Ağustos, kripto para birimi tarihinin en büyük saldırılarından birinin Poly Network'te garip sonuçlarla gerçekleştirilmesi nedeniyle hackler için büyük bir ay oldu.
Şirkete yönelik siber saldırı Poly Ağ birçok tuhaf dönüş ve kafa karıştırıcı dönüşlerle manşetlere taşındı. Kripto para borsalarını yağmalamanın banka soymaktan daha kolay olduğu düşünülebilir.
Yüksek riskli kripto para hırsızlıkları görünüşte artıyor. Ancak, bu merkezi olmayan teknolojilerin başlangıcından bu yana hala gelişmeye devam ettiğini belirtmek önemlidir. Her sistemde olduğu gibi, güvenlik açıkları keşfedildiğinde giderilir.
Poly Network efsanesi
Poly Network şüphesiz bu ayın en büyük hacker skandalıydı.
Bilgisayar korsanı bir tane buldu Dijital sözleşmelerdeki güvenlik açığı. Bunlar Poly Network'ün kripto varlıklarını çeşitli zincirler arasında taşımak için kullandığı şeylerdir. Bu sayede içeri girmenin yolunu buldular.
Daha sonra üç zincirde devasa bir kripto soygunu gerçekleştirdiler. Ethereum, Binance ve Polygon Network'ün tümü darbe aldı. Merkezi olmayan finanstan 600 milyon doların üzerinde para çektiler (Defi) platformu.
Üstelik saldırgan, bu saldırı sırasında kamuoyunun önünde varlığını sürdürdü. Hatta o kadar ileri gittiler ki Soru-Cevap yayınla saldırının “eğlence için".
Ancak parayı çalmanın gerçek nedenleri net değil. Bunun nedeni ise onların gerekçeleri takip edilmesi oldukça çelişkili ve kafa karıştırıcıdır. Soru-Cevap bölümünde jetonları "güvende tutmak için" aldıklarını iddia ediyorlar.
Poly Network'teki herhangi bir kişinin güvenlik açığını bulmasını önlemek için parayı aldıklarını iddia ettiler. Ancak sorunu düzeltmek yerine parayı almaya karar verdiler.
Güvenlik açığı konusunda endişelenmeyi kendi sorumlulukları haline getirmiş görünüyorlardı. Daha sonra dikkatlerini soyguna odakladılar Defi fark edilmeden parayı aklamanın en iyi yolunu bulmaya çalışarak platform.
Ancak saldırgan, kripto topluluğunun gözetimi altında gürültülü işlemler gerçekleştirdi. Bunlar halka açık blockchain üzerinde gözlemlendi. Hatta bir Cryptopunk NFT bile satın aldılar. 42,000 VBDeğeri 180 milyon doların üzerinde bir rakam.
Alışılmadık bir hacker hareketi
Garip olan, çalınan paranın 550 milyon dolarını sonunda iade etmeleridir. Bilgisayar korsanı, izinsiz girişin iyi niyetle gerçekleştirildiğini açıklamaya çalışmasına rağmen diğer yarısını bir süreliğine cebe attı.
İçinde Twitter konusuPoly Network şunları söyledi: "Etkilenen blockchain ve kripto borsalarındaki madencileri, yukarıdaki adreslerden gelen tokenleri kara listeye almaya çağırıyoruz... Yasal yollara başvuracağız ve bilgisayar korsanlarını varlıkları iade etmeye çağırıyoruz."
Tetherçalıştıran stablecoin USDT, cevap Saldırganın kullandığı adresleri kara listeye alma çağrısına.
Bu gerçekleşirken, Hanashiro adındaki bir kripto para birimi kullanıcısı arkadaşı bir mesaj gönderdi. boş Ethereum işlemi saldırgana, hacker'ın değişen ortamda manevra yapmasına yardımcı olacak tavsiyelerde bulunarak "USDT tokeninizi kullanmayın, kara listeye alındınız."
Davetsiz misafir yarım saat sonra Hanashiro'ya yanıt verdi ve minnettarlığının bir göstergesi olarak yaklaşık 13.37 dolar değerinde 57,000 ETH gönderdi. Hanishiro daha sonra fonların bir kısmını yardım kuruluşlarına gönderdi.
