Cada vez se conocen más detalles del ataque del 2 de julio a la plataforma de cross-chain Poly Network, mediante el que un hacker pudo emitir miles de millones de tokens de la nada con fines lucrativos.
En un tuit del 2 de julio, Poly Network confirmó que se había convertido en la última víctima de un ataque DeFi después de que los atacantes consiguieran manipular una función de contrato inteligente en el protocolo cross-chain, y añadió que suspendería temporalmente sus servicios.
En la actualización más reciente, el equipo reveló que el exploit afectó a 57 criptoactivos en 10 blockchains, incluyendo Ethereum, BNB Chain, Polygon, Avalanche, Heco, OKX y Metis.
No se especificó cuánto se robó en el ataque, pero PeckShield informó anteriormente que el explotador había transferido criptomonedas valoradas en al menos USD 5 millones.
"Ya hemos iniciado la comunicación con los exchanges centralizados y los organismos encargados de hacer cumplir la ley y hemos solicitado su ayuda", declaró el equipo en una actualización del 3 de julio.
También aconsejó a los equipos de proyectos y a los holders de tokens que retiraran la liquidez y desbloquearan sus tokens de proveedores de liquidez.
Desglose del hakeo de "34,000 millones" de Poly Network
El analista de seguridad de DeFi Arhat dijo que el exploit fue el resultado de una vulnerabilidad de un contrato inteligente que permitió al hacker "elaborar un parámetro malicioso que contenía una firma validadora falsa y un encabezado de bloque".
Este parámetro fue aceptado por el contrato inteligente, lo que le permitió al hacker eludir el proceso de verificación y emitir tokens del fondo de Ethereum de Poly Network a su propia dirección en otras cadenas, como Metis, BNB Chain y Polygon.
El proceso se repitió en otras cadenas, lo que permitió acumular tokens.
En un momento dado, el monedero del hacker contenía tokens valorados en unos USD 42,000 millones, pero sólo pudo convertir y robar una fracción de ellos, afirma el analista.
“De esta forma, el hacker pudo acuñar miles de millones de tokens en varias blockchains que antes no existían y transferirlos a sus propias direcciones de monedero.”
El proveedor de soluciones de seguridad de blockchain Dedaub bautizó el último exploit de Poly Network como el "hackeo de 34,000 millones de Poly Network."
Getting to the bottom of the "34 billion" Poly network hack with a technical postmortem.
— Dedaub (@dedaub) July 2, 2023
TL ; DR
Poly network had a simple 3 of 4 multisig arrangement over 2 years!
Looking at the final event we found that the private keys to the addresses marked were compromised. pic.twitter.com/Y0eMJXcYso
Llegando al fondo del hackeo de "34,000 millones" de la Poly Network con una autopsia técnica. TL ; DR. ¡La red Poly tuvo un simple arreglo multisig 3 de 4 durante 2 años! Al ver el evento final, encontramos que las claves privadas de las direcciones marcadas estaban comprometidas.
Dedaub señaló debilidades en el multisig del protocolo, afirmando que tenía un simple arreglo de multisig "3 de 4" durante dos años, y agregó:
“Al ver el evento final, encontramos que las claves privadas de las direcciones marcadas estaban comprometidas.”
Dedaub explicó que el ataque no fue complejo, ya que no se explotaron fallos lógicos. Añadió que Poly Network tardó siete horas en responder, lo que le costó a la plataforma USD 5.5 millones en criptomonedas robadas. Por suerte, la falta de liquidez en muchos de los tokens evitó mayores pérdidas.
Tras el ataque, el CEO de Binance, Changpeng Zhao tranquilizó a los clientes, afirmando que "Esto no afecta a los usuarios de Binance. No admitimos depósitos desde esta red".
Poly Network got rekt again; allegedly because of compromised hot keys.
— Mudit Gupta (@Mudit__Gupta) July 2, 2023
It's going to keep happening untill our industry changes our approach to security.
Smart contract audits only scratch the surface.
ps Poly network has NOTHING to do with Polygon. https://t.co/n1qI48b4Kb
Poly Network ha vuelto a ser atacada, supuestamente por culpa de unas hot keys comprometidas. Esto seguirá ocurriendo hasta que nuestra industria cambie su enfoque de la seguridad. Las auditorías de contratos inteligentes sólo arañan la superficie. Posdata: Poly network no tiene NADA que ver con Polygon.
Cointelegraph se puso en contacto con Poly Network para obtener más detalles, pero no recibió respuesta antes de la publicación de este artículo.
En agosto de 2021, Poly Network sufrió uno de los mayores ataques de la historia del sector. Los hackers, que más tarde se reveló que estaban vinculados al colectivo de hackers norcoreano Lazarus Group, robaron más de USD 600 millones.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión
Sigue leyendo:
- Finance Redefined: más de USD 204 millones perdidos en hackeos y estafas DeFi en el segundo trimestre
- Yield Protocol declara su recuperación total del hackeo de Euler, solo esperan el intercambio de tokens de usuarios
- En el segundo trimestre se perdieron más de USD 204 millones en hackeos y estafas en el sector DeFi: Informe
- El gobierno de los EEUU embarga el sitio ruso de Intercambio de Bitcoin BTC-e
- Billetera de criptomonedas MyCrypto y Ambo agregan varias nuevas funciones
- La Enciclopedia de Blockchain se lanza mientras los desarrolladores resuelven los "desafíos" del Token
- Elon Musk impone un "límite de tarifa" en Twitter debido a la extrema "manipulación del sistema”