Ограбление Poly Network — Тревожный звонок для системы безопасности DeFi

Аннотация. Кроссчейн платформа децентрализованных финансов Poly Network была взломана 10 августа 2021 года, при этом предполагаемый хакер похитил до $610 миллионов в криптовалюте. Но всего через несколько дней хакер пообещал вернуть украденные активы. Эта статья, начинающаяся с этого события с ограблением, прольет свет на проблемы безопасности DeFi-систем. Прежде всего, инцидент будет тщательно и упорядоченно разложен по фактам, в то время как некоторые сообщения от хакера будут собраны для справки. Затем автор кратко проанализирует, как хакер использует ошибку в смарт-контракте Poly Network для кражи средств. Более того, в конце статьи будет рассказано о трех распространенных атаках в DeFi и преимуществах безопасности централизованных сервисов.

Вступление

10 августа 2021 года команда Poly написала в твиттере, что Poly Network (протокол межцепочечной интероперабельности) подверглась атаке на блокчейны Ethereum, Binance Smart Chain (BSC) и Polygon, в результате чего было украдено криптовалют на $270 миллионов, $250 миллионов и $85 миллионов соответственно. Было потеряно почти $610 миллионов, пострадало большое количество пользователей, и даже некоторым лидерам криптоиндустрии пришлось столкнуться с потерей сотен миллионов долларов.

Взлом не редкость в крипто-мире, но это первый случай, когда сообщалось об ограблении с участием такой большой суммы средств. Вскоре взлом Poly Network был включен в число крупнейших в криптоиндустрии. Какова вся история этого шокирующего инцидента? Почему сеть Poly является мишенью для хакерских атак? Чему мы можем научиться из этого? Как пользователи снижают риск безопасности при криптоторговле и инвестициях? Эта статья ответ на вопросы безопасности в DeFi.

Взлеты и падения

Прежде всего, давайте кратко расскажем о том, что произошло.

Команда Poly Network написала в твиттере 10 августа 2021 года, что она была взломана на сумму около $610 миллионов в криптовалютах, которые были переведены на три адреса (более $250 миллионов на адрес BSC, начинающийся с 0x0D6e2, более $270 миллионов на адрес Ethereum, начинающийся с 0xC8a65, почти $85 миллионов на адрес Polygon начинающийся с ox5dc36). Помимо публикации Poly Network учетной записи с украденными активами, она также призвала майнеров затронутых блокчейнов и криптобиржи внести в черный список токены, поступающие с этих адресов (об этом в изображении ниже).

Впоследствии Tether, эмитент USDT, написал в твиттере, что он заморозил USDT на сумму около $33 долларов в связи со взломом. Интересно, что по адресу (hanashiro.eth) хакеру было отправлено сообщение с напоминанием о том, что USDT был заморожен, после чего на адрес было переведено $13,37 ETH. В результате многие спекулянты отправляли сообщения на адрес хакера, чтобы продемонстрировать свою лояльность, надеясь получить вознаграждение.

В то же время Poly Network отслеживал электронную почту злоумышленника, IP-адрес и другие данные, связанные с идентификацией, с помощью информации в сети и вне сети, продолжая публиковать сообщения в Twitter, пытаясь договориться с ним. Команда Poly опубликовала сообщение с предупреждением, что сумма взломанных денег была самой большой в истории DeFi, и правоохранительные органы в любой стране будут рассматривать это как крупное экономическое преступление, надеясь, что хакер сможет вернуть средства как можно скорее и что они смогут договориться друг с другом, чтобы выработать решение проблемы.

Однако хакер продемонстрировал свое безразличие к этим вопросам. Согласно Etherscan, 11 августа хакер внедрил сообщение в транзакцию в блокчейне и заявил, что готов вернуть деньги. Затем он сказал, что не смог связаться с Poly Network, и попросил предоставить официальные кошельки. После того, как кошельки были предоставлены, хакер начал возвращать украденные криптоактивы один за другим. По состоянию на 12 августа драма вокруг ограбления в более 50 часов подошла к концу, и все активы были возвращены, за исключением замороженных $33 миллионов в USDT.

Честь среди воров?

