidités Ellipsis Finance.

L'équipe de POLY n'a pas pu être contactée pour commenter au moment de la publication.

POLY Network est le deuxième protocole d'interopérabilité chinois à être présenté sur le réseau de services basé sur la blockchain soutenu par le gouvernement.

Anatomie d'un exploit

BlockSec, une société de sécurité blockchain basée en Chine, a déclaré dans unrapport d'analyse d'attaque initialeque le piratage pourrait être déclenché par la fuite d'une clé privée qui a été utilisée pour signer le message inter-chaînes.

Mais il a également ajouté qu'une autre raison possible est un bug potentiel lors du processus de signature de Poly qui aurait pu être « abusé » pour signer le message.

Selon une autre société de sécurité blockchain basée en Chine,Slowmist, les fonds originaux des attaquants se trouvaient dansMonero, une Cryptomonnaie centrée sur la confidentialité, et ont ensuite été échangés contre BNB, ETH, MATICet quelques autres jetons.

Les attaquants ont ensuite lancé des attaques sur les blockchains Ethereum, BSC et Polygon . Cette découverte a été confirmée par les partenaires de Slowmist, dont la plateforme d'échange chinoise Hoo.

« Sur la base des flux de fonds et des multiples informations d’empreintes digitales, il s’agit probablement d’une attaque planifiée de longue date, organisée et bien préparée », a écrit Slowmist.

En réponse à l'attaque, un porte-parole de Binance Smart Chain a déclaré à CoinDesk qu'en tant que blockchain « décentralisée », les protocoles et les utilisateurs de BSC doivent prendre les mesures de sécurité « extrêmement au sérieux ».

« Nous sommes conscients de l'exploitation de POLY qui a affecté les utilisateurs Ethereum, de Polygon et de la BSC », a déclaré le porte-parole. « Récemment, plusieurs ponts sans confiance ont été victimes de telles attaques critiques et nous recommandons de réaliser des audits de sécurité et de faire preuve de la diligence requise avant toute interaction avec un quelconque projet. »

Le porte-parole a déclaré que le BSC travaille actuellement avec ses partenaires de sécurité pour fournir autant de soutien que possible à l'enquête en cours.

L'incident de POLY Network montre à quel point les protocoles inter-chaînes naissants sont particulièrement vulnérables aux attaques. En juillet, THORChain , le protocole de liquidité inter-chaînes, souffert deux exploits en deux semaines. RARI Capital, un autre protocole DeFi inter-chaînes, a été touché par une attaque en mai, perdant des fonds d'une valeur de près de 11 millions de dollars en ETH.

« Comme le prouvent tous les exploits que nous avons vus, le cross-chain est un domaine très difficile… avec la complexité supplémentaire des connexions avec toutes les autres chaînes et toutes leurs idiosyncrasies », a déclaré Ryan Watkins, analyste de recherche chez Messari, société de données blockchain.

MISE À JOUR (10 août, 14h30 UTC) :Ajoute des informations sur les adresses des portefeuilles et le déplacement de Tether.

MISE À JOUR (10 août, 14h54 UTC) :Ajoute des informations sur les fonds sortant de l'adresse Binance Smart Chain.

MISE À JOUR (10 août, 17h36 UTC) :Ajoute des commentaires de Slowmist et Messari.

MISE À JOUR (10 août, 18h02 UTC):Ajoute une analyse de BlockSec sur les causes possibles du piratage.