Poly Network đã bị tấn công một lần nữa, lần này là do các private key bị xâm phạm theo công ty bảo mật blockchain Dedaub.
Các chi tiết khác đang dần được đưa ra ánh sáng sau cuộc tấn công vào ngày 2 tháng 7 trên nền tảng cầu nối crosschain Poly Network, dẫn đến việc một hacker có thể phát hành hàng tỷ token để kiếm lợi nhuận.
Trong một bài đăng trên Twitter vào ngày 2 tháng 7, Poly Network đã xác nhận rằng họ đã trở thành nạn nhân trong vụ gian lận DeFi mới nhất sau khi những kẻ tấn công đã lợi dụng chức năng hợp đồng thông minh trên giao thức cầu nối crosschain.
Trong bản cập nhật gần đây nhất, nhóm đã tiết lộ cuộc tấn công đã ảnh hưởng đến 57 tài sản tiền mã hóa trên blockchain — bao gồm Ethereum, BNB Chain, Polygon, Avalanche, Heco, OKx và các chuỗi khác như Metis.
Các bên không nêu rõ số tiền đã bị đánh cắp trong cuộc tấn công nhưng Peckshield trước đó đã báo cáo rằng kẻ tấn công đã chuyển số tiền mã hóa trị giá ít nhất 5 triệu đô la ra ngoài.
“Chúng tôi đã bắt đầu liên lạc với các sàn giao dịch tập trung và các cơ quan thực thi pháp luật, đồng thời tìm kiếm sự hỗ trợ của họ,” nhóm cho biết trong bản cập nhật ngày 3 tháng 7. Các nhóm dự án và chủ sở hữu token cũng nên rút thanh khoản và ngưng khóa các token LP (liquidity provider) của họ.
Phân tích vụ hack ’34 tỷ’ Poly Network
Nhà phân tích bảo mật DeFi @0xArhat cho biết vụ tấn công này là hậu quả của lỗ hổng hợp đồng thông minh cho phép tin tặc “tạo ra một tham số độc hại có chứa chữ ký xác nhận giả mạo và tiêu đề khối”.
Thứ này đã được hợp đồng thông minh chấp nhận cho phép tin tặc bỏ qua quy trình xác minh cho phép chúng phát hành token từ nhóm Ethereum của Poly Network đến địa chỉ của chính chúng trên các chuỗi khác, chẳng hạn như Metis, BNB Chain và Polygon.
Quá trình này được lặp lại đối với các chuỗi khác cho đến khi lượng token lên đến hàng chục tỷ. Nhà phân tích cho biết sau một lúc, ví của hacker chứa khoảng 42 tỷ đô la token nhưng chúng chỉ có thể giao dịch một phần trong số đó vì một số không có thanh khoản.
Bridge là một phần quan trọng trong hệ sinh thái của Web 3, cho phép người dùng di chuyển nội dung từ mạng này sang mạng khác. Người dùng khóa token trên một chuỗi sẽ được cấp một số tiền tương đương trên một chuỗi khác. Tuy nhiên, các bridge trong lịch sử là một mục tiêu béo bở cho tin tặc.
Trên mạng layer 2 Metis, những kẻ tấn công đã tự phát hành gần 100 triệu BNB và 10 tỷ đô la của stablecoin BUSD mang nhãn hiệu Binance trong của cuộc tấn công Poly Network, theo nhà báo tiền điện tử Trung Quốc Colin Wu.
Gần 100 nghìn tỷ Shiba Inu meme coin đã được phát hành trên mạng Heco. Một số lượng đáng kể altcoin cũng đã được phát hành trên Polygon và Avalanche.
“Bằng cách này, tin tặc đã có thể đúc hàng tỷ token trên nhiều chuỗi khối khác nhau chưa tồn tại trước đó và chuyển chúng đến địa chỉ ví của chính chúng.” Việc khai thác Poly Network mới nhất đã được nhà cung cấp giải pháp bảo mật chuỗi khối Dedaub đặt tên là “vụ hack 34 tỷ Poly Network”.
Vụ tấn công Poly Network mới nhất đã được nhà cung cấp giải pháp bảo mật blockchain Dedaub đặt tên là “vụ hack 34 tỷ đô la trên Poly Network”.
Getting to the bottom of the "34 billion" Poly network hack with a technical postmortem.
TL ; DR
Poly network had a simple 3 of 4 multisig arrangement over 2 years!
Looking at the final event we found that the private keys to the addresses marked were compromised. pic.twitter.com/Y0eMJXcYso
— Dedaub (@dedaub) July 2, 2023
Dedaub đã lưu ý những điểm yếu trong tính nằng đa chữ ký của giao thức nói rằng nó có chỉ yêu cầu “3 trên 4” đa chữ ký đơn giản trong hơn hai năm, đồng thời nói thêm:
“Nhìn vào sự kiện cuối cùng, chúng tôi thấy rằng các private key của các địa chỉ được đánh dấu đã bị xâm phạm.”
Dedaub giải thích rằng cuộc tấn công không phức tạp vì không có lỗi logic nào bị khai thác. Họ nói thêm rằng Poly Network đã phản ứng chậm trong 7 giờ, khiến nền tảng phải trả 5,5 triệu đô la tiền điện tử bị đánh cắp.
May mắn thay, việc thiếu thanh khoản trong nhiều token đã ngăn chặn tổn thất nhiều hơn. Sau vụ tấn công, Giám đốc điều hành Binance, Changpeng Zhao đã trấn an khách hàng, nói rằng “Điều này không ảnh hưởng đến người dùng Binance. Chúng tôi không hỗ trợ tiền gửi từ mạng này.”
Poly Network got rekt again; allegedly because of compromised hot keys.
It's going to keep happening untill our industry changes our approach to security.
Smart contract audits only scratch the surface.
ps Poly network has NOTHING to do with Polygon. https://t.co/n1qI48b4Kb
— Mudit Gupta (@Mudit__Gupta) July 2, 2023
Mạng Poly đã bị tấn công một lần trước đó trong một trong những vụ gian lận lớn nhất của ngành vào tháng 8 năm 2021 khi các tin tặc, sau đó được tiết lộ là có liên hệ với tập đoàn tấn công Lazarus của Bắc Triều Tiên, đã kiếm được hơn 600 triệu đô la.
Hiện Poly Network đã tạm ngưng cung cấp dịch vụ và kêu gọi hỗ trợ của các chuyên gia an ninh mạng và cá nhân có kiến thức trong cộng đồng.
Dear users,
As we continue to address this situation, we regret to inform you that our services will remain temporarily suspended.
【1/7】— Poly Network (@PolyNetwork2) July 2, 2023