O hack da Poly Network expõe falhas de DeFi, mas a comunidade vem em seu socorro

0 201

Embora parecesse que os hacks de criptografia estavam em declínio, apenas recentemente o mercado foi testemunha de um dos maiores ataques de todos os tempos na jovem história das finanças descentralizadas (DeFi), em que um hacker desconhecido foi capaz de explorar uma brecha na cadeia cruzada a estrutura digital do protocolo da Poly Network, obtendo assim US $ 610 milhões de três blockchains separados.

A Poly Network é um projeto colaborativo liderado pela Ontology, Neo e Switcheo. Ele busca promover uma “aliança de protocolo de interoperabilidade heterogênea” integrando blockchains ao ecossistema de cadeia cruzada maior. Graças à sua infraestrutura, o protocolo permite que os usuários troquem tokens em diferentes blocos de blocos de forma contínua.

Elaborando mais sobre o desenvolvimento, a equipe principal de desenvolvedores da Poly Network revelou que o ataque resultou em aproximadamente $ 273 milhões da Ethereum, $ 85 milhões em USD Coin (USDC) da rede Polygon e $ 253 milhões da Binance Smart Chain comprometida. Além disso, grandes quantidades de renBTC, Bitcoin empacotado (wBTC) e Ether empacotado (wETH) também foram perdidas como parte do exploit.

Em relação a como o hack aconteceu, Anton Bukov, cofundador da DeFi aggregator 1inch Network, disse à Cointelegraph que um dos subsistemas da Poly Network – projetado para ser capaz de encaminhar as interações de contrato inteligente dos usuários entre diferentes blockchains – acabou sendo defeituoso, adicionando:

“O hacker fez uma ponte sobre as interações de transações falsas em uma cadeia para fazer o contrato do sistema em outra, transferindo os direitos de propriedade do cofre dos ativos para a chave pública do hacker. Os desenvolvedores e auditores da Poly Network não perceberam a vulnerabilidade, permitindo várias chamadas arbitrárias de usuários por meio de um contrato inteligente com muitos privilégios ”.

Colocando um chapéu branco

Apresentando suas idéias sobre o assunto, John Jefferies, analista financeiro chefe da CipherTrace, disse à Cointelegraph que este incidente foi especialmente interessante em comparação com quaisquer hacks DeFi do passado, que normalmente usavam uma forma de empréstimos rápidos e arbitragem para explorar um contrato inteligente e roubar fundos, adicionando:

“O hacker encontrou essencialmente um exploit que lhe permitiu ignorar as chaves privadas e fazer com que o contrato apenas enviasse os fundos para ele mesmo. Em todas as trocas que o hacker fez em um esforço para ofuscar seu rastro, parece que o hacker reutilizou uma carteira que já tinha transações anteriores com algumas trocas proeminentes que teriam informações de identificação KYC sobre ele. ”

Além disso, Jefferies não está totalmente convencido de quais eram as intenções do hacker, embora todos os fundos roubados estejam de volta ao seu devido lugar. “É improvável que um chapéu branco tivesse tomado as medidas para tentar ofuscar a trilha de fundos se eles sempre tivessem a intenção de devolver o dinheiro”, opinou.

Em uma reviravolta estranha, mas interessante, logo após a violação, o hacker da Poly Network conduziu uma auto-entrevista no estilo Ask Me Anything, usando mensagens embutidas em transações Ethereum. Quando questionado sobre por que a Poly Network, em particular, foi escolhida como um alvo, o hacker respondeu “hacking cross chain é quente,” acrescentando que eles gastaram uma boa quantidade de tempo tentando identificar vulnerabilidades na rede para explorar.

