Theo thống kê từ các đơn vị bảo mật blockchain, thiệt hại từ vụ tấn công Poly Network lần thứ hai vừa qua là 10 triệu USD.
Cầu nối Poly Network lại bị tấn công!
Như Coinlist68 đã đưa tin, vào sáng ngày 02/07/2023, dự án cross-chain Poly Network đã gặp phải một lỗ hổng khiến kẻ tấn công mint được 57 loại token trên 10 blockchain khác nhau, bao gồm cả Ethereum, BNB Chain, Polygon, Avalanche và Metis. Tuy nhiên, chưa xác định được thiệt hại thực tế từ vụ hack.
Theo dữ liệu mới nhất được tổng hợp bởi công ty bảo mật Beosin, kẻ tấn công đã swap số ETH trị giá hơn 10 triệu USD lợi nhuận từ cuộc tấn công nêu trên.
@PolyNetwork2 exploiter has swapped a total of 5,196 $ETH (~$10.1M) on Ethereum.
Other tokens (~$260 million) may not be cashed out by the attacker due to low liqudity.
The fees for these addresses on Ethereum are from @Bybit_Official, @kucoincom, @FixedFloat, @ChangeNOW_io pic.twitter.com/rTxIvY993P
— Beosin Alert (@BeosinAlert) July 3, 2023
Trên thực tế, sau cuộc tấn công, ví hacker hiển thị giá trị vượt quá 34 tỷ USD. Nhưng phần lớn số token đó không thể chuyển thành lợi nhuận thực tế do thiếu thanh khoản rõ rệt trên các blockchain bị ảnh hưởng.
Chỉ một phần nhỏ các token được mint thủ công đã được hoán đổi thành ETH trên mạng Ethereum và Binance Smart Chain, tổng cộng khoảng 5.196 ETH, tương đương 10,1 triệu USD.
Các nhà phân tích bảo mật tại Beosin và Dedaub cho rằng cuộc tấn công vào Poly Network có thể bắt nguồn từ việc vi phạm hoặc đánh cắp private key được sử dụng trong hợp đồng thông minh chính của nền tảng, chứ không phải từ một lỗ hổng logic cụ thể nào của hợp đồng.
Poly chain hack technical postmortem explains how the signature scheme of the cross-chain bridge was used as intended in smart contract Merkle verifier.
It is presumed the keeper private keys were compromised (or misused).https://t.co/EXwSedk9cD
— Dedaub (@dedaub) July 2, 2023
Họ cho rằng các private key của 3 trong tổng số 4 ví admin – điều khiển hợp đồng thông minh chính của dự án – đã bị xâm phạm. Đội ngũ Poly Network vẫn chưa phản hồi về tuyên bố này.
Sự cố này đánh dấu cuộc tấn công lần thứ hai đối với Poly Network. Vào tháng 08/2021, kẻ xấu đã bòn rút số tiền lên đến 611 triệu USD từ dự án. Đây là vụ hack tiền mã hóa nghiêm trọng nhất trong lịch sử tính đến thời điểm đó, chỉ bị vượt mặt bởi vụ hack cầu nối Ronin của Axie Infinity gây thiệt hại 622 triệu USD vào tháng 03/2022.
Dưới áp lực từ phía Poly Network và cộng đồng crypto, hacker sau đó ít ngày đã trả lại gần như toàn bộ tiền lấy đi từ vụ tấn công.
Phản ứng của Poly Network
Sau vụ việc, Poly Network thông báo tạm ngừng các dịch vụ của mình và cho biết đang tích cực hợp tác với các sàn giao dịch tập trung (CEX) và cơ quan thực thi pháp luật để xác định kẻ tấn công và khôi phục lại số tiền bị mất.
We have already initiated communication with centralized exchanges and law enforcement agencies to sought their assistance. We hope that the attacker will cooperate and return the user assets to avoid any potential legal consequences.
【5/7】— Poly Network (@PolyNetwork2) July 2, 2023
Các sàn CEX đóng vai trò quan trọng trong hoàn cảnh này, vì họ có khả năng theo dõi những hoạt động đáng ngờ và ngăn chặn giao dịch liên quan đến các token được phát hành không hợp pháp.
Đội ngũ Poly Network khuyến nghị dự án bị ảnh hưởng nên rút thanh khoản khỏi các sàn DEX và kêu gọi người dùng nắm giữ tài sản bị ảnh hưởng mở khóa chúng và thực hiện yêu cầu nhận lại token có liên quan được dùng để cung cấp thanh khoản (LP).
We also strongly advise users who hold the affected assets to expedite the process of withdrawing liquidity and unlocking their LP tokens.
We deeply appreciate your patience and understanding during this challenging period.
Yours sincerely,
The Poly Network Team
【7/7】— Poly Network (@PolyNetwork2) July 2, 2023
Đội ngũ cũng kêu gọi kẻ tấn công trả lại tài sản của người dùng để “tránh bất kỳ hậu quả pháp lý tiềm ẩn có thể xảy ra”.