Topluluk üyeleri hacker'ı destekliyor
Bu ödemenin haberi ortalıkta dolaştı ve orman yangını gibi yayıldı. Bu, Ethereum ağında bir “altına hücum”u ateşledi.
Suç ortakları, saldırganın kullandığı hesaba mesaj göndermeye başladı ve onlara, hayırseverlik katkıları için paranın nasıl aklanacağı konusunda tavsiyelerde bulundu.
Poly Ağ belirtilen Saldırgan hakkında yasal yollara başvuracaklarını belirterek, "Hangi ülkede olursa olsun kolluk kuvvetleri bunu büyük bir ekonomik suç olarak kabul edecek ve takip edileceksiniz" dedi.
İade edilmeyen fonlar nedeniyle durum daha da kötüleşince, Poly Network daha sonra davetsiz misafire teklif etti Güvenlik açığının keşfedilmesi için 500,000 ABD doları.
Bilgisayar korsanı onları geri çevirdi. Sonuçta yarım milyar dolara yakın çalıntı varlık tutuyorlardı.
Poly Network'ün bilgisayar korsanını parayı iade etmeye çağırması ve sonunda paranın iade edilmesi arasında bir yerde, Poly Network davetsiz misafire yeni Şefleri olarak iş teklif etti. Güvenlik Danışman da reddedildi.
Poly Network, "Bay Beyaz Şapka ile iletişim kurduktan sonra, durumun nasıl ortaya çıktığı ve Bay Beyaz Şapka'nın asıl niyeti hakkında daha kapsamlı bir anlayışa ulaştık" dedi. ifade, burada davetsiz misafire bu adla atıfta bulunurlar.
Hack'leri takip etmek
Ancak bu hikayenin sonu değil. Blockchain ekosistemi güvenlik şirketi SlowMist, bilgisayar korsanına giden ipliği başarıyla çözmeyi başardı.
Bunu zincir içi ve zincir dışı izlemeyi kullanarak posta kutularının, IP adreslerinin ve cihaz parmak izlerinin maskesini kaldırarak yaptılar.
SlowMist'in ortağı Hoo Tiger Sembolünün teknik desteği ve birden fazla katılımcı borsanın yardımıyla SlowMist güvenlik ekibi, saldırganın ilk kripto kaynağınınMonero (XMR).
Daha sonra fonları borsadaki BNB, ETH ve MATIC'e aktardılar. Bunu takiben, fonları çeşitli adreslere çektiler ve ardından üç borsada hackleme başlattılar.
Blockchain üzerindeki faaliyetlerin telaşı onları takip etmeyi kolaylaştırdı. Ancak, bu saldırganın hack işlemini gerçekleştirmeden önce kapsamlı bir şekilde araştırdığı, planladığı ve organize ettiği sonucuna vardılar.
Daha fazla hack, farklı kurban
Bu destanda ortaya çıkan bir sonraki olay, Cambridge'de bulunan bir yapay zeka laboratuvarı olan Fetch.ai'den geldi. İstenen Binance, hacker'ın 6 Haziran'da kripto para birimi hesaplarını ihlal etmesinden sonra hacker'ın hareketlerini tespit etmek ve takip etmek için çalışıyor.
Ağ, saldırganın hesaplarını kısıtladı. Böylece varlıklarını geri çekmeleri engelleniyor. Sonuç olarak saldırganın bu fonları bir saat içinde üçüncü bir tarafa sattığı bildirildi.
Fetch.ai, Binance'tan davetsiz misafirin borsadaki hesaplarını askıya almasını talep etti. Sorunu daha da karmaşık hale getiren bir Yüksek Mahkeme, olayın tam olarak soruşturulabilmesi ve yasal kanallar aracılığıyla çözülebilmesi için talepleri kabul etti.
Raporlar Binance'in mahkeme kararlarına uyacağını gösteriyor. Ancak bu konuda mağdur olduklarını gösteren deliller sunmadıkça, kurtarma kararı alamayacaklar.
