De plus amples détails sont révélés à la suite d’une attaque du 2 juillet sur la plate-forme de pont inter-chaînes Poly Network, un pirate informatique pouvant émettre des milliards de jetons à partir de rien à des fins lucratives.
Dans un tweet du 2 juillet, Poly Network confirmé il est devenu la dernière victime d’exploit de la finance décentralisée (DeFi) après que les attaquants ont réussi à manipuler une fonction de contrat intelligent sur le protocole de pont inter-chaînes, ajoutant qu’il suspendrait temporairement les services.
Dans la dernière mise à jour, l’équipe révélé que l’exploit a affecté 57 actifs cryptographiques sur 10 chaînes de blocs, dont Ethereum, BNB Chain, Polygon, Avalanche, Heco, OKX et Metis.
Il n’a pas précisé combien a été volé lors de l’attaque, mais PeckShield plus tôt signalé que l’exploiteur avait transféré au moins 5 millions de dollars de crypto.
« Nous avons déjà initié la communication avec les échanges centralisés et les forces de l’ordre et avons demandé leur aide », a déclaré l’équipe dans une mise à jour du 3 juillet.
Il a également conseillé aux équipes de projet et aux détenteurs de jetons de retirer des liquidités et de débloquer leurs jetons de fournisseur de liquidités.
’34 milliards’ Répartition du piratage de Poly Network
Arhat, analyste en sécurité DeFi a dit l’exploit résultait d’une vulnérabilité de contrat intelligent qui permettait au pirate de « créer un paramètre malveillant contenant une fausse signature de validateur et un en-tête de bloc ».
Cela a été accepté par le contrat intelligent, permettant au pirate de contourner le processus de vérification et lui permettant d’émettre des jetons du pool Ethereum de Poly Network vers leur propre adresse sur d’autres chaînes, telles que Metis, BNB Chain et Polygon.
Le processus a été répété pour d’autres chaînes permettant à la réserve de jetons de s’accumuler.
À un moment donné, le portefeuille du pirate informatique contenait environ 42 milliards de dollars de jetons, mais ils n’ont pu en convertir et en voler qu’une fraction, a déclaré l’analyste.
« De cette façon, le pirate a pu frapper des milliards de jetons sur diverses chaînes de blocs qui n’existaient pas auparavant et les transférer vers leurs propres adresses de portefeuille. »
Le fournisseur de solutions de sécurité Blockchain Dedaub a surnommé le dernier exploit de Poly Network le « 34 milliards de Poly Network hack ».
Aller au fond du piratage du réseau Poly « 34 milliards » avec un post-mortem technique.
TL ; RD
Le réseau Poly avait un simple arrangement multisig 3 sur 4 sur 2 ans !
En regardant l’événement final, nous avons constaté que les clés privées des adresses marquées étaient compromises. pic.twitter.com/Y0eMJXcYso
— Dedaub (@dedaub) 2 juillet 2023
Dedaub a noté des faiblesses dans le multisig du protocole, déclarant qu’il avait un simple arrangement multisignature « 3 sur 4 » sur deux ans, ajoutant :
« En regardant l’événement final, nous avons constaté que les clés privées des adresses marquées étaient compromises. »
Dedaub a expliqué que l’attaque n’était pas complexe, car aucun bogue logique n’a été exploité. Il a ajouté que Poly Network avait mis sept heures à répondre, ce qui a coûté à la plate-forme 5,5 millions de dollars en crypto volée. Heureusement, un manque de liquidité dans de nombreux jetons a empêché de nouvelles pertes.
En rapport: Plus de 204 millions de dollars perdus à cause des hacks et des escroqueries DeFi au deuxième trimestre
Suite à l’attaque, le PDG de Binance, Changpeng Zhao, a rassuré les clients, indiquant que « Cela n’affecte pas les utilisateurs de Binance. Nous ne prenons pas en charge les dépôts de ce réseau.
Poly Network a de nouveau été rekt; prétendument à cause de touches de raccourci compromises.
Cela va continuer jusqu’à ce que notre industrie change son approche de la sécurité.
Les audits de contrats intelligents ne font qu’effleurer la surface.
ps Le réseau Poly n’a RIEN à voir avec Polygon. https://t.co/n1qI48b4Kb
– Mudit Gupta (@Mudit__Gupta) 2 juillet 2023
Cointelegraph a contacté Poly Network pour plus de détails mais n’a reçu aucune réponse par publication.
En août 2021, le réseau Poly a été attaqué dans l’un des plus grands exploits de l’industrie. Les pirates – révélés plus tard comme étant liés au collectif de piratage nord-coréen, le groupe Lazarus – se sont emparés de plus de 600 millions de dollars.
Magazine : Tornado Cash 2.0 : La course pour construire des mélangeurs de pièces sûrs et légaux