Jak haker PolyNetwork ukradł 600 milionów dolarów? Eksperci ds. Bezpieczeństwa wskazują palcami

Ponad siedem godzin po pierwszym zgłoszeniu szczegóły dotyczące exploita, który przyciągnął 600 milionów dolarów w postaci zasobów cyfrowych z PolyNetwork, powoli wychodzą na światło dzienne. Wobec braku kompleksowego audytu grupy ds. cyberbezpieczeństwa wspólnie powstrzymywały programistów stojących za siecią kompatybilności międzyłańcuchowej: To wasza wina.

Fundusze powiązane z atakiem zostały prześledzone pod trzema różnymi adresami – po jednym na każdy Ethereum, Inteligentny łańcuch Binance, Wielokąt.

Jeśli chodzi o łańcuch wydarzeń, w wyniku którego znalazły się tam niewłaściwie zgromadzone fundusze, eksperci ds. bezpieczeństwa mają odmienne zdanie – niektórzy posuwają się nawet do oskarżania swoich kolegów o wprowadzanie opinii publicznej w błąd.

Według wstępnej analizy przeprowadzonej przez chińskiego audytora bezpieczeństwa BlockSec, która, jak ostrzegł, nie została jeszcze zweryfikowana, kradzież może wynikać albo z „wycieku klucza prywatnego używanego do podpisywania wiadomości między łańcuchami”, albo „ błąd w procesie podpisywania PolyNetwork, który został wykorzystany do podpisania spreparowanej wiadomości.”

Inni badacze również sugerowali, że złe praktyki bezpieczeństwa mogły doprowadzić do kradzieży kluczy prywatnych używanych przez zespół PolyNetwork do autoryzacji transakcji.

Programista Ethereum i badacz bezpieczeństwa Mudit Gupta napisał że PolyNetwork używa portfela multisig do transakcji. W jego konfiguracji dostęp do klucza do podpisywania transakcji mają cztery osoby, a trzy muszą podpisać: „Napastnik przechwycił co najmniej 3 opiekunów, a następnie za ich pomocą zmienił opiekunów na jednego opiekuna”. W efekcie haker je zablokował. (Gupta początkowo myślał, że Poly użył multisygnatury 1/1.)

Zespół ds. bezpieczeństwa Blockchain, SlowMist, twierdzi, że nie dokładnie tak się stało. Zamiast tego, jak twierdzi, osoba atakująca wykorzystała lukę w funkcji inteligentnego kontraktu, aby zmienić jego opiekuna, przekierowując przepływ środków na własny adres atakującego. „To nie jest tak, że zdarzenie to miało miejsce w wyniku wycieku klucza prywatnego posiadacza” – it zgłaszane.

Firma PolyNetwork przesłała dalej post na blogu, natomiast Gupta zdecydowanie nie zgodził się ze SlowMist, sugerując albo rażącą impotencję, albo korupcję.

Niezależnie od tego, czy osoba atakująca uzyskała klucze prywatne, czy wykorzystała słaby inteligentny kontrakt, jednym ze sposobów osiągnięcia którejkolwiek z tych rzeczy jest przejęcie kontroli. Ale czy była to praca wewnętrzna? W końcu, według firmy analitycznej CipherTrace, zajmującej się analizą blockchain, tak zwane rug pulls, rodzaj oszustwa związanego z wyjściem, były najpopularniejsza forma oszustwa kryptowalutowego ostatni rok. 

Jest za wcześnie, żeby to stwierdzić. SlowMist twierdzi, że „przechwyciło skrzynkę pocztową, adres IP i odciski palców urządzenia atakującego poprzez śledzenie w łańcuchu i poza łańcuchem oraz śledzi możliwe wskazówki dotyczące tożsamości powiązane z atakującym Poly Network”. Jednak dochodzenie nie doprowadziło jeszcze do tego, aby dyrektor Poly trzymał dymiącą broń. (Lub, jeśli tak, SlowMist jeszcze tego nie mówi.)

Na razie nie jest jasne, czy atakującemu uda się wykorzystać te środki. PolyNetwork poprosił również „kopaczy zagrożonych giełd blockchain i kryptowalut o umieszczenie na czarnej liście tokenów” z adresów exploita. W odpowiedzi Tether oświadczył, że zamroził 33 miliony dolarów w USDT w związku z atakiem, podczas gdy dyrektorzy Binance, OKEx i Huobi zobowiązali się pomóc ograniczyć szkody.

Haker jednak podjął decyzję wygłaszanie drwin z blockchainu Ethereum, poprzez dołączanie wiadomości do bloków. „A CO JEŚLI ZROBIĘ NOWY TOKEN I POZWOLĘ DAO ZDECYDOWAĆ, GDZIE Pójdą ŻETONY” – napisali w jednym wiadomość.

Być może, ale może ktoś inny powinien napisać do tego inteligentne kontrakty.

Źródło: https://decrypt.co/78250/how-did-polynetwork-hacker-steal-600-million-security-experts-point-fingers