Site DeFi Cross-Chain POLY Network hackeado; centenas de milhões potencialmente perdidos

A plataforma de Finanças descentralizadas (DeFi) entre cadeias POLY Network foi atacada na terça-feira, com o suposto hacker roubando cerca de US$ 600 milhões em Cripto.

POLY Network, um protocolo lançado pelo fundador do projeto de blockchain chinês NEO, opera nas blockchains Binance Smart Chain, Ethereum e Polygon . O ataque de terça-feira atingiu cada cadeia consecutivamente, com a equipe POLY identificando três endereçospara onde os bens roubados foram transferidos.

Na época em que a POLY tuitou a notícia do ataque, os três endereços possuíam coletivamente mais de US$ 600 milhões em diferentes criptomoedas, incluindo USDC,Wrapped Bitcoin, envolto éter e Shiba Inu (SHIB), plataformas de digitalização de blockchain mostram.

"Pedimos aos mineradores de blockchains e exchanges de Cripto afetadas que coloquem na lista negra os tokens provenientes dos endereços acima", disse a equipe POLY. tweetou.

O valor de US$ 600 milhões colocaria o hack da POLY Network entre os maiores da história das Cripto .

Tether congelou aproximadamente US$ 33 milhões em relação ao hack, disse o CTO da Tether , Paolo Ardoino tweetou.

Cerca de uma hora depois que a POLY anunciou o hack no Twitter, o hacker tentou mover ativos, incluindo USDT através do endereço Ethereum para o pool de liquidez Curve.fi, mostram os registros. A transação foi rejeitada.

Enquanto isso, cerca de US$ 100 milhões foram movidos do endereço da Binance Smart Chain nos últimos 30 minutos e depositados no pool de liquidez Ellipsis Finanças.

A equipe da POLY não pôde ser contatada para comentar no momento da publicação.

A POLY Network foi o segundo protocolo de interoperabilidade chinês a ser apresentado na Rede de Serviços baseada em Blockchain apoiada pelo governo.

Anatomia de uma façanha

A BlockSec, uma empresa de segurança de blockchain sediada na China, disse em umrelatório de análise de ataque inicialque o hack pode ser desencadeado pelo vazamento de uma chave privada que foi usada para assinar a mensagem entre cadeias.

Mas também acrescentou que outro possível motivo é um possível bug durante o processo de assinatura do Poly, que pode ter sido "abusado" para assinar a mensagem.

De acordo com outra empresa de segurança de blockchain sediada na China,Névoa Lenta, os fundos originais dos atacantes estavam emMonero, uma Criptomoeda centrada na privacidade, e foram então trocadas por BNB, ETH, MATICe alguns outros tokens.

Os atacantes então iniciaram os ataques às blockchains Ethereum, BSC e Polygon . A descoberta foi apoiada pelos parceiros da Slowmist, incluindo a exchange chinesa Hoo.

“Com base nos fluxos de fundos e em várias informações de impressão digital, é provável que seja um ataque planejado, organizado e bem preparado”, escreveu Slowmist.

Em resposta ao ataque, um porta-voz da Binance Smart Chain disse ao CoinDesk que, como um blockchain “descentralizado”, os protocolos e usuários do BSC precisam levar as medidas de segurança “extremamente a sério”.

“Estamos cientes da exploração do POLY que afetou usuários do Ethereum, Polygon e BSC”, disse o porta-voz. “Recentemente, várias pontes sem confiança se tornaram vítimas de tais ataques críticos e recomendamos auditorias de segurança e a devida diligência necessária antes de interagir com quaisquer projetos.”

O porta-voz disse que a BSC está atualmente trabalhando com seus parceiros de segurança para fornecer o máximo de suporte possível à investigação em andamento.

O incidente da POLY Network mostra como os protocolos cross-chain nascentes são particularmente vulneráveis ​​a ataques. Em julho, o protocolo de liquidez cross-chain THORChain sofrido dois exploits em duas semanas. RARI Capital, outro protocolo DeFi de cadeia cruzada, foi atingido por um ataque em maio, perdendo fundos no valor de quase US$ 11 milhões em ETH.

“Como evidenciado por todas as explorações que vimos, a cadeia cruzada é uma área muito difícil... com a complexidade adicional de conexões com todas as outras cadeias e todas as suas idiossincrasias”, disse Ryan Watkins, analista de pesquisa na empresa de dados de blockchain Messari.

ATUALIZAÇÃO (10 de agosto, 14:30 UTC):Adiciona informações sobre os endereços da carteira e a movimentação do Tether.

ATUALIZAÇÃO (10 de agosto, 14:54 UTC):Adiciona informações sobre fundos saindo do endereço da Binance Smart Chain.

ATUALIZAÇÃO (10 de agosto, 17:36 UTC):Adiciona comentários de Slowmist e Messari.

ATUALIZAÇÃO (10 de agosto, 18:02 UTC):Adiciona análise do BlockSec sobre as possíveis causas do hack.