Однако хакер, похоже, не был удовлетворен окончанием этого инцидента. 11 августа он оставил сообщение при передаче в сети Ethereum и сам дал интервью в форме вопросов и ответов, объяснив свои мотивы и детали атаки. Некоторые части самостоятельного обсуждения хакером скомпилированы следующим образом. Зрители могут сами выносить суждения после прочтения подборки.

Вопрос: Зачем был взлом?

Ответ: Для развлечения

Вопрос: Почему именно Poly Network?

Ответ: Кроссчейн взлом — это круто

Вопрос: Зачем переводить токены?

Ответ: Когда я обнаружил ошибку, у меня были смешанные чувство. Спросите себя, что вы будете делать, если вам выпала такая большая удача. Вежливо попросите проектную команду, чтобы они исправить проблему? Любой может быть предателем, учитывая деньги в один миллиард долларов! Я никому не мог доверять! Единственное решение, которое я могу придумать, — это сохранить его в доверенной учетной записи, сохраняя при этом анонимность и безопасность. Теперь все думают, что за этим кроется какая-то конспирология. Я взял на себя ответственность раскрыть уязвимость до того, как какие-либо инсайдеры воспользуются ею!

Вопрос: Почему вернул деньги?

Ответ: Таков всегда план! Меня не очень интересуют деньги! Я знаю, это больно, когда происходят такие атаки, но разве они не должны чему-то научиться после этих взломов? Я объявил о своем решении вернуть средства до полуночи, чтобы люди, которые верили в меня, могли выдохнуть.

Вопрос: Зачем возвращать деньги? Ты трус?

Ответ: Какая разница. Когда вы судите других, вы не определяете их, но вы определяете себя. Я уже наслаждался тем, что меня волновало больше всего: хакерством и наставничеством. Немногие хакеры могут понять ситуацию с безопасностью DeFi. Да, вы видите много взломов, но большинство из них не доставляют удовольствия настоящему хакеру. Какой-то глупый код приводит к огромным потерям, но это не сложно. Это все равно что сражаться с подростком.

Я признаю, что взлом Poly был не таким причудливым, как вы себе представляете, но я действительно испытал что-то новое от этого. Я бы сказал, что выявление слепого пятна в архитектуре Poly Network стало бы одним из лучших моментов в моей жизни.

У меня достаточно денег по мере роста криптомира. Я уже некоторое время исследую вопросы смысл жизни. Я надеюсь, что моя жизнь может состоять из уникальных приключений, поэтому мне нравится учиться и взламывать все, чтобы бороться с судьбой. SEIN ZUM TODE. (Примечание: фраза “SEIN ZUM TODE” немецкого философа Хайдеггера означает бытие-навстречу-смерти)

Честно говоря, у меня действительно были некоторые эгоистичные мотивы сделать что-то крутое, но не вредное. Например, обрушить крупный фонд, как идея Dao. Тогда я понял, что стать правильным моральным лидером было бы самым крутым взломом, который я когда-либо мог заархивировать! Ваше здоровье!

Приведенное выше является выдержкой из компиляции, посвященной самоанализу хакера. Если вас интересует его полный ответ, пожалуйста, прочтите его в Twitter.

Следует сказать, что этот мистер этичный хакер, который “все равно может получить деньги”, — великий драматург. Он последовательно запустил 8 частей ответа, объясняющих его мотивацию для атаки, причину возврата средств, взгляды на команду Poly Network и мнения по многим деталям. Более того, он утверждал, что является аж моральным лидером.

Он не привел к прямой потере денег в проекте Poly Network, но вызвал шумиху в криптомире. Сомнения в безопасности DeFi неизбежно преследуют умы людей.

Атакуй свой щит своим копьем

После взлома многочисленные команды по безопасности и технологиям начали анализировать причины, по которым в сети Poly было украдено $610 миллионов. BlockSec, компания по безопасности блокчейна, заявила в отчете об анализе атак, что взлом, возможно, был вызван утечкой закрытого ключа, который использовался для подписи межцепочечного сообщения, или потенциальной ошибкой во время процесса подписи Poly. Но, по мнению команды Slowmist, популярное утверждение в Интернете о том, что причиной атаки стала утечка секретного ключа, не является надежным. Злоумышленник изменил подпись в кроссчейн контракте, тщательно сконструировав данные для перевода средств на указанный адрес.

