03/07/2023 11:30 read

100

Poly Network kêu gọi người dùng rút tiền sau khi khai thác ảnh hưởng đến 57 tài sản tiền điện tử

Mạng Poly đã bị khai thác một lần nữa, lần này là do các khóa riêng tư bị xâm phạm theo công ty bảo mật blockchain Dedaub.

Thông tin chi tiết sẽ được đưa ra ánh sáng sau cuộc tấn công vào ngày 2 tháng 7 trên nền tảng cầu nối chuỗi chéo Poly Network, dẫn đến việc một tin tặc có thể phát hành hàng tỷ Token ngoài luồng để kiếm lợi nhuận.

Trong một bài đăng trên Twitter vào ngày 2 tháng 7, Poly Network đã xác nhận rằng họ đã trở thành nạn nhân khai thác DeFi mới nhất sau khi những kẻ tấn công quản lý để thao túng một chức năng hợp đồng thông minh trên giao thức cầu nối chuỗi chéo, đồng thời bổ sung rằng họ sẽ tạm thời đình chỉ các dịch vụ.

Trong bản cập nhật gần đây nhất, nhóm đã tiết lộ việc khai thác đã ảnh hưởng đến 57 tài sản tiền điện tử trên 10 blockchain — bao gồm Ethereum, BNB Chain, Polygon, Avalanche, Heco, OKx và các loại khác như Metis.

Nó không chỉ rõ số tiền đã bị đánh cắp trong cuộc tấn công nhưng Peckshield trước đó đã báo cáo rằng kẻ khai thác đã chuyển số tiền điện tử trị giá ít nhất 5 triệu đô la Mỹ ra ngoài.

Token được chuyển ra khỏi Poly Network. Nguồn: Twitter/PeckShield

Chúng tôi đã bắt đầu liên lạc với nền tảng giao dịch tập trung và các cơ quan thực thi pháp luật, đồng thời tìm kiếm sự hỗ trợ của họ, nhóm đã nêu trong bản cập nhật ngày 3 tháng 7.

Nó cũng khuyên các nhóm dự án và người giữ Token rút thanh khoản và mở khóa Token LP (nhà cung cấp thanh khoản) của họ.

Sự cố hack '34 tỷ' Poly Network

Nhà phân tích bảo mật DeFi @0xArhat cho biết việc khai thác này là kết quả của lỗ hổng hợp đồng thông minh cho phép tin tặc tạo ra một tham số độc hại có chứa chữ ký xác thực giả mạo và tiêu đề khối.

Điều này đã được hợp đồng thông minh chấp nhận, cho phép tin tặc bỏ qua quy trình xác minh, cho phép chúng phát hành Token từ Ethereum Pool của Poly Network đến địa chỉ của chính chúng trên các chuỗi khác, chẳng hạn như Metis, BNB Chain và Polygon.

Quá trình này được lặp lại đối với các chuỗi khác cho phép tích lũy Token.

Có thời điểm, ví của hacker nắm giữ số token trị giá khoảng 42 tỷ đô la nhưng chỉ có thể chuyển đổi và đánh cắp một phần trong số đó, nhà phân tích cho biết.

Bằng cách này, tin tặc đã có thể đúc hàng tỷ Token trên nhiều blockchain khác nhau chưa tồn tại trước đó và chuyển chúng đến địa chỉ ví của chính chúng.

Kẻ khai thác Poly Network mới nhất đã được nhà cung cấp giải pháp bảo mật blockchain Dedaub gọi là vụ hack 34 tỷ Poly Network.

Getting to the bottom of the "34 billion" Poly network hack with a technical postmortem.

TL ; DR

Poly network had a simple 3 of 4 multisig arrangement over 2 years!

Looking at the final event we found that the private keys to the addresses marked were compromised. pic.twitter.com/Y0eMJXcYso
— Dedaub (@dedaub) July 2, 2023

Dedaub lưu ý những điểm yếu trong đa chữ ký của giao thức nói rằng nó có sự sắp xếp 3 trong số 4 đa chữ ký đơn giản trong hơn hai năm, thêm vào:

Xem xét sự kiện cuối cùng, chúng tôi thấy rằng các khóa riêng tư của các địa chỉ được đánh dấu đã bị xâm phạm.

Dedaub giải thích rằng cuộc tấn công không phức tạp vì không có lỗi logic nào bị khai thác. Nó nói thêm rằng Poly Network đã phản hồi chậm trong bảy giờ, khiến nền tảng phải trả 5,5 triệu đô la tiền điện tử bị đánh cắp. May mắn thay, việc thiếu thanh khoản trong nhiều Token đã ngăn chặn tổn thất tiếp theo.

Sau vụ tấn công, Giám đốc điều hành Binance, Changpeng Zhao đã trấn an khách hàng, nói rằng Điều này không ảnh hưởng đến người dùng Binance. Chúng tôi không hỗ trợ tiền gửi từ mạng này.

Poly Network got rekt again; allegedly because of compromised hot keys.

It's going to keep happening untill our industry changes our approach to security.

Smart contract audits only scratch the surface.

ps Poly network has NOTHING to do with Polygon. https://t.co/n1qI48b4Kb
— Mudit Gupta (@Mudit__Gupta) July 2, 2023

Cointelegraph đã liên hệ với Poly Network để biết thêm chi tiết nhưng không nhận được phản hồi vào thời điểm xuất bản.

Mạng Poly đã bị tấn công một lần trước đây tại một trong những vụ khai thác lớn nhất trong ngành vào tháng 8 năm 2021 khi các tin tặc, sau đó được tiết lộ là có liên hệ với nhóm tin tặc Lazarus Group của Bắc Triều Tiên, đã kiếm được hơn 600 triệu đô la.

Tạp chí: Tornado Cash 2.0: Cuộc đua xây dựng máy trộn tiền an toàn và hợp pháp

Theo CoinTelegraph

Chia sẻ bài viết này với bạn bè qua Facebook / Zalo / Telegram: