من المقرَّر الكشفُ عن المزيد من التفاصيل في أعقاب هجوم 2 يوليو على منصة الربط بين سلاسل البلوكتشين "شبكة بولي" (Poly Network)، حيث أدَّى الهجوم إلى إصدار المخترقين المليارات من التوكنات من أجل الربح.
ومن جهته قال الفريق في تحديث 3 يوليو: "لقد بدأنا بالفعل الاتصال مع البورصات المركزية ووكالات إنفاذ القانون، وطلبنا مساعدتهم".
كما نصحَ فريق "شبكة بولي" فِرَقَ المشروع وحائزي التوكنات بسحب السيولة وفتح توكنات "مزود السيولة" (LP) الخاص بهم.
اختراق الـ 34 مليار لشبكة بولي
أفاد محلل أمن التمويل اللامركزي @0xArhat بأنَّ الاختراق كان نتيجةً لضعف العقد الذكي الذي سمح للمخترقين "بصياغة معامل ضار يحتوي على توقيع مدقِّق مزيَّف ورأس كتلة".
قُبل ذلك عبر العقد الذكي الذي مكّن المخترقين من تجاوز عملية التحقُّق، ما سمح لهم بإصدار التوكنات من إيثيريوم الموجودة على "شبكة بولي" إلى عناوينهم الخاصة على سلاسل أخرى، مثل Metis وBNB Chain وPolygon.
تكرَّرت العملية لسلاسل أخرى، ما أدَّى إلى تراكم التوكنات.
وفي مرحلة ما، كانت محفظة المخترق تحوي نحو 42 مليار دولار من التوكنات، ولكنه تمكَّن من تحويل وسرقة جزء منها فقط، وفقاً للمحلل.
"بهذه الطريقة، تمكَّن المخترق من سكِّ مليارات التوكنات على مختلف السلاسل التي لم تكن موجودة من قبل، ونقلِها إلى عناوين محفظته الخاصة."
أطلق مزوِّد حلول أمن البلوكتشين "ديدوب" (Dedaub) على أحدث اختراق لشبكة بولي "اختراقَ الـ 34 مليار لشبكة بولي".
Getting to the bottom of the "34 billion" Poly network hack with a technical postmortem.
— Dedaub (@dedaub) July 2, 2023
TL ; DR
Poly network had a simple 3 of 4 multisig arrangement over 2 years!
Looking at the final event we found that the private keys to the addresses marked were compromised. pic.twitter.com/Y0eMJXcYso
كما أشارت (Dedaub) إلى نقاط الضعف في التوقيع المتعدد للبروتوكول، مشيرةً إلى أنَّه كان لديه ترتيبٌ بسيطٌ متعدِّد التوقيعات، "3 من 4"، على مدار عامين، مضيفةً:
"بالنظر إلى الحدث الأخير، وجدنا أنَّ المفاتيح الخاصة للعناوين التي وُضعَت عليها علامة قد اختُرقت."
بالإضافة إلى ذلك، أوضحت (Dedaub) أنَّ الهجوم لم يكن معقَّداً، حيث لم يُستغل أيُّ خطأ منطقي، مشيرةً إلى أنَّ "شبكة بولي" كانت بطيئة في الاستجابة، حيث استغرقت سبع ساعات، ما كلَّف المنصة 5.5 مليون دولار من العملات المشفرة المسروقة. ولحسن الحظ، منع نقص السيولة في العديد من التوكنات المزيدَ من الخسائر.
مقالات ذات صلة: شركة وساطة الكريبتو FPG توقف عمليات السحب بعد هجوم سيبراني بقيمة 20 مليون دولار
بعد الهجوم، طمأن تشانغبينغ تشاو، الرئيس التنفيذي لشركة "بينانس" (Binance)، العملاء، قائلاً: "لا يؤثر ذلك على مستخدمي بينانس، فنحن لا ندعم الودائع من هذه الشبكة".
Poly Network got rekt again; allegedly because of compromised hot keys.
— Mudit Gupta (@Mudit__Gupta) July 2, 2023
It's going to keep happening untill our industry changes our approach to security.
Smart contract audits only scratch the surface.
ps Poly network has NOTHING to do with Polygon. https://t.co/n1qI48b4Kb
وبدورها تواصلت "كوينتيليغراف" (Cointelegraph) مع "شبكة بولي" للحصول على مزيد من التفاصيل، لكنَّها لم تتلقَّ رداً بحلول وقت النشر.
يُذكر أنَّ "شبكة بولي" تعرَّضت للهجوم مرَّةً من قبل في واحدة من أكبر عمليات الاختراق في الصناعة في أغسطس 2021 حين سرق المخترقون، الذين كُشف لاحقاً عن ارتباطهم بمجموعة القرصنة الكورية الشمالية "مجموعة لازاروس" (Lazarus Group)، ما يزيدُ عن 600 مليون دولار.
مقالات ذات صلة: مخترقون من كوريا الشمالية يسرقون ما يزيد عن 100 مليون دولار من مستخدمي Atomic Wallet
Translated by Albayan Gherra
ترجمة البيان غره