XNUMX월은 암호 화폐 역사상 가장 큰 것 중 하나가 폴리 네트워크에서 이상한 결과를 가져왔기 때문에 해킹의 큰 달이었습니다.
에 대한 사이버 공격 폴리 네트워크 몇 가지 기괴한 반전과 머리를 긁는 회전으로 헤드 라인을 장식했습니다. 암호화폐 거래소를 약탈하는 것이 은행을 털기보다 쉽다고 상상할 수 있습니다.
고액의 암호화폐 절도가 증가하고 있는 것으로 보입니다. 그러나 이러한 탈중앙화 기술은 시작부터 여전히 진화하고 있다는 점을 지적하는 것이 중요합니다. 다른 시스템과 마찬가지로 취약점이 발견되면 수정됩니다.
폴리 네트워크 사가
폴리 네트워크는 의심할 여지 없이 이번 달 최대의 해커 스캔들이었다.
해커가 발견한 디지털 계약의 취약성. 이것은 Poly Network가 다양한 체인 간에 암호화 자산을 이동하는 데 사용하는 것입니다. 이를 통해 그들은 자신의 길을 찾았습니다.
그런 다음 그들은 XNUMX개의 체인에 걸쳐 기념비적인 암호화폐 습격을 진행했습니다. 이더리움, Binance 및 Polygon Network가 모두 타격을 받았습니다. 그들은 분산 금융에서 600억 달러 이상을 빼돌렸습니다(DeFi) 플랫폼.
더욱이 공격자는 이 공격 동안 공개적인 존재를 유지했습니다. 그들은 심지어 Q&A를 게시하다 공격이 "재미있는. "
그러나 이들이 돈을 훔친 실제 동기는 명확하지 않다. 이 때문입니다 그들의 정당화 따르기에는 다소 모순되고 혼란스럽습니다. Q&A에서 그들은 토큰을 "안전하게 유지하기 위해" 가져갔다고 주장합니다.
그들은 Poly Network의 내부자가 취약점을 찾는 것을 막기 위해 돈을 가져갔다고 주장했습니다. 그러나 그들은 그것을 고치는 대신 돈을 받기로 결정했습니다.
그들은 취약성에 대해 걱정하는 것을 자신의 책임으로 여기는 것처럼 보였습니다. 그런 다음 그들은 강도질에 주의를 집중했습니다. DeFi 눈에 띄지 않게 돈을 세탁하는 가장 좋은 방법을 찾으려고 노력함으로써 플랫폼.
그러나 공격자는 암호화 커뮤니티의 감시하에 시끄러운 거래를 했습니다. 이는 퍼블릭 블록체인에서 관찰되었습니다. 그들은 심지어 Cryptopunk NFT를 구입했습니다. 42,000 등, 180억 XNUMX천만 달러 이상의 가치가 있는 수치입니다.
특이한 해커 움직임
이상한 점은 그들이 결국 훔친 돈 중 550억 XNUMX천만 달러를 반환했다는 것입니다. 해커는 침입이 선의로 수행된 것이라고 설명했지만 잠시 동안 나머지 절반을 주머니에 넣었습니다.
안에 트위터 스레드, 폴리 네트워크는 "우리는 영향을 받는 블록체인 및 암호화폐 거래소의 채굴자들에게 위 주소에서 오는 토큰을 블랙리스트에 올릴 것을 촉구합니다... 우리는 법적 조치를 취하고 해커가 자산을 반환할 것을 촉구합니다."라고 말했습니다.
Tether, 운영하는 stablecoin USDT, 응답 공격자가 사용하는 주소를 블랙리스트에 올리기 위해 호출합니다.
이런 일이 발생하면서 Hanashiro라는 이름의 동료 암호 화폐 사용자는 빈 이더리움 거래 "USDT 토큰을 사용하지 마십시오. 당신은 블랙리스트에 올라 있습니다."
