Poly Network از کاربران می خواهد که پس از تأثیر سوء استفاده بر ۵۷ دارایی رمزنگاری، از آن خارج شوند

به گفته Dedaub، شرکت امنیتی بلاک چین، Poly Network دوباره مورد سوء استفاده قرار گرفته است، این بار به دلیل به خطر افتادن کلیدهای خصوصی می باشد.

جزئیات بیشتر در پی حمله دوم ژوئیه به پلتفرم پل های زنجیره ای Poly Network که یک هکر قادر به انتشار میلیاردها توکن از فضای ضعیف برای کسب سود بود، آشکار شد.

در تاریخ ۲ ژوئیه، Poly Network تایید کرد که پس از اینکه مهاجمان موفق به دستکاری عملکرد قرارداد هوشمند در پروتکل پل زنجیره‌ای متقابل شدند، تبدیل به آخرین قربانی سوء استفاده مالی غیرمتمرکز (DeFi) شد و اضافه کرد که به طور موقت خدمات را به حالت تعلیق در می‌آورد.

در آخرین به‌روزرسانی، تیم فاش کرد که این اکسپلویت بر ۵۷ دارایی رمزنگاری در ۱۰ بلاک چین، از جمله اتریوم، BNB Chain ، Polygon، Avalanche، Heco، OKX و Metis تأثیر گذاشته است.

مشخص نکرد که چه مقدار در این حمله به سرقت رفته است، اما PeckShield قبلاً گزارش داده بود که بهره‌بردار حداقل ۵ میلیون دلار رمزارز را منتقل کرده است.

توکن ها به خارج از Poly Network منتقل شدند

این تیم در به‌روزرسانی ۳ ژوئیه اعلام کرد: «ما قبلاً ارتباط با صرافی‌های متمرکز و آژانس‌های مجری قانون را آغاز کرده‌ایم و از آنها کمک گرفته‌ایم.»

همچنین به تیم‌های پروژه و دارندگان توکن توصیه کرد نقدینگی را برداشته و توکن‌های ارائه‌دهنده نقدینگی خود را باز کنند.

آرهات، تحلیلگر امنیتی DeFi ، گفت که این اکسپلویت ناشی از یک آسیب‌پذیری قرارداد هوشمند است که به هکر اجازه می‌دهد «یک پارامتر مخرب حاوی امضای اعتبارسنجی جعلی و هدر بلوک را ایجاد کند».

این مورد توسط قرارداد هوشمند پذیرفته شد و هکر را قادر می‌سازد تا فرآیند تأیید را دور بزند و به آن‌ها اجازه می‌دهد تا توکن‌هایی را از استخر اتریوم Poly Network به آدرس خودشان در زنجیره‌های دیگر مانند Metis، BNB Chain و Polygon صادر کنند.

این فرآیند برای سایر زنجیره‌ها تکرار شد که امکان انباشته شدن انبار توکن را فراهم می‌کرد.

به گفته این تحلیلگر، در زمانی، کیف پول هکرها حدود ۴۲ میلیارد دلار توکن داشت، اما آنها تنها توانستند بخشی از آنها را تبدیل و سرقت کنند.

به این ترتیب، هکر توانست میلیاردها توکن را بر روی بلاک‌چین‌های مختلفی که قبلاً وجود نداشتند ضرب کند و آنها را به آدرس‌های کیف پول خود منتقل کند.
Dedaub، ارائه‌دهنده راه‌حل‌های امنیتی بلاک چین، آخرین بهره‌برداری شبکه Poly را «۳۴ میلیارد هک Poly Network» نامید.

Dedaub به نقاط ضعفی در چند علامت پروتکل اشاره کرد و بیان کرد که این پروتکل یک ترتیب ساده چند امضایی “۳ از ۴” در طول دو سال دارد و افزود:

“با نگاهی به رویداد نهایی متوجه شدیم که کلیدهای خصوصی آدرس‌های علامت‌گذاری‌شده به خطر افتاده است.”

Dedaub توضیح داد که این حمله پیچیده نبود، زیرا هیچ باگ منطقی مورد سوء استفاده قرار نگرفت. این سایت اضافه کرد که Poly Network هفت ساعت طول کشید تا به آن پاسخ دهد، که ۵.۵ میلیون دلار برای پلتفرم هزینه کریپتو دزدیده شده داشت. خوشبختانه، کمبود نقدینگی در بسیاری از توکن ها از ضرر بیشتر جلوگیری کرد.

پس از این حمله، Changpeng Zhao، مدیر عامل بایننس، به مشتریان اطمینان داد و گفت : «این روی کاربران بایننس تأثیری ندارد. ما از سپرده‌های این شبکه پشتیبانی نمی‌کنیم.»

در آگوست ۲۰۲۱، Poly Network در یکی از بزرگترین سوء استفاده های صنعت مورد حمله قرار گرفت.

هکرها – که بعدها مشخص شد با گروه هکرهای کره شمالی، گروه لازاروس مرتبط هستند – با بیش از ۶۰۰ میلیون دلار درآمد کسب کردند.