DeFi-проєкт Poly Network зазнав зламу, внаслідок якого зловмиснику вдалося створити величезну кількість криптовалют на різних блокчейнах.
Хакер скористався вразливістю в протоколі міжмережевого мосту і зміг згенерувати криптоактиви BUSD, BNB і SHIB на різних блокчейнах. Зокрема, хакери створили 24 мільярди BUSD і BNB на Metis, а також 999 трильйонів SHIB на Heco. Пізніше команда Poly Network уточнила, що експлойт зачепив 57 криптоактивів у 10 блокчейнах, включно з Ethereum, BNB Chain, Polygon, Avalanche, Heco і Metis.
Аналітики рипускають, що прибуток хакера від злому становив від 400 000 до 4 мільйонів доларів.
2 липня, платформа тимчасово призупинила обслуговування користувачів. Керівництво Poly Network повідомило, що звернулося по допомогу до централізованих бірж і правоохоронних органів. Представники платформи рекомендували власникам криптовалют вивести свої активи і розблокувати токени LP, вкладені ними.
Dear users, we would like to inform you that Poly Network is temporarily suspending its services due to a recent attack. We are actively engaging with relevant parties and diligently assessing the extent of the affected assets. 【1/3】
— Poly Network (@PolyNetwork2) July 2, 2023
За словами аналітика з безпеки DeFi-проєктів, відомого під псевдонімом 0xArhat, злом стався через уразливість смарт-контракту.
PolyNetwork's Cross-Chain Exploit of $34B.
— Arhat (@0xArhat) July 2, 2023
The hack happened because of a smart contract vulnerability in @PolyNetwork2's cross-chain bridge tool.
Here's how it might have happened (Refer to the image below):
— The hacker crafted a malicious parameter containing a fake… pic.twitter.com/5Yf10zHy6j
Хакер створив шкідливий параметр із підробленим підписом валідатора і заголовком блоку. Смарт-контракт прийняв цей параметр, давши змогу хакеру обійти процес перевірки і почати випускати токени з пулу Poly Network, пересилаючи їх на свою адресу в блокчейнах Metis, BNB Chain і Polygon.
Цю схему було багаторазово повторено, що дало змогу хакеру накопичити значну кількість криптовалют. За словами аналітика, на гаманці хакера в якийсь момент накопичилося близько 42 мільярдів доларів, однак через обмежений попит зловмисник зміг продати лише частину своїх активів.
Це вже не перший випадок, коли Poly Network зазнає масштабної кібератаки. У серпні 2021 року платформа втратила близько 611 мільйонів доларів, проте зловмисник повернув усі вкрадені криптовалюти. Після цього інциденту Poly Network і платформа Immunefi запустили програму з виявлення вразливостей.
Отримай до 5000 USDT за реєстрацію, депозит і торгівлю на біржі Bybit!
Хочете отримувати свіжі новини по темі криптовалют в месенджер? Підписуйтеся на наш Telegram!