침입자는 13.37분 후 Hanashiro에게 응답하여 감사의 표시로 약 $57,000 상당의 XNUMX ETH를 보냈습니다. 하니시로는 기금의 일부를 자선단체에 보냈다.
커뮤니티 회원은 해커를 지원합니다.
이 지불에 대한 소문은 들불처럼 퍼져 나갔습니다. 이것은 이더리움 네트워크에서 "골드 러시"로 촉발되었습니다.
공범이 되려는 사람들은 공격자가 사용하는 계정에 메시지를 보내기 시작하여 자선 기부를 요청하기 위해 돈을 세탁하는 방법에 대한 조언을 제공했습니다.
폴리 네트워크 정해진 공격자에 대해 법적 조치를 취하겠다고 밝혔으며 “어느 나라든 법 집행 기관은 이를 중대한 경제 범죄로 간주하고 당신을 추격할 것”이라고 말했다.
미반환 자금으로 상황이 악화되자 폴리네트워크는 침입자를 제안했다 취약점 발견에 대해 $500,000.
해커는 그들을 거절했습니다. 결국, 그들은 도난당한 자산으로 거의 XNUMX억 달러를 보유하고 있었습니다.
Poly Network는 해커에게 돈을 돌려줄 것을 촉구하고 결국 반환되는 사이 어딘가에서 Poly Network는 침입자에게 새로운 책임자로 일할 것을 제안했습니다. 보안 역시 거부된 고문.
Poly Network는 "White Hat과 대화한 후 상황과 White Hat의 원래 의도에 대해 더 완벽하게 이해하게 되었습니다."라고 보고했습니다. 성명서, 여기서 그들은 이 이름으로 침입자를 나타냅니다.
해킹 추적
그러나 이것이 이야기의 끝이 아닙니다. 블록체인 생태계 보안 회사인 SlowMist는 해커로 이어지는 실을 성공적으로 풀 수 있었습니다.
그들은 온체인 및 오프체인 추적을 사용하여 사서함, IP 주소 및 장치 지문의 마스킹을 해제했습니다.
SlowMist의 파트너인 Hoo Tiger Symbol의 기술 보좌관과 여러 참여 거래소를 통해 SlowMist 보안 팀은 공격자의 초기 암호화 소스가 다음임을 확인할 수 있었습니다.모네로 (XMR).
그런 다음 거래소에서 BNB, ETH 및 MATIC으로 자금을 이체했습니다. 그 후, 그들은 여러 주소로 자금을 인출한 다음 XNUMX개 거래소에서 해킹을 시작했습니다.
블록체인에서 일어나는 다양한 활동으로 인해 추적이 더 쉬워졌습니다. 그러나 그들은 이 공격자가 해킹을 실행하기 전에 철저히 조사하고 계획하고 조직했다고 결론지었습니다.
더 많은 해킹, 다른 피해자
이 이야기에서 전개된 다음 이벤트는 케임브리지에 위치한 인공 지능 연구소인 Fetch.ai에서 나왔습니다. 요청하신 바이낸스는 6월 XNUMX일 해커가 암호화폐 계정을 해킹한 후 해커의 움직임을 식별하고 추적하기 위해 노력하고 있습니다.
네트워크가 공격자의 계정을 제한했습니다. 따라서 자산 인출을 방지합니다. 결과적으로 공격자는 이 자금을 XNUMX시간 이내에 제XNUMX자에게 판매한 것으로 알려졌습니다.
Fetch.ai는 Binance가 거래소에서 침입자의 계정을 보류하도록 요청했습니다. 문제를 더 복잡하게 만들기 위해 대법원은 사건을 완전히 조사하고 법적 채널을 통해 해결할 수 있도록 요청을 승인했습니다.
보고서에 따르면 Binance는 법원 명령을 준수할 것입니다. 그럼에도 불구하고 그들은 이 문제에서 피해자가 되었다는 증거를 제공할 때까지 회복 명령을 요청할 수 없습니다.
