به گزارش پایگاه خبری ارز دیجیتال موبو ارز،
به گفته شرکت امنیتی بلاک چین Dedaub، شبکه Poly دوباره مورد سوء استفاده قرار گرفته است، اما این بار به دلیل به خطر افتادن کلیدهای خصوصی.
جزئیات بیشتر پس از حمله دوم ژوئیه به پلتفرم پل زنجیرهای پلی شبکه، که منجر به انتشار میلیاردها توکن برای سودجویی هکرها شد، آشکار شد.
Poly Network در یک پست توییتری در تاریخ 2 ژوئیه گفت: تایید شده این شرکت اضافه کرد که این آخرین قربانی یک سوء استفاده از DeFi بود که به طور موقت خدمات را پس از دستکاری عملکرد قرارداد هوشمند در پروتکل پل زنجیرهای متقابل توسط مهاجمان متوقف کرد.
در آخرین به روز رسانی خود، تیم فاش کرد که این اکسپلویت بر 57 دارایی رمزنگاری در 10 بلاک چین از جمله اتریوم، BNB Chain، Polygon، Avalanche، Heco، OKx و Metis تأثیر گذاشته است.
میزان سرقت در این حمله مشخص نشده بود، اما Pecshield قبلاً گفته بود گزارش گفته می شود که استثمارگران حداقل 5 میلیون دلار ارز دیجیتال را استخراج کرده اند.
این تیم در یک به روز رسانی در 3 ژوئیه گفت: “ما از قبل شروع به تماس با صرافی های مرکزی و آژانس های اجرای قانون کرده ایم تا از آنها کمک بگیریم.”
او همچنین به تیمهای پروژه و دارندگان توکن توصیه کرد نقدینگی را برداشته و توکنهای LP (ارائهدهنده نقدینگی) را باز کنند.
شکست “34 میلیارد” هک شبکه پلی
تحلیلگر امنیتی DeFi @0xArhat گفت این اکسپلویت نتیجه یک آسیبپذیری قرارداد هوشمند بود که به هکرها اجازه میداد «پارامترهای مخرب، از جمله امضای اعتبارسنجی جعلی و هدرهای بلوک» را ایجاد کنند.
این توسط یک قرارداد هوشمند پذیرفته میشود و به هکرها اجازه میدهد فرآیند تأیید را دور بزنند و توکنهایی را از استخر اتریوم شبکه پلی به آدرسهای خود در زنجیرههای دیگر مانند متیس، BNB Chain، Polygon و غیره صادر کنند.
این روند در زنجیرهای دیگر نیز تکرار شد و اجازه داد تا انبارهای توکن انباشته شوند.
به گفته این تحلیلگر، کیف پول هکرها زمانی حدود 42 میلیارد دلار توکن در خود جای داده بود، اما آنها تنها قادر به تبدیل و سرقت برخی از آنها بودند.
به این ترتیب، هکرها توانستند میلیاردها توکن را بر روی بلاکچینهای مختلفی که قبلاً وجود نداشتهاند، ضرب کرده و آنها را به آدرسهای کیف پول خود منتقل کنند.»
آخرین اکسپلویت شبکه Poly، توسط ارائهدهنده راهحلهای امنیتی بلاک چین، «34 میلیارد هک شبکه پلی» نامیده میشود.
رسیدن به پایین "34 میلیارد" هک شبکه Poly با استفاده از پس از مرگ فنی.
TL;DRMore
شبکه های Poly به مدت دو سال از یک پیکربندی ساده 3/4 multisig استفاده کردند.
پس از بررسی آخرین رویداد، متوجه شدیم که کلید خصوصی آدرس علامتگذاری شده به خطر افتاده است. pic.twitter.com/Y0eMJXcYso
– ددوب (@dedaub) 2 ژوئیه 2023
دداب به ضعف چند علامتی این پروتکل اشاره کرد و با بیان اینکه یک چند امضای ساده «3 از 4» به مدت دو سال استقرار یافته بود، افزود:
پس از بررسی آخرین رویداد، متوجه شدیم که کلیدهای خصوصی آدرسهای علامتگذاری شده به خطر افتاده است.
ددوو توضیح داد که این حمله پیچیده نبود زیرا هیچ باگ منطقی مورد سوء استفاده قرار نگرفت. او افزود که پاسخ Poly Network کند بود و هفت ساعت طول کشید و برای پلتفرم ۵.۵ میلیون دلار دزدی ارزهای دیجیتال هزینه داشت. خوشبختانه، بسیاری از توکن ها فاقد نقدینگی بودند که از ضرر بیشتر جلوگیری کرد.
مربوط: بیش از 204 میلیون دلار به دلیل هک و کلاهبرداری DeFi در سه ماهه دوم از دست رفت
پس از حمله، Changpeng Zhao، مدیر عامل Binance به مشتریان اطمینان داد: می گوید “این روی کاربران Binance تاثیری نخواهد گذاشت. ما از سپردههای این شبکه پشتیبانی نمیکنیم.”
Poly Network دوباره مشکل را برطرف کرد. ظاهراً به دلیل یک کلید میانبر به خطر افتاده است.
تا زمانی که صنعت ما رویکرد خود به امنیت را تغییر ندهد، این مشکل همچنان به وجود می آید.
حسابرسی قراردادهای هوشمند فقط سطح را خراش می دهد.
ps Poly شبکه هیچ ربطی به Polygon ندارد. https://t.co/n1qI48b4Kb
— مودیت گوپتا (@Mudit__Gupta) 2 ژوئیه 2023
Cointelegraph برای جزئیات بیشتر با Poly Network تماس گرفت، اما تا زمان انتشار هیچ پاسخی دریافت نکرد.
Poly Network یک بار در آگوست 2021 با یکی از بزرگترین سوء استفاده های صنعت مورد حمله قرار گرفت که بیش از 600 میلیون دلار توسط هکرهای مرتبط با گروه هکرهای کره شمالی Lazarus Group سرقت کرد.
مجله: Tornado Cash 2.0: The Race to Build a Safe and Legal Coin Mixer
نویسنده: Martin Young
