شبکه پلی از کاربران می‌خواهد که از آن خارج شوند زیرا اکسپلویت بر ۵۷ دارایی رمزنگاری تأثیر می‌گذارد

به گزارش پایگاه خبری ارز دیجیتال موبو ارز،

به گفته شرکت امنیتی بلاک چین Dedaub، شبکه Poly دوباره مورد سوء استفاده قرار گرفته است، اما این بار به دلیل به خطر افتادن کلیدهای خصوصی.

جزئیات بیشتر پس از حمله دوم ژوئیه به پلتفرم پل زنجیره‌ای پلی شبکه، که منجر به انتشار میلیاردها توکن برای سودجویی هکرها شد، آشکار شد.

Poly Network در یک پست توییتری در تاریخ ۲ ژوئیه گفت: تایید شده این شرکت اضافه کرد که این آخرین قربانی یک سوء استفاده از DeFi بود که به طور موقت خدمات را پس از دستکاری عملکرد قرارداد هوشمند در پروتکل پل زنجیره‌ای متقابل توسط مهاجمان متوقف کرد.

در آخرین به روز رسانی خود، تیم فاش کرد که این اکسپلویت بر ۵۷ دارایی رمزنگاری در ۱۰ بلاک چین از جمله اتریوم، BNB Chain، Polygon، Avalanche، Heco، OKx و Metis تأثیر گذاشته است.

میزان سرقت در این حمله مشخص نشده بود، اما Pecshield قبلاً گفته بود گزارش گفته می شود که استثمارگران حداقل ۵ میلیون دلار ارز دیجیتال را استخراج کرده اند.

این تیم در یک به روز رسانی در ۳ ژوئیه گفت: “ما از قبل شروع به تماس با صرافی های مرکزی و آژانس های اجرای قانون کرده ایم تا از آنها کمک بگیریم.”

او همچنین به تیم‌های پروژه و دارندگان توکن توصیه کرد نقدینگی را برداشته و توکن‌های LP (ارائه‌دهنده نقدینگی) را باز کنند.

شکست “۳۴ میلیارد” هک شبکه پلی

تحلیلگر امنیتی DeFi @0xArhat گفت این اکسپلویت نتیجه یک آسیب‌پذیری قرارداد هوشمند بود که به هکرها اجازه می‌داد «پارامترهای مخرب، از جمله امضای اعتبارسنجی جعلی و هدرهای بلوک» را ایجاد کنند.

این توسط یک قرارداد هوشمند پذیرفته می‌شود و به هکرها اجازه می‌دهد فرآیند تأیید را دور بزنند و توکن‌هایی را از استخر اتریوم شبکه پلی به آدرس‌های خود در زنجیره‌های دیگر مانند متیس، BNB Chain، Polygon و غیره صادر کنند.

این روند در زنجیرهای دیگر نیز تکرار شد و اجازه داد تا انبارهای توکن انباشته شوند.

به گفته این تحلیلگر، کیف پول هکرها زمانی حدود ۴۲ میلیارد دلار توکن در خود جای داده بود، اما آنها تنها قادر به تبدیل و سرقت برخی از آنها بودند.

به این ترتیب، هکرها توانستند میلیاردها توکن را بر روی بلاک‌چین‌های مختلفی که قبلاً وجود نداشته‌اند، ضرب کرده و آنها را به آدرس‌های کیف پول خود منتقل کنند.»

آخرین اکسپلویت شبکه Poly، توسط ارائه‌دهنده راه‌حل‌های امنیتی بلاک چین، «۳۴ میلیارد هک شبکه پلی» نامیده می‌شود.

رسیدن به پایین "34 میلیارد" هک شبکه Poly با استفاده از پس از مرگ فنی.

TL;DRMore

شبکه های Poly به مدت دو سال از یک پیکربندی ساده ۳/۴ multisig استفاده کردند.

پس از بررسی آخرین رویداد، متوجه شدیم که کلید خصوصی آدرس علامت‌گذاری شده به خطر افتاده است. pic.twitter.com/Y0eMJXcYso

– ددوب (@dedaub) ۲ ژوئیه ۲۰۲۳

دداب به ضعف چند علامتی این پروتکل اشاره کرد و با بیان اینکه یک چند امضای ساده «۳ از ۴» به مدت دو سال استقرار یافته بود، افزود:

پس از بررسی آخرین رویداد، متوجه شدیم که کلیدهای خصوصی آدرس‌های علامت‌گذاری شده به خطر افتاده است.

ددوو توضیح داد که این حمله پیچیده نبود زیرا هیچ باگ منطقی مورد سوء استفاده قرار نگرفت. او افزود که پاسخ Poly Network کند بود و هفت ساعت طول کشید و برای پلتفرم ۵.۵ میلیون دلار دزدی ارزهای دیجیتال هزینه داشت. خوشبختانه، بسیاری از توکن ها فاقد نقدینگی بودند که از ضرر بیشتر جلوگیری کرد.

مربوط: بیش از ۲۰۴ میلیون دلار به دلیل هک و کلاهبرداری DeFi در سه ماهه دوم از دست رفت

پس از حمله، Changpeng Zhao، مدیر عامل Binance به مشتریان اطمینان داد: می گوید “این روی کاربران Binance تاثیری نخواهد گذاشت. ما از سپرده‌های این شبکه پشتیبانی نمی‌کنیم.”

Poly Network دوباره مشکل را برطرف کرد. ظاهراً به دلیل یک کلید میانبر به خطر افتاده است.

تا زمانی که صنعت ما رویکرد خود به امنیت را تغییر ندهد، این مشکل همچنان به وجود می آید.

حسابرسی قراردادهای هوشمند فقط سطح را خراش می دهد.

ps Poly شبکه هیچ ربطی به Polygon ندارد. https://t.co/n1qI48b4Kb

— مودیت گوپتا (@Mudit__Gupta) ۲ ژوئیه ۲۰۲۳

Cointelegraph برای جزئیات بیشتر با Poly Network تماس گرفت، اما تا زمان انتشار هیچ پاسخی دریافت نکرد.

Poly Network یک بار در آگوست ۲۰۲۱ با یکی از بزرگترین سوء استفاده های صنعت مورد حمله قرار گرفت که بیش از ۶۰۰ میلیون دلار توسط هکرهای مرتبط با گروه هکرهای کره شمالی Lazarus Group سرقت کرد.

مجله: Tornado Cash 2.0: The Race to Build a Safe and Legal Coin Mixer

نویسنده: Martin Young