Poly Network 在昨日遭遇駭客攻擊,駭客鑄造了共超過 420 億美元的資產,不過目前僅轉出超過 500 萬美元的加密貨幣。安全公司 Dedaub 發布分析報告指出 ,被駭原因可能是 4 分之 3 的 Poly Network 管理員私鑰被盜或被濫用。
(前情提要:Poly Network遭駭!駭客多鏈增發「420億鎂代幣」包括 BNB、SHIB、BUSD、XTM…)
(背景補充:Poly Network駭客已還所有資金「並公布私鑰」!USDT進解凍程序、USDC恢復)
跨鏈互操作性協議 Poly Network 在昨日遭遇駭客攻擊,駭客在多個鏈上鑄造了共超過 420 億美元的資產,包括在 Metis 上增發了 99,999,184 枚 BNB 和 100 億枚 BUSD,不過由於流動性嚴重不足,不少巨額資產都無法跨鏈流出。
據派盾監測,攻擊者昨日共在以太坊、BNB Chain、Polygon 上轉移價值超過 500 萬美元的加密貨幣,包括:
- 將 1500 枚 ETH(約 288 萬美元)轉入 0x23f4…c671開頭地址
- 將 440 枚 ETH(約 84.4 萬美元)轉入 0xc8Ab…C42F 開頭地址
- 將 300 枚 ETH(約 57.5 萬美元)轉入 0xfD3E…b778 開頭地址
#PeckShieldAlert @PolyNetwork2 exploiter has transferred more than $5M worth of cryptos out on #Ethereum, #BNBChain, and #Polygon, especially 1.5K $ETH ($2.88M) to 0x23f4…c671, 440 $ETH ($844K) to 0xc8Ab…C42F, and 300 $ETH (~$575K) to 0xfD3E…b778https://t.co/EbYdTo3xIg… pic.twitter.com/I5Lg9UJ0eU
— PeckShieldAlert (@PeckShieldAlert) July 2, 2023
受攻擊事件影響,Poly Network 昨日已發布公告,宣布將暫停服務,並指此次攻擊造成 10 個區塊鏈上的 57 種資產受影響,團隊已與中心化交易所和執法機構溝通,來尋求幫助,希望攻擊者配合、歸還用戶資產,以避免任何潛在的法律後果。
被駭原因
安全公司 Dedaub 今日發布分析報告指出 ,Poly Network 被駭事件的實際被盜規模要少很多,因為大多數代幣都無法流動,而 Dedaub 的結論是,被駭原因並非是智能合約上的邏輯錯誤,反而可能是 4 分之 3 的 Poly Network 管理員私鑰被盜或被濫用。
Poly chain hack technical postmortem explains how the signature scheme of the cross-chain bridge was used as intended in smart contract Merkle verifier.
It is presumed the keeper private keys were compromised (or misused).https://t.co/EXwSedk9cD
— Dedaub (@dedaub) July 2, 2023
Dedaub 提到,Poly Network 用 7 個小時才對此攻擊有所反應,同時攻擊者在多個鏈上精心安排幾筆交易來利用這一點,值得注意的是,迄今為止,尚無明確證明證明私鑰被盜,可能是 Rug Pull,也可能是 4 分之 3 管理員的運行鏈外軟體遭攻擊。
Dedaub 指出,在此次攻擊中,明顯的事實是,在執行代幣傳輸的智能合約中,沒有利用邏輯漏洞,且管理員簽署了一份惡意鑄造的證明,倘若網路開發者確認攻擊與受損簽名私鑰有關(此情況很可能發生) ,那麼控制這麼多資金的中心化跨鏈橋是否適用就成了一大問題。
此次攻擊還表明,Poly Network 團隊對底層橋的監控不夠完善,如果協議已經建立了一個快速監控解決方案,像是 Dedaub Watchdog ,這將大幅縮短反應時間,並可能挽回一些資金。
相關報導
心路歷程》Poly Network駭客12條問答:好玩、跨鏈攻擊痕紅、責任揭露項目漏洞!