Não apenas isso, o hacker afirmou que o plano nunca era manter os $ 610 milhões, mas sim expor a vulnerabilidade às massas antes que os desenvolvedores da Poly Network pudessem secretamente consertar o bug. “Eu gostaria de dar a eles [Poly Network] dicas sobre como proteger suas redes, para que possam se qualificar para gerenciar um bilhão [dollar] projeto no futuro. ” Ele continuou a adicionar:

“Ao detectar o bug, tive sentimentos confusos. Pergunte a si mesmo o que você faria se fosse confrontado com tal fortuna. Pedindo educadamente à equipe do projeto para que eles possam consertar? Qualquer um poderia ser o traidor dado um bilhão. Não posso confiar em ninguém! A única solução que posso encontrar é salvá-lo em uma conta confiável. ”

Os fundos estão de volta

A Poly Network divulgou um comunicado na quinta-feira anunciando que todos os $ 610 milhões dos fundos haviam sido transferido para uma carteira multisig que está sob sua supervisão junto com o hacker. Os únicos tokens restantes incluem US $ 33 milhões em Tether (USDT), que foram congelados imediatamente após a notícia do ataque.

O hacker Poly Network começou devolvendo uma parte significativa dos fundos roubados para o protocolo DeFi de cadeia cruzada. De fato, um pouco mais de um dia após o evento, a CipherTrace confirmou que pelo menos $ 265 + milhões foram devolvidos à Poly Network na forma de $ 1 milhão em USDC; $ 256,2 milhões principalmente via Bitcoin BEP-2 (BTCB), Binance pegged-Ether e Binance USD (BUSD); $ 2.637 milhões em Binance Coin (BNB); e $ 3,4 milhões em Shiba Inu (SHIB), renBTC e Fei.

Desde o início, o invasor afirmou estar disposto a devolver a totalidade dos fundos roubados – uma promessa que foi entregue na quinta-feira passada – alegando que a intenção era ensinar a Poly uma lição cara sobre suas falhas de segurança.

No entanto, Tom Robinson, cientista-chefe da empresa de análise de blockchain Elliptic, é da opinião que a mudança de opinião pode ter sido devido ao fato de que o hacker achou extremamente difícil lavar / sacar os ativos roubados devido à transparência do blockchain.

Sebastian Bürgel, fundador do protocolo de privacidade de dados HOPR baseado em Ethereum, disse à Cointelegraph que, embora roubos nunca sejam uma coisa boa, ele acha que é impressionante que a comunidade DeFi tenha conseguido se unir – de Tether congelando US $ 33 milhões em USDT a OKEx e Binance ajudando no monitoramento dos fundos desviados – para evitar que o hacker retire ou troque qualquer um dos ativos envolvidos, acrescentando:

“Esperançosamente, isso encorajará um foco maior em segurança e auditoria. O entusiasmo do DeFi é contagiante, mas é importante lembrar que há um grande valor em jogo. O desejo de se mover rapidamente não supera a segurança. ”

“Não, obrigado”, diz “Sr. Chapéu branco”

Depois de determinar os motivos do hacker para ser completamente limpo, um porta-voz da Poly Network disse que a empresa estava disposta a oferecer o indivíduo – a quem a empresa apelidou de “Sr. White Hat, ”- uma recompensa de $ 500.000 por meio de uma mensagem que dizia:“ Enviaremos a você a recompensa de 500k quando os fundos restantes forem devolvidos, exceto o USDT congelado. ”

Surpreendentemente, o hacker recusou educadamente, afirmando que nunca respondeu à oferta. “Vou mandar todo o dinheiro de volta”, disse ele, encerrando a sessão.

Relacionado: Como os protocolos DeFi são hackeados?

Com todos os fundos de volta no lugar – exceto o já mencionado USDT congelado – parece que o maior hack na história das finanças descentralizadas finalmente chegou ao fim. E embora a identidade do hacker continue a ser um mistério, a empresa chinesa de segurança cibernética SlowMist lançou recentemente uma atualização alegando que sua equipe de segurança foi capaz de identificar o endereço de e-mail, endereço IP e impressão digital do dispositivo do invasor.

Esperançosamente, este episódio serve como um lembrete severo de como a segurança deve ser sempre de suprema importância ao lançar as bases de qualquer projeto, independentemente de sua proposta tecnológica. Portanto, será interessante ver como as startups e outras empresas que operam no DeFi continuam a evoluir e atualizar suas configurações de segurança existentes porque, da próxima vez, o hacker pode não estar disposto a devolver o dinheiro.


Receba gratuitamente o Guia Prático do Bitcoin.

Credit: Fonte

Compartilhe sua opinião.

%d blogueiros gostam disto: