Серпень був великим місяцем для хакерських хакерів, оскільки в мережі Poly було здійснено один із найбільших хакерів в історії криптовалюти з дивними результатами.
Кібератака проти Мережа Poly зробив заголовки з кількома химерними поворотами та карколомними поворотами. Можна уявити, що пограбувати біржі криптовалют легше, ніж пограбувати банк.
Крадіжки криптовалюти з великими ставками, здається, зростають. Однак важливо зазначити, що ці децентралізовані технології все ще розвиваються з моменту свого створення. Як і в будь-якій системі, коли виявляються вразливості, їх усувають.
Сага про мережу Poly
Безсумнівно, мережа Poly стала найбільшим хакерським скандалом цього місяця.
Хакер знайшов a уразливість цифрових контрактів. Це те, що мережа Poly використовує для переміщення криптоактивів між різними мережами. Завдяки цьому вони знайшли свій шлях.
Потім вони здійснили монументальне пограбування криптовалюти в трьох мережах. Ethereum, Binance та Polygon Network – усі вони постраждали. Вони вивели понад 600 мільйонів доларів з децентралізованих фінансів (Defi) платформа.
Більше того, під час нападу зловмисник був публічно присутнім. Вони навіть зайшли так далеко, що опублікувати запитання та відповіді яка стверджувала, що напад був "задля розваги».
Однак їхні справжні мотиви пограбування грошей невідомі. Це відбувається тому їхні обґрунтування є досить суперечливими та заплутаними у наслідуванні. У своїх запитаннях і відповідях вони стверджують, що взяли токени, «щоб зберегти їх у безпеці».
Вони стверджували, що взяли гроші, щоб не дати інсайдерам у мережі Poly знайти вразливість. Однак замість того, щоб полагодити, вони вирішили забрати гроші.
Здавалося, вони взяли на себе обов’язок турбуватися про вразливість. Потім вони зосередили свою увагу на пограбуванні Defi платформи, намагаючись знайти найкращий спосіб непомітно відмити гроші.
Однак зловмисник здійснював галасливі транзакції під пильним оком криптоспільноти. Це спостерігалося в публічному блокчейні. Вони навіть придбали Cryptopunk NFT для 42,000 ETC, цифра, яка коштує понад 180 мільйонів доларів.
Незвичайний хакерський хід
Що дивно, зрештою вони повернули 550 мільйонів доларів із вкрадених грошей. Хакер на деякий час привласнив іншу половину, незважаючи на спроби пояснити, що вторгнення було здійснено з добрими намірами.
В Потік Twitter, Poly Network заявила: «Ми закликаємо майнерів постраждалих блокчейнів і криптобірж додати до чорного списку токени, що надходять із зазначених вище адрес... Ми вживемо судових заходів і закликаємо хакерів повернути активи».
прив'язь, яка оперує стабільний конус USDT, відповідь до виклику для чорного списку адрес, які використовує зловмисник.
Коли це відбувалося, інший користувач криптовалюти на ім’я Ханасіро доставив a пуста транзакція Ethereum зловмиснику з порадою, як допомогти хакеру маневрувати навколо мінливого ландшафту, кажучи: «Не використовуйте свій токен USDT, вас [sic] у чорному списку».
Через півгодини зловмисник відповів Ханаширо, надіславши 13.37 ETH на суму близько 57,000 XNUMX доларів на знак подяки. Потім Ханісіро направив частину коштів благодійним організаціям.
Члени спільноти підтримують хакера
Чутка про цей платіж поширилася як лісова пожежа. Це призвело до «золотої лихоманки» в мережі Ethereum.
На обліковий запис, який використовував зловмисника, потенційні спільники почали надсилати повідомлення, пропонуючи їм поради щодо відмивання грошей та благання про благодійні внески.
Мережа Poly заявив, що вони будуть порушувати судові процеси проти зловмисника, кажучи, що «правоохоронні органи в будь-якій країні розцінять це як великий економічний злочин, і вас будуть переслідувати».
Оскільки ситуація загострилася через неповернені кошти, тоді мережа Poly — запропонував зловмисник 500,000 XNUMX доларів США за виявлення вразливості.
Хакер відхилив їх. Зрештою, вони тримали близько півмільярда доларів у викрадених активах.
Десь між тим, як мережа Poly закликала хакера повернути гроші, і зрештою їх повернули, мережа Poly запропонувала зловмиснику роботу в якості нового керівника Безпека Радник, який також був відхилений.
«Після спілкування з містером Білим Капелюхом ми також прийшли до більш повного розуміння того, як розгорталася ситуація, а також початкових намірів пана Білого Капелюха», — повідомляє Poly Network у заяву, де цим псевдонімом називають зловмисника.
Відстеження хаків
Однак це ще не кінець історії. SlowMist, компанія з безпеки екосистем блокчейну, змогла успішно розплутати нитку, що веде назад до хакера.