В уайт бук Poly Network мы можем видеть, как реализуются кроссчейн транзакции. Poly Chain — это повторитель архитектуры всех блокчейнов. И кроссчейн транзакции, выполняемые пользователями в исходном блокчейне, должны синхронизировать информацию заголовка блока с целевой цепочкой через Poly Chain для выполнения связанных транзакций.

Серия смарт-контрактов в каждой цепочке развертывается в системе Poly Network для проверки данных заголовка блока. Например, в сети Ethereum для управления используются три контракта: "EthCrossChainManager", "LockProxy" и "EthCrossChainData". Важные переменные, хранящиеся в контракте "EthCrossChainData", определяют, какой адрес является кипером, что позволяет вам выводить средства из контракта "LockProxy", который содержит все сетевые активы Poly.

Кто-то подытожил инцидент следующим образом: хакер получил настоящий ключ от собственности с поддельным сертификатом недвижимости и обыскал дом. Согласно техническому анализу, проведенному командой безопасности SlowMist, процесс атаки можно грубо разделить на два этапа: модификация сигнатур киперов и случайное похищение валюты.

Во-первых, злоумышленник инициировал кроссчейн транзакцию в исходном блокчейне, вызвав функцию "Перекрестная цепочка" в цепочках для построения данных, и такого рода транзакция является недействительной. Однако без достаточной проверки ретранслятор исходного блокчейна случайно синхронизирует данные транзакции с Play Сhain, которая затем синхронизирует их с ретранслятором целевой цепочки. После этого Poly Chain включает транзакцию в хэш-дерево блокчейна консорциума и подписывает ее.

Затем хакер использовал действительное доказательство хэша, только что полученное в целевом блокчейне, для вызова контракта ECCM Poly Network для получения открытого ключа кипера и его адреса. На данный момент хакер мог свободно выполнять операции по изменению кипера. Наконец, после получения разрешения хакер может перевести все активы на указанный адрес.

Ахиллесова пята и Дамоклов меч

В последнее время последовательные атаки на протоколы, связанные с кроссчейн блокчейнами, происходят чаще, чем раньше. Почему кроссчейн становится мишенью для хакерских атак? Каковы уязвимости кроссчейна? Во-первых, как сказал хакер в сообщении, “кроссчейн взлом является крутым”, с его быстрым развитием, сопровождаемым притоком капитала и быстрым расширением средств в блокчейне. Во-вторых, сеть находится в состоянии становления, и многие детали еще предстоит оптимизировать. Эта атака была использована хакерами из-за ошибок в смарт-контракте. Более того, протоколы, связанные с кроссчейнами, обычно включают в себя несколько чейнов, и процесс взаимодействия между различными контрактами также очень сложен, что приводит к более высоким рискам в отношении безопасности активов.

Когда хакер вернул все средства, атака завершилась. Впоследствии Poly Network объявила о запуске программы вознаграждений за ошибки для смарт-контрактов, и каждый обнаруживший действительную уязвимость будет вознагражден суммой в $100000. Еще не поздно наверстать упущенное, но если они смогут принять меры предосторожности и подумать о проблемах безопасности в кроссчейне и DeFi, потенциальных потерь можно было бы эффективно избежать.

Атака Oracle

Прежде чем обсуждать атаки oracle, необходимо заранее объяснить несколько концепций. Один из них — oracle. Подавляющее большинство контрактов DeFi не имеют доступа к информации о ценах на цифровые валюты, кроме их собственных контрактов, но требуют другого протокола для передачи внешней информации о ценах. Oracle — это протокол, отвечающий за импорт информации о ценах в цифровой валюте. Еще один пример — флеш-кредиты. Флэш-кредит — это форма кредитования без залога, которая позволяет пользователям быстро и без залога одалживать большие суммы средств. Однако кредитор обязан вернуть кредит заемщику в рамках той же транзакции.

С другой стороны, атака oracle — это арбитражная атака, при которой злоумышленник изменяет котировки oracle и вмешивается в приложения других проектов DeFi.

