Poly Network — это межсетевой мост, облегчающий передачу активов между разными блокчейнами. Инцидент позволил преступнику создать различное количество токенов 57 в блокчейнах, отметила команда Poly Network. К ним относятся Ethereum, BNB Chain, Metis и Polygon.
После эксплойта крипто-кошелек злоумышленника показал стоимость, превышающую 34 миллиарда долларов , отметил Beosin. Однако это значение не превратилось в реальную прибыль для злоумышленника из-за явной нехватки ликвидности в затронутых цепях.
Лишь небольшая часть искусственно отчеканенных токенов была обменена на эфир (ETH) в сетях Ethereum и Binance Smart Chain на общую сумму около 5 196 ETH или 10,1 млн долларов, отметил Beosin.
Аналитики безопасности из Beosin и Dedaub предположили, что атака на Poly Network могла быть связана с компрометацией или кражей закрытых ключей, используемых в основном смарт-контракте платформы, а не с конкретной уязвимостью в логике контракта. Они утверждали, что закрытые ключи для трех из четырех кошельков администратора, на которых основан основной смарт-контракт проекта, были скомпрометированы. Команда Poly Network еще не ответила на это заявление.
Этот инцидент знаменует собой второй крупный взлом системы безопасности Poly Network. В 2021 году кто-то украл у проекта активы на сумму 611 миллионов долларов, но позже вернул их в ходе одного из крупнейших на сегодняшний день ограблений криптовалюты.
Ответ Poly Network
После инцидента Poly Network объявила о приостановке своих услуг и заявила, что активно работает с централизованными биржами и правоохранительными органами для выявления преступника и возврата средств. Централизованные биржи особенно важны в этом контексте, поскольку они обладают способностью отслеживать подозрительные действия и останавливать транзакции, связанные с незаконно отчеканенными токенами.
Команда Poly Network рекомендовала затронутым проектам вывести ликвидность из децентрализованных бирж (DEX) и призвала пользователей, владеющих пострадавшими активами, разблокировать их и потребовать обратно свои токены пула ликвидности (LP), привязанные к этим активам. Команда также обратилась к злоумышленнику с просьбой вернуть пользовательские активы, чтобы «избежать возможных юридических последствий».