Платформа межсетевых децентрализованных финансов Poly Network была атакована хакером, который вывел из протокола около 600 миллионов долларов в криптовалютах. Это самый крупный взлом в истории DeFi и криптовалют.
Important Notice:
We are sorry to announce that #PolyNetwork was attacked on @BinanceChain @ethereum and @0xPolygon Assets had been transferred to hacker's following addresses:
ETH: 0xC8a65Fadf0e0dDAf421F28FEAb69Bf6E2E589963
BSC: 0x0D6e286A7cfD25E0c01fEe9756765D8033B32C71— Poly Network (@PolyNetwork2) August 10, 2021
Протокол, запущенный основателем китайского проекта Neo, работает на блокчейнах Binance Smart Chain, Ethereum и Polygon. Атака поразила каждый блокчейн один за другим и хакер смог вывсти активы в Ethereum, Wrapped Bitcoin, Wrapped Ethereum, Shiba Inu (SHIB) и Tether (USDT).
Компания по обеспечению безопасности блокчейнов Slowmist сообщила в анализе атаки, что взлом может быть связан с эксплоитом в процессе подписания самого протокола. Компания BlockSec предположила, что кража вызвана утечкой приватного ключа для подписания сообщений. Сами разработчики Poly Network придерживаются первого варианта.
«Судя по потокам средств и множественной информации о действиях злоумышленника, это, вероятно, давно спланированная и хорошо подготовленная атака», — предполагает еще одна компания по безопасности Slowmist.
Разработчики сразу идентифицировали адреса злоумышленника. Примерно через час после атаки, хакер попытался переместить некоторые активы, включая USDT в пулы ликвидности. Но организация Tether смогла заморозить монеты на 33 миллиона долларов. Другие активы хакер перевел без проблем, общие переводы в пулы составили более $200 млн.
Представитель Binance Smart Chain сообщил, что работает со своими партнерами по безопасности, чтобы оказать максимальную поддержку в расследовании.
Интересно, что крипто-сообщество отреагировало на инцидент неоднозначно. Один из пользователей предупредил хакера не использовать USDT и получил от него в качестве награды ETH на $42 тыс. В разделе комментариев на сайте данных Etherscan одни восхищаются навыками хакера и благословляют его за поступок, другие просят дать немного денег на безбедную старость или на ипотеку, третьи даже отправляют хакеру маленькие суммы ETH в надежде получить назад больше.
Сам хакер украденные средства оставлять себе, похоже, не собирается. В сообщении в транзакции Ethereum он намекнул, что может вернуть добычу. Злоумышленник пояснил, что уже стал «легендой» после того, как СМИ назвали его действия «самым крупнейшим взломом» в истории.
«Если бы я вывел и оставшиеся монеты, то это стало бы миллиардным взломом! Я что, случайно сохранил проект? Я не очень заинтересован в деньгах, теперь подумываю вернуть некоторые токены или просто оставлю лежать их там», — сказал хакер.
Разработчики Poly Network создали три адреса кошелька в надежде, что хакер все-таки вернет хотя бы часть украденной криптовалюты. На момент написания, хакеру удалось конвертировать большую часть криптовалют, за исключением централизованных стабильных монет. Возврат пока он не сделал.
Обновление: Хакер вернул криптовалюты на общую сумму $258 млн. Через встроенные сообщения он провел переговоры с разработчиками протокола, и выяснилось, что английский язык для хакера не родной. На вопрос, почему он провел атаку, хакер ответил, что сделал это «для своего удовольствия» и потому, что заметил ошибку и захотел преподать разработчикам урок.
Обновление 13.09.21: хакер вернул все средства, за исключением замороженных 33 млн USDT. Он сказал, что не преследовал злого умысла, поэтому даже отказался от вознаграждения в $500 тыс. Но признал, что в его действиях все же был эгоизм сделать «что-то крутое» и стать одним из самых крупных взломщиков в истории.