“Kripto varlıkların anonim olduğu efsanesini ortadan kaldırmamız gerekiyor. Gerçek şu ki, doğru kurallar ve uygulamalarla bunlar takip edilebilir, takip edilebilir ve kurtarılabilir” dedi Fetch.ai'yi temsil eden Rahman Ravelli'nin ortağı Syedur Rahman.
Binance zaten ateş altında Dünyanın dört bir yanındaki finans kuruluşları borsayı inceliyor. Birleşik Krallık, diğer birçok ülkeyle birlikte borsanın kullanımına ilişkin uyarılarda bulundu. Bu arada başkaları da yasakları hep birlikte uyguladılar.
Japon Liquid Kripto'su ihlal edildi
Ağustos ayındaki tek güvenlik olayı Poly Network değildi. Sıvı Kripto. Tehdit aktörleri ayrıca Tokyo merkezli bir Japon kripto borsasına da saldırdı. BTC, ETH, TRX ve Bitcoin'den oluşan 97 milyon dolarlık kripto para birimini aktardılar.XRP. Bilgisayar korsanları sıcak cüzdanları hedef aldı.
Liquid Crypto yanıtlayan: söz tüm varlıkları geçici olarak çevrimdışı olarak soğuk depolama cüzdanlarına taşıyor. Ayrıca tüm işlem hizmetlerini askıya aldılar.
Borsa, "şu anda varlıkların hareketini takip ettiklerini ve fonları dondurmak ve kurtarmak için diğer borsalarla birlikte çalıştıklarını" bildirdi.
Bir blog gönderisine göre şirket açıkladı bilgisayar korsanının Çok Taraflı Hesaplamayı hedeflediği cüzdan (MPC). MPC'ler, Singapur yan kuruluşu QUOINE PTE'nin kripto para birimlerini depolamak ve yönetmek için kullanılır. Ancak Liquid Crypto, davetsiz misafirlerin içeri nasıl girebildiğini açıklayan bir açıklama sunmadı.
"Şu anda araştırıyoruz ve düzenli güncellemeler sağlayacağız. Bu arada para yatırma ve çekme işlemleri de askıya alınacak” dedi. Retweet.
Ek olarak Liquid Crypto tweet'leri, bilgisayar korsanlarının çalınan varlıkları dışarı çıkarmak için kullandıkları kripto para birimi adreslerini gösteriyor.
Hata ödülleri çözüm sunabilir hacklemek
Yakın tarihli bir blog yazısında Poly Network, 500,000 dolarlık bir hata ödül programı başlatacağını söyledi. Bu, araştırmacıları ve bilgisayar korsanlarını yazılımındaki herhangi bir güvenlik açığını keşfetmeye ve bildirmeye davet edecektir.
Hata ödülüne göre listeleme on bağışıklıkmaksimum ödül ödemesi 100,000$'dır. Siber güvenlik alanındaki olumlu aktörlerle yapılan işbirliklerinden gelen cazip teşvikler sayesinde bu, varlık korumasının ekstra bir katmanı olarak görülebilir.
Kötü aktörleri sömürülebilir açıkları bulma yarışında geride tutmak, sorunları çözmek söz konusu olduğunda şüphesiz çok önemlidir. Onları ilk kimin bulması başka bir konudur.
Hata ödül programı, kitle kaynaklı bir girişimdir. Kod denetimleri ve sızma testleri yoluyla gerçekleştirilebilecek yazılım açıklarını bulan ve raporlayan kişileri telafi eder.
Bu, şirketlerin ve siber güvenlik sektörü üyelerinin, tehdit aktörleri bunları keşfetmeden önce kendi çıkarları için kullanacak çözümler bulmasına olanak tanır.
Feragatname
Web sitemizde yer alan tüm bilgiler iyi niyetle ve yalnızca genel bilgi amaçlı yayınlanmaktadır. Okuyucunun web sitemizde bulunan bilgilere göre yapacağı herhangi bir eylem kesinlikle kendi sorumluluğundadır.
Kaynak: https://beincrypto.com/bug-bounties-a-possible-solution-to-cryptocurrency-exchange-hacks/