Sierpień był wielkim miesiącem pod względem hacków. W miesiącu tym miał miejsce m.in. jeden z największych hacków w historii kryptowalut. Jego ofiarą padł projekt Poly Network, a samo włamanie miało zaskakujący finał.
Cyberatak na Poly Network wielokrotnie trafiał w nagłówki medów. Włamanie miało bowiem wiele dziwnych zwrotów akcji, które przyprawiały o dreszcze. Pokazało bowiem, że plądrowanie giełd kryptowalutowych jest łatwiejsze niż napad na bank.
Ogromne kradzieże kryptowalut wydają się być coraz częstsze. Należy jednak zaznaczyć, że te zdecentralizowane technologie wciąż ewoluują od momentu ich powstania. Jak w każdym systemie, gdy odkryte zostaną luki w zabezpieczeniach, są one naprawiane.
Saga Poly Network
Poly Network był bez wątpienia największym skandalem hakerskim tego miesiąca.
Haker znalazł lukę w cyfrowych kontraktach projektu. To właśnie ich Poly Network używa do przenoszenia aktywów kryptowalutowych między różnymi łańcuchami. Dzięki temu hakerom udało się znaleźć drogę do skarbca.
Następnie przystąpili do przeprowadzenia monumentalnego skoku na kryptowaluty w trzech łańcuchach. Atakiem dotknięte zostały bockchainy Ethereum, Binance i Polygon Network. Z platformy zdecentralizowanych finansów (DeFi) wydrenowano łącznie ponad 600 milionów dolarów.
Co więcej, napastnik utrzymywał publiczny kontakt podczas tego ataku. Posunął się nawet do tego, że opublikował Q&A, w którym twierdził, że atak był przeprowadzony “dla zabawy”.
Jednak ich rzeczywiste motywy zrabowania pieniędzy nie są jasne. To dlatego, że uzasadnienia są raczej sprzeczne i mylące. W swoim Q&A haker twierdził, że ukradł tokeny, aby “zapewnić ich bezpieczeństwo”.
Haker twierdził, że zabrał pieniądze, aby zapobiec znalezieniu luki w zabezpieczeniach przez osoby z wewnątrz sieci Poly Network. Jednakże, zamiast ją naprawić, zdecydował się dokonać kradzieży.
Wyglądało na to, że to na nim spoczywa odpowiedzialność za martwienie się o lukę. Następnie skupił swoją uwagę na okradaniu platformy DeFi, próbując znaleźć najlepszy sposób na wypranie pieniędzy w niezauważony sposób.
Atakujący dokonywał jednak głośnych transakcji pod czujnym okiem społeczności kryptowalutowej. Zostały one zaobserwowane na publicznym blockchainie. Zakupił on nawet Cryptopunk NFT za 42 000 ETC, czyli wartość ponad 180 milionów dolarów.
Nietypowe posunięcie hakerów
Co najdziwniejsze, haker finalnie zwrócił 550 milionów dolarów ze skradzionych pieniędzy. Drugą połowę haker przez pewien czas trzymał w kieszeni, pomimo prób wyjaśnienia, że włamanie zostało przeprowadzone w dobrych intencjach.
W wątku na Twitterze, Poly Network powiedziało:
Wzywamy górników dotkniętych blockchain i giełd kryptowalutowych do wpisania na czarną listę tokenów pochodzących z powyższych adresów … Podejmiemy działania prawne i wzywamy hakerów do zwrotu aktywów.
Tether, który obsługuje stablecoina USDT, odpowiedział na wezwanie, umieszczając na czarnej liście adresy używaneprzez atakującego.
W czasie, gdy to się działo, inny użytkownik kryptowalut o pseudonimie Hanashiro przekazał atakującemu pustą transakcję Ethereum z radą, która miała pomóc hakerowi w manewrowaniu wokół zmieniającego się krajobrazu. Napisał w niej: “nie używaj swojego tokena USDT, masz [sic] na czarnej liście”.
Włamywacz odpowiedział Hanashiro pół godziny później, wysyłając mu 13,37 ETH o wartości około 57 000 dolarów jako wyraz wdzięczności. Hanishiro następnie wysłał część funduszy do organizacji charytatywnych.
Członkowie społeczności wspierają hakera
Wieść o tej płatności rozprzestrzeniła się jak pożar. To zapoczątkowało “gorączkę złota” w sieci Ethereum.
Wielu użytkowników zaczęło wysyłać wiadomości na konto używane przez atakującego, oferując mu porady, jak wyprać pieniądze, aby wesprzeć organizacje charytatywne.
Poly Network stwierdziło, że podejmie działania prawne przeciwko atakującemu, mówiąc, że “organy ścigania w każdym kraju uznają to za poważne przestępstwo gospodarcze, a ty będziesz ścigany.”
Ponieważ sytuacja eskalowała z powodu niezwróconych funduszy, Poly Network następnie zaoferowało intruzowi bug bounty o wartości 500 000 dolarów za odkrycie luki.
Haker odmówił. W końcu, był on w posiadaniu blisko pół miliarda dolarów w skradzionych aktywach.
Gdzieś pomiędzy tym, jak Poly Network nakłaniała hakera do zwrotu pieniędzy, a tym, jak w końcu zostały one zwrócone, Poly Network zaoferowała intruzowi pracę jako nowy główny doradca ds. bezpieczeństwa. Haker również odrzucił tą propozycję.
Śledzenie hacków
To jednak nie koniec historii. SlowMist, firma zajmująca się bezpieczeństwem ekosystemu blockchain, była w stanie skutecznie rozplątać wątek prowadzący z powrotem do hakera.
