Cross Chain Poly Network is gehackt. Het gedecentraliseerde financiële project verloor maar liefst $611 miljoen. Dit is de grootste succesvolle aanval in de hele geschiedenis van DeFi tot nu toe.
(On)verwachte aanval op Poly Netwerk
Op 10 augustus verscheen op het profiel van Poly Network op Twitter informatie over een hackaanval op het netwerk. Er werden cryptocurrencies ter waarde van in totaal 611 miljoen dollar van gestolen. Hackers kregen zo toegang tot middelen die waren opgeslagen op de ketens Ethereum, Binance Smart Chain en Polygon. Volgens schattingen werden tienduizenden mensen getroffen. Een deel van de middelen werd onmiddellijk door Tether bevroren. We hebben het over het equivalent van bijna 33 miljoen dollar. Helaas mislukte dezelfde procedure in het geval van fondsen opgeslagen in stablecoins BNB en USDC.
Poly Network is een brug tussen blockchains. Het maakt de overdracht van activa mogelijk zonder gebruik te maken van het ecosysteem van beurzen. Volgens de beheerders van de dienst heeft een hacker (of hackers) misbruik gemaakt van een kwetsbaarheid in de smart contract-verbindingen. Er zijn echter mensen die de ontwikkelaars van Poly Netwok de schuld geven. Mudit Gupta, die tegelijkertijd een Ethereum-programmeur en een beveiligingsonderzoeker is, gelooft dat het verlies van fondsen een gevolg is van de nalatigheid van de netwerkontwikkelaars en hun onverantwoordelijke ontwerpbeslissingen.
Interessant genoeg was er niet lang na de aanval een onofficieel rapport dat de hacker eerder contact had opgenomen met Poly Network om te wijzen op kwetsbaarheden in hun code. Dit werd naar verluidt genegeerd.
Hacker geeft geld gedeeltelijk terug
Nog op de dag van de aanval publiceerde Poly Network een brief op Twitter met het verzoek aan de hacker om de gestolen tokens terug te geven. Tot ieders verbazing kwam een dergelijke actie van de aanvaller al de volgende dag. Het is echter onduidelijk of dit het resultaat was van een verzoek van Poly Network vertegenwoordigers of misschien het resultaat van Slowmist’s snelle onderzoek. Het blockchain beveiligingsbedrijf slaagde erin om de digitale identiteit van de dader vast te stellen, in de vorm van zijn IP-adres en e-mail. De hacker maakte hoogstwaarschijnlijk gebruik van de kleine Chinese cryptocurrency exchange Hoo. Daar verzamelde hij naar verluidt de fondsen waarmee hij de uiteindelijke aanval uitvoerde.
De aanvaller besloot een token aan te maken met de naam “The hacker is ready to surrender”, dat hij later naar een van de adressen van Poly Network stuurde. In latere stappen maakte hij 3 transacties met waarden van respectievelijk $10, $10.000 en $1.000.000 USDC. Hij keerde ook de gestolen BTC en andere cryptocurrencies terug.
Er ontstaan nieuwe hypotheses over de motieven van de dader
De som van de teruggegeven penningen aan Poly Network bedroeg in totaal 256 miljoen dollar. De zaak blijft dus in ontwikkeling en er kunnen nog meer overdrachten plaatsvinden. Er blijven echter nog veel vragen over. Ten eerste, wie is de hacker en of de inbraak daadwerkelijk een gevolg is van nalatigheid van de ontwikkelaars van Poly Network. Eén ding is zeker, dit soort inbraken in DeFi hebben het recht om op lange termijn de aandacht te vestigen op veiligheidsaspecten en ervoor te zorgen dat soortgelijke inbraken niet meer zullen gebeuren.
Het hele verhaal wordt gekruid door het feit dat samen met de start van het proces van het terugsturen van de in beslag genomen fondsen, een interview met de hacker online verscheen. Uit zijn woorden blijkt dat hij helemaal niet de bedoeling had om de fondsen te stelen, maar om ze te beschermen tegen de onverantwoordelijkheid van de ontwikkelaars van Poly Network. De kwetsbaarheid die hij vond, kon volgens hem door iedereen worden gezien. Zijn actie had dus een beveiligingskarakter. Bovendien, zoals hij vermeldde, was hij niet van plan om de middelen waartoe hij toegang had gekregen volledig leeg te halen, aangezien het niet zijn bedoeling was om een daling van de waarde van de munten te veroorzaken. Als de bovengenoemde argumenten waar zijn, kunnen zij een schaduw werpen op Poly Network.