Sito DeFi cross-chain POLY Network hackerato; centinaia di milioni potenzialmente persi

La piattaforma Finanza decentralizzata (DeFi) cross-chain POLY Network è stata attaccata martedì e il presunto hacker ha prosciugato circa 600 milioni di dollari in Cripto.

POLY Network, un protocollo lanciato dal fondatore del progetto blockchain cinese NEO, opera sulle blockchain Binance Smart Chain, Ethereum e Polygon . L'attacco di martedì ha colpito ciascuna catena consecutivamente, con il team POLY Identificazione tre indirizzidove venivano trasferiti i beni rubati.

Al momento in cui POLY ha twittato la notizia dell'attacco, i tre indirizzi detenevano collettivamente più di 600 milioni di dollari in diverse criptovalute, tra cui USDC,Wrapped Bitcoin, avvolto etere e Shiba Inu (SHIB), come dimostrano le piattaforme di scansione blockchain.

"Invitiamo i minatori delle blockchain e degli exchange Cripto interessati a mettere nella blacklist i token provenienti dagli indirizzi sopra indicati", ha affermato il team POLY twittato.

La cifra di 600 milioni di dollari collocherebbe l'attacco informatico a POLY Network tra i più grandi nella storia Cripto .

Tether ha congelato circa 33 milioni di dollari in relazione all'attacco hacker, ha dichiarato il CTO Tether Paolo Ardoino twittato.

Circa ONE dopo che POLY ha annunciato l'attacco su Twitter, l'hacker ha tentato di spostare risorse tra cui USDT tramite l'indirizzo Ethereum nel pool di liquidità Curve.fi, come mostrano i registri. La transazione è stata rifiutata.

Nel frattempo, negli ultimi 30 minuti circa 100 milioni di dollari sono stati spostati dall'indirizzo Binance Smart Chain e depositati nel pool di liquidità Ellipsis Finanza.

Al momento della pubblicazione non è stato possibile contattare il team POLY per rilasciare dichiarazioni.

POLY Network è stato il secondo protocollo di interoperabilità cinese ad essere inserito nella rete di servizi basata su blockchain sostenuta dal governo.

Anatomia di un exploit

BlockSec, un'azienda cinese di sicurezza blockchain, ha affermato in unrapporto di analisi dell'attacco inizialeche l'attacco potrebbe essere innescato dalla fuga di notizie di una chiave privata utilizzata per firmare il messaggio cross-chain.

Ma ha anche aggiunto che un'altra possibile ragione è un potenziale bug durante il processo di firma di Poly, che potrebbe essere stato "sfruttato" per firmare il messaggio.

Secondo un'altra azienda cinese di sicurezza blockchain,Nebbia lenta, i fondi originali degli aggressori erano inMonero, una Criptovaluta incentrata sulla privacy, e sono stati poi scambiati con BNB, ETH, MATICe qualche altro gettone.

Gli aggressori hanno quindi avviato gli attacchi alle blockchain di Ethereum, BSC e Polygon . La scoperta è stata supportata dai partner di Slowmist, tra cui l'exchange cinese Hoo.

"In base ai flussi di fondi e alle informazioni sulle impronte digitali multiple, è probabile che si tratti di un attacco pianificato, organizzato e ben preparato da tempo", ha scritto Slowmist.

In risposta all'attacco, un portavoce di Binance Smart Chain ha detto a CoinDesk che, in quanto blockchain "decentralizzata", i protocolli e gli utenti di BSC devono prendere le misure di sicurezza "estremamente seriamente".

"Siamo a conoscenza dell'exploit POLY che ha colpito gli utenti di Ethereum, Polygon e BSC", ha affermato il portavoce. "Di recente, diversi bridge trustless sono diventati vittime di tali attacchi critici e raccomandiamo audit di sicurezza e la necessaria due diligence prima di interagire con qualsiasi progetto".

Il portavoce ha affermato che la BSC sta attualmente collaborando con i suoi partner per la sicurezza per fornire il massimo supporto possibile alle indagini in corso.

L'incidente di POLY Network mostra come i protocolli cross-chain nascenti siano particolarmente vulnerabili agli attacchi. A luglio, il protocollo di liquidità cross-chain THORChain sofferto due exploit in due settimane. RARI Capital, un altro protocollo DeFi cross-chain, è stato colpito da un attacco a maggio, perdendo fondi per un valore di quasi 11 milioni di dollari in ETH.

"Come dimostrato da tutti gli exploit che abbiamo visto, il cross-chain è un'area molto difficile... con l'ulteriore complessità delle connessioni con ogni altra catena e tutte le loro idiosincrasie", ha affermato Ryan Watkins, analista di ricerca presso la società di dati blockchain Messari.

AGGIORNAMENTO (10 agosto, 14:30 UTC):Aggiunge informazioni sugli indirizzi dei wallet e sullo spostamento di Tether.

AGGIORNAMENTO (10 agosto, 14:54 UTC):Aggiunge informazioni sui fondi in uscita dall'indirizzo Binance Smart Chain.

AGGIORNAMENTO (10 agosto, 17:36 UTC):Aggiunge commenti di Slowmist e Messari.

AGGIORNAMENTO (10 agosto, 18:02 UTC):Aggiunge l'analisi di BlockSec sulle possibili cause dell'hacking.