Zrobili to poprzez zdemaskowanie jego skrzynki pocztowej, adresu IP i odcisku palca urządzenia za pomocą śledzenia on-chain i off-chain.
Dzięki pomocy technicznej partnera SlowMist, Hoo Tiger Symbol oraz wielu uczestniczących giełd, zespół bezpieczeństwa SlowMist był w stanie ustalić, że początkowym źródłem kryptowalut napastnika było Monero (XMR).
Następnie przekazał on środki na BNB, ETH i MATIC na giełdzie. Potem wycofał środki na kilka adresów, a w dalszej kolejności dokonał włamań na trzy giełdy.
Natłok działań na blockchainie ułatwił jego namierzenie. SlowMist doszedł jednak do konkluzji, że ten napastnik dokładnie zbadał, zaplanował i zorganizował włamanie przed jego wykonaniem.
Więcej włamań, inna ofiara
Kolejne wydarzenie, które rozwinęło się w tej sadze, pochodziło od Fetch.ai, laboratorium sztucznej inteligencji znajdującego się w Cambridge. Zażądało ono od Binance zidentyfikowania i śledzenia ruchów hakera po tym, jak ten w dniu 6 czerwca naruszył ich kryptowalutowe konta .
Sieć ograniczyła konta napastników, tym samym uniemożliwiając im wypłatę aktywów. Atakujący jednak podobno sprzedał te środki stronie trzeciej w ciągu godziny.
Fetch.ai zażądał od Binance wstrzymania kont włamywaczy na giełdzie. Sąd Najwyższy przychylił się do tych wniosków.
Raporty wskazują, że Binance zastosuje się do nakazów sądowych. Niemniej jednak, nie będą mogli ubiegać się o nakaz odzyskania środków, dopóki nie dostarczą dowodów wykazujących, że byli ofiarami w tej sprawie. Syedur Rahman, który jest partnerem w Rahman Ravelli reprezentującym Fetch.ai powiedział:
Musimy obalić mit, że kryptowaluty są anonimowe. Rzeczywistość jest taka, że przy odpowiednich zasadach i aplikacjach można je śledzić, namierzać i odzyskiwać.
Binance już był pod ostrzałem, ponieważ instytucje finansowe na całym świecie kontrolowały giełdę. Wielka Brytania, wraz z kilkoma innymi krajami, wydała ostrzeżenia dotyczące korzystania z platformy. Tymczasem inne wprowadziły całkowite zakazy.
Japońska giełda Liquid kolejną ofiarą
Poly Network nie było jedyną ofiarą hacku w sierpniu. Hakerzy zaatakowali również japońską giełdę kryptowalutową z siedzibą w Tokio – Liquid. Udało im się wydrenować 97 milionów dolarów w kryptowalutach składających się z BTC, ETH, TRX i XRP. Hakerzy wycelowali w gorące portfele platformy.
Liquid Crypto zareagowało, mówiąc, że tymczasowo przenosi wszystkie aktywa offline do portfeli zimnych. Co więcej, zawiesili wszystkie usługi transakcyjne.
Giełda poinformowała, że “obecnie śledzi ruch aktywów i współpracuje z innymi giełdami, aby zamrozić i odzyskać fundusze.”
Zgodnie z wpisem na blogu, firma wyjaśniła, że haker obrał sobie za cel portfel Multi-Party Computation (MPC). MPC są wykorzystywane do przechowywania i zarządzania kryptowalutami singapurskiej spółki zależnej, QUOINE PTE. Liquid Crypto nie przedstawiło jednak oświadczenia wyjaśniającego, w jaki sposób intruzi byli w stanie się włamać do jej portali. Giełda poinformowała w tweecie:
Obecnie prowadzimy dochodzenie i będziemy dostarczać regularne aktualizacje. W międzyczasie depozyty i wypłaty zostaną zawieszone.
Dodatkowo, tweety Liquid Crypto pokazują adresy kryptowalutowe, które zostały użyte przez hakerów do eksfiltracji skradzionych aktywów.
Bug bounty może być rozwiązaniem problemu hacków
W ostatnim wpisie na blogu, Poly Network powiedział, że uruchomi program bug bounty o wartości 500 000 dolarów. Będzie to zachęta dla badaczy i hakerów do odkrywania i zgłaszania wszelkich luk w oprogramowaniu.
Zgodnie z listą bug bounty na Immunefi, maksymalna wypłata wynosi 100 000 dolarów. Dzięki atrakcyjnym zachętom wynikającym ze współpracy z dobrymi aktorami w dziedzinie cyberbezpieczeństwa, może to być postrzegane jako dodatkowa warstwa ochrony aktywów.
Utrzymywanie złych aktorów w tyle w wyścigu o znalezienie luk w zabezpieczeniach jest bez wątpienia kluczowe, jeśli chodzi o dopracowanie błędów. Kto znajdzie je pierwszy, to już inna sprawa.
Program bug bounty jest inicjatywą crowdsourcingową. Wynagradza osoby, które znajdują i zgłaszają luki w oprogramowaniu. Można to zrobić poprzez audyty kodu i testy penetracyjne.
Pozwala to firmom i członkom branży cyberbezpieczeństwa na znalezienie rozwiązań, zanim odkryją je podmioty stanowiące zagrożenie i wykorzystają dla własnych korzyści.
Trusted
Wyjaśnienie
Wszystkie informacje zawarte na naszej stronie internetowej są publikowane w dobrej wierze i wyłącznie w ogólnych celach informacyjnych. Wszelkie działania podejmowane przez czytelnika w związku z informacjami znajdującymi się na naszej stronie internetowej odbywają się wyłącznie na jego własne ryzyko.
