Кросс-чейн DeFi-сайт POLY Network взломан; сотни миллионов потенциально потеряны

Во вторник была атакована кросс-чейн-платформа децентрализованного Финансы (DeFi) POLY Network, предполагаемый хакер похитил около 600 миллионов долларов в Криптo.

POLY Network, протокол, запущенный основателем китайского блокчейн-проекта NEO, работает на блокчейнах Binance Smart Chain, Ethereum и Polygon . Атака во вторник поразила каждую цепь последовательно, при этом команда POLY идентифицирующий три адресакуда были переведены украденные активы.

На момент, когда POLY опубликовал в Twitter новость об атаке, на трех адресах в общей сложности находилось более 600 миллионов долларов в различных криптовалютах, включая USDC,Wrapped Bitcoin, завернутыйэфир и Shiba Inu (SHIB), показывают платформы сканирования блокчейна.

«Мы призываем майнеров затронутых блокчейнов и Криптo бирж внести в черный список токены, поступающие с вышеуказанных адресов», — заявила команда POLY. твитнул.

Сумма в 600 миллионов долларов сделает взлом POLY Network одним из крупнейших в истории Криптo .

Tether заморозил около 33 миллионов долларов в связи со взломом, технический директор Tether Паоло Ардоино твитнул.

Примерно через час после того, как POLY сообщила о взломе в Twitter, хакер попытался переместить активы, включая USDT через адрес Ethereum в пул ликвидности Curve.fi, записи показывают. Транзакция была отклонена.

Между тем, за последние 30 минут с адреса Binance Smart Chain было выведено около 100 миллионов долларов США и зачислено в пул ликвидности Ellipsis Финансы.

На момент публикации связаться с командой POLY для получения комментариев не удалось.

POLY Network стал вторым китайским протоколом взаимодействия, представленным в поддерживаемой правительством сервисной сети на основе блокчейна.

Анатомия подвигов

BlockSec, китайская компания по безопасности блокчейнов, заявила в своем отчете:первоначальный отчет по анализу атакичто взлом мог быть вызван утечкой закрытого ключа, который использовался для подписи кросс-чейн сообщения.

Однако также было добавлено, что еще одной возможной причиной является потенциальная ошибка в процессе подписания Poly, которая могла быть «использована» для подписания сообщения.

По данным другой китайской компании, занимающейся безопасностью блокчейнов,Медленный туман, первоначальные средства злоумышленников находились вMonero, Криптовалюта, ориентированная на конфиденциальность, а затем были обменены на BNB, ETH, MATICи несколько других жетонов.

Затем злоумышленники инициировали атаки на блокчейны Ethereum, BSC и Polygon . Вывод был поддержан партнерами Slowmist, включая китайскую биржу Hoo.

«Судя по потокам средств и многочисленным отпечаткам пальцев, это, скорее всего, давно спланированная, организованная и хорошо подготовленная атака», — пишет Slowmist.

В ответ на атаку представитель Binance Smart Chain сообщил CoinDesk , что поскольку блокчейн «децентрализован», протоколы и пользователи BSC должны «крайне серьезно» относиться к мерам безопасности.

«Мы знаем об эксплойте POLY , который затронул пользователей Ethereum, Polygon и BSC», — сказал представитель. «Недавно несколько ненадежных мостов стали жертвами таких критических атак, и мы рекомендуем проводить аудит безопасности и необходимую проверку перед взаимодействием с любыми проектами».

Представитель компании сообщил, что в настоящее время BSC работает со своими партнерами по безопасности, чтобы оказать максимальную поддержку продолжающемуся расследованию.

Инцидент POLY Network показывает, насколько уязвимы к атакам зарождающиеся кросс-чейн протоколы. В июле кросс-чейн протокол ликвидности THORChain пострадал два эксплойта за две недели. RARI Capital, еще один кросс-чейн протокол DeFi, был подвергся нападению в мае, потеряв около 11 миллионов долларов в ETH.

«Как показывают все эксплойты, которые мы наблюдали, кросс-чейн — это очень сложная область… с дополнительной сложностью связей с каждой другой цепочкой и всеми их особенностями», — сказал Райан Уоткинс, аналитик-исследователь из компании Messari, занимающейся данными о блокчейнах.

ОБНОВЛЕНИЕ (10 августа, 14:30 UTC):Добавляет информацию об адресах кошельков и движении Tether.

ОБНОВЛЕНИЕ (10 августа, 14:54 UTC):Добавляет информацию о выводе средств с адреса Binance Smart Chain.

ОБНОВЛЕНИЕ (10 августа, 17:36 UTC):Добавляет комментарии от Slowmist и Messari.

ОБНОВЛЕНИЕ (10 августа, 18:02 UTC):Добавляет анализ возможных причин взлома от BlockSec.