Poly Network подверглась атаке из-за взлома закрытых ключей, согласно данным Dedaub.

В сообщении в Twitter от 2 июля Poly Network подтвердила, что стала последней жертвой эксплойта DeFi после того, как злоумышленникам удалось манипулировать функцией смарт-контракта в протоколе cross-chain bridge, добавив, что временно приостановит обслуживание. ElonNewz

Стали известны новые подробности атаки на платформу межцепочечного моста Poly Network 2 июля, в результате которой хакер получил возможность выпустить миллиарды токенов с целью получения прибыли.

В сообщении в Twitter от 2 июля Poly Network подтвердила, что стала последней жертвой эксплойта DeFi после того, как злоумышленникам удалось манипулировать функцией смарт-контракта в протоколе cross-chain bridge, добавив, что временно приостановит обслуживание.

В последнем обновлении команда сообщила, что эксплойт затронул 57 криптоактивов на 10 блокчейнах, включая Ethereum, BNB Chain, Polygon, Avalanche, Heco, OKx и другие, такие как Metis.

Она не уточнила, какая сумма была украдена в результате атаки, но Peckshield ранее сообщил, что злоумышленник перевел криптовалюту на сумму не менее 5 миллионов долларов.

"Мы уже начали общение с централизованными биржами и правоохранительными органами и обратились к ним за помощью", - заявила команда в обновлении от 3 июля.

Она также посоветовала командам проекта и держателям токенов вывести ликвидность и разблокировать свои токены LP (поставщик ликвидности).

Аналитик по безопасности DeFi @0xArhat сказал, что эксплойт был результатом уязвимости смарт-контракта, которая позволила хакеру "создать вредоносный параметр, содержащий поддельную подпись валидатора и заголовок блока".

Это было принято смарт-контрактом, что позволило хакеру обойти процесс проверки и выпустить токены из Ethereum-пула Poly Network на свой собственный адрес в других сетях, таких как Metis, BNB Chain и Polygon.

Процесс повторялся для других цепей, что позволило накопить большое количество токенов.

В какой-то момент в кошельке хакера хранилось токенов на сумму около 42 миллиардов долларов, но он смог конвертировать и украсть лишь часть из них, говорит аналитик.

"Таким образом, хакер смог майнить миллиарды токенов на различных блокчейнах, которых раньше не существовало, и переводить их на собственные адреса кошельков".

Последний эксплойт Poly Network был назван поставщиком решений по безопасности блокчейна Dedaub "34-миллиардным взломом Poly Network".

Dedaub отметил слабые места в мультиподписи протокола, заявив, что в течение двух лет в нем использовалась простая схема мультиподписи "3 из 4", добавив:

"Просматривая финальное событие, мы обнаружили, что закрытые ключи для отмеченных адресов были скомпрометированы".

Dedaub объяснил, что атака не была сложной, поскольку не были использованы логические ошибки. Он добавил, что Poly Network реагировала медленно, потратив на это семь часов, что стоило платформе 5,5 млн долларов в виде украденных криптовалют. К счастью, отсутствие ликвидности во многих токенах предотвратило дальнейшие потери.

После атаки генеральный директор Binance Чанпэн Чжао успокоил клиентов, заявив: "Это не затрагивает пользователей Binance. Мы не поддерживаем депозиты из этой сети".

Poly Network уже подвергалась атаке в августе 2021 года, когда хакеры, которые, как выяснилось позже, были связаны с северокорейской хакерской группой Lazarus Group, похитили более 600 миллионов долларов.