暗号通貨の歴史の中で最大のもののXNUMXつがポリネットワークで撤回され、奇妙な結果が出たため、XNUMX月はハッキングにとって大きな月でした。
に対するサイバー攻撃 ポリネットワーク いくつかの奇妙なひねりと頭を悩ませるターンで見出しを作りました。 銀行強盗よりも暗号通貨取引所を略奪する方が簡単だと想像されるかもしれません。
ハイステークスの暗号通貨の盗難が増加しているようです。 ただし、これらの分散型テクノロジーは、当初からまだ進化していることを指摘する必要があります。 他のシステムと同様に、脆弱性が発見されると修正されます。
ポリネットワークの物語
ポリネットワークは間違いなく今月最大のハッカースキャンダルでした。
ハッカーは デジタル契約の脆弱性。 これらは、PolyNetworkがさまざまなチェーン間で暗号資産を移動するために使用するものです。 これを通して、彼らは自分たちの道を見つけました。
その後、彼らはXNUMXつのチェーンにまたがる記念碑的な暗号の強盗をやってのけました。 Ethereum、Binance、およびPolygonNetworkがすべてヒットしました。 彼らは分散型ファイナンスから600億ドル以上を流出させました(DeFi)プラットフォーム。
さらに、攻撃者はこの攻撃の間、パブリックプレゼンスを維持しました。 彼らはまで行った Q&Aを公開する 攻撃は「楽しみにに設立された地域オフィスに加えて、さらにローカルカスタマーサポートを提供できるようになります。」
しかし、金を奪う彼らの実際の動機は明らかではありません。 それの訳は 彼らの正当化 かなり矛盾していて、従うのが混乱しています。 彼らのQ&Aで、彼らは「安全に保つために」トークンを受け取ったと主張しています。
彼らは、ポリネットワークの内部関係者が脆弱性を見つけるのを防ぐためにお金を使ったと主張しました。 しかし、それを修正する代わりに、彼らは代わりにお金を取ることにしました。
彼らは脆弱性を心配することを彼らの責任にしているように見えました。 その後、彼らは強盗に注意を向けました DeFi 気づかれずにマネーロンダリングするための最良の方法を見つけようとすることによるプラットフォーム。
しかし、攻撃者は暗号コミュニティの監視の下で騒々しいトランザクションを行いました。 これらはパブリックブロックチェーンで観察されました。 彼らはCryptopunkNFTを購入しました 42,000 ETC、180億XNUMX万ドル以上の価値がある数字。
珍しいハッカーの動き
奇妙なことに、彼らは最終的に550億XNUMX万ドルの盗まれたお金を返しました。 ハッカーは、侵入が善意で行われたと説明しようとしたにもかかわらず、しばらくの間残りの半分をポケットに入れました。
で Twitterのスレッド、Poly Networkは、「影響を受けるブロックチェーンと暗号交換のマイナーに、上記のアドレスからのトークンをブラックリストに登録するよう呼びかけます…法的措置を取り、ハッカーに資産を返却するよう要請します。」
Tetherを操作する stablecoin USDT、 回答 攻撃者が使用したアドレスをブラックリストに登録するための呼び出し。
これが起こっていたとき、花城という名前の仲間の暗号通貨ユーザーが 空白のイーサリアムトランザクション 攻撃者に、ハッカーが変化する状況を回避するのを支援するためのアドバイスを提供し、「USDTトークンを使用しないでください。ブラックリストに登録されています」と述べています。
侵入者は13.37分後に花城に応答し、感謝の印として約57,000ドル相当のXNUMXETHを送信しました。 その後、花城はその資金の一部を慈善団体に送金しました。
コミュニティメンバーはハッカーをサポートします
この支払いの言葉は広まり、山火事のように広まりました。 これは、イーサリアムネットワークの「ゴールドラッシュ」に火をつけました。
共犯者になる可能性のある人は、攻撃者が使用したアカウントにメッセージを送り始め、慈善寄付を求めるためにマネーロンダリングを行う方法についてアドバイスを提供しました。
ポリネットワーク 明記 彼らは攻撃者に対して訴訟を起こすだろうと述べ、「どの国の法執行機関もこれを主要な経済犯罪と見なし、あなたは追跡されるだろう」と述べた。
返済されていない資金のために状況が悪化したため、ポリネットワークはその後 侵入者に申し出た 脆弱性を発見するための$ 500,000。
ハッカーは彼らを断った。 結局のところ、彼らはXNUMX億ドル近くの盗まれた資産を保有していました。
ポリネットワークがハッカーにお金を返すように促し、最終的には返還されるまでの間のどこかで、ポリネットワークは侵入者に彼らの新しいチーフとしての仕事を提供しました セキュリティ 顧問、これも拒否されました。
「ホワイトハット氏と連絡を取り合った後、状況がどのように展開したか、そしてホワイトハット氏の当初の意図についても、より完全に理解することができました」とポリネットワークは次のように報告しました。 ステートメント、このモニカによる侵入者を指します。
ハッキングの追跡
しかし、これで話は終わりではありません。 ブロックチェーンエコシステムセキュリティ会社であるSlowMistは、ハッカーに戻るスレッドをうまく解くことができました。