Вони зробили це, розкривши свою поштову скриньку, IP-адресу та відбиток пальця пристрою за допомогою відстеження в ланцюзі та поза ним.
За допомогою технічного помічника партнера SlowMist Hoo Tiger Symbol разом із кількома біржами-учасниками команда безпеки SlowMist змогла переконатися, що початковим джерелом криптовалюти зловмисника булоMonero (XMR).
Потім вони перевели кошти в BNB, ETH і MATIC на біржі. Після цього вони вивели кошти на кілька адрес, а потім зламали три біржі.
Шквал активності в блокчейні полегшив їх відстеження. Однак вони прийшли до висновку, що цей зловмисник ретельно дослідив, спланував і організував злом, перш ніж його було здійснено.
Більше хаків, інші жертви
Наступна подія, яка розгорнулася в цій сазі, надійшла від Fetch.ai, лабораторії штучного інтелекту в Кембриджі, яка просив що Binance працює над ідентифікацією та відстеженням переміщень хакера після того, як хакер зламав їхні криптовалютні акаунти 6 червня.
Мережа обмежила облікові записи зловмисника. Таким чином запобігаючи виведенню активів. Відтак, нібито протягом години зловмисник продав ці кошти третій особі.
Fetch.ai попросив Binance заблокувати облікові записи зловмисника на біржі. Щоб ускладнити проблему, Верховний суд задовольнив запити, щоб інцидент міг бути повністю розслідуваний і вирішений через законні канали.
Звіти свідчать, що Binance виконає ухвали суду. Тим не менш, вони не зможуть вимагати наказу про стягнення, доки не нададуть докази того, що вони стали жертвами у цій справі.
«Ми повинні розвіяти міф про те, що криптоактиви анонімні. Реальність така, що за допомогою правильних правил і додатків їх можна відстежувати, відстежувати та відновлювати», — сказав С’єдур Рахман, який є партнером Rahman Ravelli і представляє Fetch.ai.
Binance вже був під вогнем оскільки фінансові установи в усьому світі ретельно вивчали обмін. Сполучене Королівство разом із кількома іншими країнами випустило застереження щодо використання біржі. Тим часом інші взагалі запровадили заборони.
Японський Liquid Crypto зламано
Мережа Poly була не єдиним інцидентом безпеки в серпні. Рідка крипто. Злочинці також атакували японську криптобіржу в Токіо. Вони вклали 97 мільйонів доларів у криптовалюти, що складаються з BTC, ETH, TRX таXRP. Ціллю хакерів стали гарячі гаманці.
Liquid Crypto відповів приказка він тимчасово переміщує всі активи офлайн у гаманці холодного зберігання. Крім того, вони призупинили всі транзакційні послуги.
Біржа повідомила, що «наразі вони відстежують рух активів і працюють з іншими біржами, щоб заморозити та повернути кошти».
Згідно з повідомленням у блозі, компанія пояснені що хакер націлився на багатостороннє обчислення кошелек (ГДК). MPC використовуються для зберігання та керування криптовалютами сінгапурської дочірньої компанії QUOINE PTE. Однак Liquid Crypto не пояснила, як зловмисникам вдалося проникнути.
«Зараз ми проводимо розслідування та будемо надавати регулярні оновлення. Тим часом депозити та зняття коштів буде призупинено», – йдеться в повідомленні біржі чірікать.
Крім того, твіти Liquid Crypto показують адреси криптовалют, які використовували хакери для вилучення вкрадених активів.
Винагороди за помилки можуть запропонувати рішення до хаків
У нещодавній публікації в блозі Poly Network заявила, що запустить програму винагороди за помилки в розмірі 500,000 XNUMX доларів США. Це дозволить дослідникам і хакерам виявити будь-які вразливості в його програмному забезпеченні та повідомити про них.
Відповідно до баунті список on Імуніфі, максимальна виплата баунті становить 100,000 XNUMX доларів США. Завдяки привабливим стимулам від співпраці з позитивними акторами у сфері кібербезпеки це можна розглядати як додатковий рівень захисту активів.
Утримувати поганих акторів позаду в гонці за пошуком корисних дірок, безсумнівно, є ключовим, коли справа доходить до вирішення проблем. Інша справа, хто їх першим знайде.
Програма винагороди за помилки – це ініціатива краудсорсингу. Він компенсує особам, які знаходять і повідомляють про вразливості програмного забезпечення, які можна виконати за допомогою аудиту коду та тестування на проникнення.
Це дозволяє компаніям і учасникам індустрії кібербезпеки знаходити рішення до того, як зловмисники виявлять їх для використання для власної вигоди.
відмова
Вся інформація, що міститься на нашому веб-сайті, публікується добросовісно та лише для загальної інформації. Будь-які дії, які читач вживає щодо інформації, розміщеної на нашому веб-сайті, суворо на свій страх і ризик.
Джерело: https://beincrypto.com/bug-bounties-a-possible-solution-to-cryptocurrency-exchange-hacks/