Největší hack v zaznamenané historii se odehrál, když útočníci zneužili zranitelnost, která by mohla změnit „roli strážce“ smlouvy na blockchainu a provést jakoukoli transakci, jako je odstoupení.
Poly Network, platforma, která se snaží propojit různé blockchainy, aby mohly spolupracovat, potvrdila, že chyba zabezpečení byla způsobena únikem soukromého klíče strážce.
SlowMist ve tweetu potvrdil, že bylo ukradeno přes 610 milionů dolarů.
Bezpečnostní tým také potvrdil, že „získal otisky útočníka, a to jeho poštovní schránky, IP adresy a zařízení prostřednictvím sledování v řetězci i mimo něj“.
Podle SlowMist jsou podrobnosti o útoku následující:
“Jádrem tohoto útoku je, že funkce verifyHeaderAndExecuteTx smlouvy EthCrossChainManager může provádět konkrétní transakce mezi řetězci prostřednictvím funkce _executeCrossChainTx,” vysvětluje SlowMist. “Jelikož vlastníkem smlouvy EthCrossChainData je smlouva EthCrossChainManaget, [může] upravit držitele smlouvy voláním funkce putCurEpochConPubKeyBytes …”
SlowMist dále říká, že útočník potřebuje pouze předat pečlivě vytvořená data prostřednictvím funkce verifyHeaderAndExecuteTx, aby provedl volání o změně role strážce na adresu zadanou útočníky. “Po výměně adresy role držitele může útočník libovolně sestavit transakci a ze smlouvy vybrat jakékoli množství finančních prostředků.”
Napadené smlouvy byly smlouvy Bscscan a Etherscan, které jsou nyní oceněny na 0 USD. Po dokončení útoku na smlouvu byl strážce upraven, což způsobilo, že byly vráceny další „normální transakce“.
Transakce zveřejněné společnostmi SlowMist a Poly Network ukazují, že útočník provedl tři výběry ze smlouvy Bscscan: 133 023 777,79 USD, 85 519 813,63 USD, 87 594 029,67 USD, 132 907 573,59 USD, 132 907 574,59 USD a 133 022 277,08 USD (USD). Na smlouvě Etherscan bylo staženo 93 343 903,87 $ etheru (182 628 360,16 USD).
Poly Network se obrátila na Twitter, aby potvrdila, že k útoku došlo, a obrátila se přímo na hackery: „Chceme s vámi navázat komunikaci a naléhat na vás, abyste hacknutý majetek vrátili.“
V tweetu aliance potvrdila, že hack je největší v historii decentralizované finanční platformy (DeFi).
Poly Network také vyzvala těžaře dotčených blockchainů – BinanceChain, Ethereum a Polygon – aby přidali na blacklist tokeny pocházející ze zveřejněných adres.
Zdroj: infosecurity-magazine.com
Zdroj: CRYPTO WORLD NETWORK NEWS