В этом типе атаки злоумышленник обычно использует флэш-кредит для получения большого количества валюты из других проектов, выполняет различные финансовые операции в проектах DeFi и использует измененную информацию о ценах для достижения арбитража. Valley, Cheese Bank и Wrap Finance подверглись атакам oracle.

Атаки при повторном входе

Смарт-контракты позволяют вызывать внутренние и внешние контрактные функции. Во время них злоумышленник может изменять содержимое и параметры контракта и позволяет получателю вызываемой функции выполнять задачи, заданные злоумышленником. Атаки с повторным входом наносят больший ущерб и приводят к потерям в большем масштабе, чем атаки oracle. Повторная атака может легко украсть все активы в рамках контракта. Такие проекты, как Akropolis и OUSD, подверглись повторным атакам и понесли огромные убытки.

Кодовые атаки

Атаки на код также называются атаками на уязвимость контракта или атаками на уязвимость кода. Злоумышленник использует уязвимость в коде, оставленную разработчиком проекта, для атаки на контракт. Одним из распространенных типов кодовых атак является использование уязвимости в контракте, извлечение ликвидной валюты из пула ликвидности контракта и, наконец, замораживание контракта. UNISWAP, крупнейшая децентрализованная биржа, подверглась кодовой атаке, в ходе которой злоумышленники украли 1278 ETH с помощью уязвимости кода в этой бирже.

Риск потерь проекта обходится инвесторам дороже, чем риск непостоянных потерь. Непостоянные потери приводят к тому, что майнеры ликвидности теряют часть заработка, которого они заслуживают, в то время как потери проекта, скорее всего, приведут к тому, что майнеры ликвидности ничего не заработают. Таким образом, риск безопасности проекта, связанный с добычей ликвидности, является самым большим риском, с которым сталкиваются инвесторы, когда они занимаются добычей ликвидности.

Вывод

Есть ли лучший выбор, кроме DeFi, при рассмотрении вопросов безопасности?

С таким же успехом вы можете обратить свое внимание на централизованные биржи. По сравнению с децентрализованными финансовыми проектами надежные централизованные биржи часто могут гарантировать более высокую доходность при одновременном обеспечении безопасности, а также пользователям легче участвовать в транзакциях и управлении финансами. Являясь одной из старейших и крупнейших по объему бирж в мире криптовалют, Gate.io хорошо осознает важность безопасности активов в блокчейне и всегда уделяет первостепенное внимание безопасности активов, которая обеспечивается за счет сочетания централизации и децентрализации с большими инвестициями. Кроме того, платформа, которая оценивается как одна из самых безопасных платформ в мире, по оценкам CER (всемирно известная платформа оценки кибербезопасности), всегда стремилась предоставлять пользователям безопасные и простые инвестиционные решения и инновационные продукты. Поскольку мир становится свидетелем стремительного развития блокчейна, Gate.io привлекла больше внимания со стороны основных средств массовой информации и учреждений и завоевала больше доверия со стороны своих пользователей.

Серия высококачественных проектов по управлению активами, таких как майнинг ликвидности, бивалютный продукт и другие, были запущена на Gate.io. Майнинг ликвидности, как ключевой проект, недавно запущенный на платформе, играет важную роль в будущей дорожной карте Gate.io и пользуется самой высокой в мире гарантией безопасности. Более того, при сильной поддержке платформы это может стать одним из лучших проектов по управлению активами для криптовалют на нынешнем депрессивном рынке.

Узнайте больше о майнинге ликвидности:

Почему майнинг ликвидности на Gate.io отлично работает во время низкой волатильности на рынке?

Наука: что нужно знать об инвестировании в продукты для майнинга ликвидности

Наука: от маркет-мейкера до майнинга ликвидности. Насколько важна ликвидность?

Автор: Gate.io Аналитик: Ashley. H

*Эта статья отражает только мнение аналитика и не является каким-либо инвестиционным советом.

*Это оригинальная статья, и авторские права принадлежат Gate.io. Если вам необходимо сделать репост, пожалуйста, укажите автора и источник, в противном случае вы будете привлечены к юридической ответственности.