“암호 자산이 익명이라는 신화를 없애야 합니다. Fetch.ai를 대표하는 Rahman Ravelli의 파트너인 Syedur Rahman은 "현실은 올바른 규칙과 응용 프로그램을 통해 추적, 추적 및 복구할 수 있다는 것"이라고 말했습니다.
바이낸스는 이미 불 밑에 전 세계 금융 기관이 거래소를 면밀히 조사하고 있기 때문입니다. 영국은 다른 여러 국가와 함께 거래소 사용에 대한 경고를 발표했습니다. 한편, 다른 사람들은 금지를 완전히 시행했습니다.
일본 리퀴드 크립토(Liquid Crypto) 침해
97월의 보안 사고는 폴리 네트워크만이 아니었다. 리퀴드 크립토. 위협 행위자는 도쿄에 기반을 둔 일본 암호화폐 거래소도 공격했습니다. 그들은 BTC, ETH, TRX 및XRP. 해커는 핫 월렛을 표적으로 삼았습니다.
Liquid Crypto는 다음과 같이 응답했습니다. 속담 일시적으로 모든 자산을 오프라인에서 콜드 스토리지 지갑으로 옮기고 있습니다. 또한 모든 거래 서비스를 중단했습니다.
거래소는 "현재 자산의 움직임을 추적하고 있으며 자금 동결 및 회수를 위해 다른 거래소와 협력하고 있다"고 전했다.
블로그 게시물에 따르면 회사는 설명 해커가 Multi-Party Computation을 목표로 삼았다는 지갑 (MPC). MPC는 싱가포르 자회사인 QUOINE PTE의 암호화폐를 저장하고 관리하는 데 사용됩니다. 그러나 Liquid Crypto는 침입자가 침입할 수 있었던 방법을 설명하는 성명을 제공하지 않았습니다.
“현재 조사 중이며 정기적인 업데이트를 제공할 것입니다. 그 동안 입출금이 중단될 것"이라고 거래소는 밝혔다. 짹짹.
또한 Liquid Crypto 트윗에는 해커가 도난당한 자산을 빼내는 데 사용한 암호 화폐 주소가 표시됩니다.
버그 현상금이 해결책을 제시할 수 있음 해킹에
최근 블로그 게시물에서 Poly Network는 $500,000 버그 포상금 프로그램을 시작할 것이라고 말했습니다. 이것은 연구원과 해커가 소프트웨어의 취약점을 발견하고 보고하는 것을 환영합니다.
버그 현상금에 따르면 리스팅 on 면역, 최대 현상금 지급액은 $100,000입니다. 사이버 보안 분야에서 긍정적인 행위자들과의 협력을 통한 매력적인 인센티브를 통해 이는 자산 보호의 추가 계층으로 볼 수 있습니다.
악용할 수 있는 구멍을 찾기 위한 경쟁에서 악의적인 행위자를 뒤에 두는 것은 문제를 해결할 때 의심할 여지 없이 핵심입니다. 누가 먼저 발견하느냐는 또 다른 문제다.
버그 바운티 프로그램은 크라우드소싱 이니셔티브입니다. 코드 감사 및 침투 테스트를 통해 수행할 수 있는 소프트웨어 취약성을 발견하고 보고하는 개인에게 보상합니다.
이를 통해 사이버 보안 업계의 기업과 구성원은 위협 행위자가 자신의 이익을 위해 사용할 솔루션을 발견하기 전에 솔루션을 찾을 수 있습니다.
책임 부인
당사 웹 사이트에 포함 된 모든 정보는 선의로 일반 정보 목적으로 만 게시됩니다. 독자가 당사 웹 사이트에있는 정보에 대해 취하는 모든 조치는 전적으로 자신의 책임입니다.
출처: https://beincrypto.com/bug-bounties-a-possible-solution-to-cryptocurrency-exchange-hacks/