彼らは、オンチェーンおよびオフチェーンの追跡を使用して、メールボックス、IPアドレス、およびデバイスのフィンガープリントのマスクを解除することによってこれを行いました。
SlowMistのパートナーであるHooTiger Symbolの技術支援と、複数の参加交換により、SlowMistセキュリティチームは、攻撃者の最初の暗号化元がMonero (XMR)。
その後、取引所でBNB、ETH、MATICに資金を送金しました。 これに続いて、彼らはいくつかの住所に資金を引き出し、XNUMXつの取引所でハッキングを開始しました。
ブロックチェーンでのアクティビティの急増により、それらの追跡が容易になりました。 しかし、彼らは、この攻撃者が実行される前に、ハッキングを徹底的に調査、計画、および編成したと結論付けました。
より多くのハック、別の犠牲者
この物語で繰り広げられた次のイベントは、ケンブリッジにある人工知能研究所であるFetch.aiからのものでした。 要求されました そのBinanceは、ハッカーが6月XNUMX日に暗号通貨アカウントを侵害した後のハッカーの動きを特定して追跡するために機能します。
ネットワークは攻撃者のアカウントを制限しました。 したがって、彼らが資産を引き出すのを防ぎます。 その結果、攻撃者はこれらの資金をXNUMX時間以内に第三者に売却したと報告されています。
Fetch.aiは、Binanceが取引所の侵入者のアカウントを保留するように要求しました。 問題をさらに悪化させるために、最高裁判所は、事件が法的な経路を通じて完全に調査され解決されることができるように要求を認めました。
報告によると、Binanceは裁判所の命令に従う予定です。 それにもかかわらず、彼らは、彼らがこの問題の犠牲者であったことを示す証拠を提供するまで、回復命令を求めることができません。
「暗号資産は匿名であるという神話を払拭する必要があります。 現実には、適切なルールとアプリケーションを使用すれば、それらを追跡、追跡、および回復できます」と、Fetch.aiを代表するRahmanRavelliのパートナーであるSyedurRahmanは述べています。
Binanceはすでに 火の下で 世界中の金融機関が取引所を精査しているので。 英国は、他のいくつかの国とともに、取引所の使用について警告を発しています。 その間、他のものは完全に禁止を実行しました。
日本の液体暗号が破られました
97月のセキュリティインシデントはポリネットワークだけではありませんでした。 液体暗号。 攻撃者はまた、東京に拠点を置く日本の暗号交換所を攻撃しました。 彼らは、BTC、ETH、TRX、およびXRP。 ハッカーはホットウォレットを標的にしました。
LiquidCryptoはによって応答しました 格言 すべての資産を一時的にオフラインでコールドストレージウォレットに移動しています。 さらに、彼らはすべてのトランザクションサービスを一時停止しました。
取引所は、「現在、資産の動きを追跡し、他の取引所と協力して資金を凍結および回収している」と報告しました。
ブログ投稿によると、同社は 説明 ハッカーがマルチパーティ計算を標的にしたこと 財布 (MPC)。 MPCは、シンガポールの子会社であるQUOINEPTEの暗号通貨を保存および管理するために使用されます。 ただし、Liquid Cryptoは、侵入者がどのように侵入できたかを説明するステートメントを提供しませんでした。
「現在調査中であり、定期的に更新を提供します。 その間、預金と引き出しは停止されます」と交換は ツイート.
さらに、Liquid Cryptoのツイートには、ハッカーが盗んだ資産を盗み出すために使用した暗号通貨アドレスが表示されます。
バグバウンティは解決策を提供する可能性があります ハッキングする
最近のブログ投稿で、Poly Networkは、500,000ドルのバグ報奨金プログラムを開始すると発表しました。 これにより、研究者やハッカーがソフトウェアの脆弱性を発見して報告することができます。
バグバウンティによると リスト on 免疫、最大報奨金の支払いは$ 100,000です。 サイバーセキュリティ分野の積極的なアクターとのコラボレーションからの魅力的なインセンティブにより、これは資産保護の追加レイヤーと見なすことができます。
悪用可能な穴を見つけるためにレースで悪役を後回しにすることは、ねじれを解決することになると間違いなく重要です。 誰が最初にそれらを見つけるかは別の問題です。
バグバウンティプログラムはクラウドソーシングイニシアチブです。 これは、コード監査と侵入テストを通じて実行できるソフトウェアの脆弱性を見つけて報告した個人を補償します。
これにより、企業やサイバーセキュリティ業界のメンバーは、脅威の攻撃者が自分たちの利益のために使用するソリューションを発見する前に、ソリューションを見つけることができます。
免責事項
当社のウェブサイトに含まれるすべての情報は、誠意を持って、一般的な情報提供のみを目的として公開されています。 当社のウェブサイトに掲載されている情報に対して読者がとる行動は、厳密に自己責任で行ってください。
ソース:https://beincrypto.com/bug-bounties-a-possible-solution-to-cryptocurrency-exchange-hacks/