Zincirler arası köprü platformu Poly Network, geçtiğimiz gün gerçekleştirilen bir hack saldırısına kurban gitti. Protokolde meydana gelen hack ile birlikte milyonlarca token çalındı. Geçtiğimiz günden bugüne ise söz konusu hırsızlıkta yeni ayrıntılar ortaya çıktı.
Poly Network, maruz kaldığı hac saldırısının ardından resmi Twitter hesabı üzerinden açıklamalarda bulundu. Zincirler arası köprü platformu, bilgisayar korsanının protokoldeki akıllı bir sözleşme işlevini manipüle etmeyi başarmasının ardından son DeFi kurbanı olduğunu açıkladı. Bununla birlikte Poly Network, hizmetlerini geçici olarak askıya aldığını açıkladı.
Yapılan son güncellemede ise Poly Network ekibi, gerçekleştirilen hack saldırısının, Ethereum, BNB Chain, Polygon, Avalanche, Heco, OKX ve Metis gibi diğerleri de dahil olmak üzere 10 blok zincirindeki 57 kripto varlığını etkilediğini açıkladı.
Ne var ki saldırıda ne kadarlık token çalındığına ilişkin herhangi bir detay verilmedi. Ancak PeckShield, daha önce bilgisayar korsanlarının en az 5 milyon dolar değerinde kripto para transfer ettiğini bildirmişti.
Çanlar Poly Network için çalıyor
Ekip, 3 Temmuz itibarıyla yaptığı güncellemede ise merkezi borsalar ve emniyet birimleriyle iletişim başlattıklarını ve yardım istediklerini belirtti.
Ayrıca proje ekiplerine ve token sahiplerine likiditeyi geri çekmelerini ve LP token'larının kilidini açmaları tavsiyesinde bulundu.
DeFi güvenlik analisti @0xArhat, saldırının, bilgisayar korsanlarının sahte bir doğrulayıcı imzası ve blok başlığı ile kötü amaçlı bir değişken oluşturmasına olanak tanıyan bir akıllı sözleşme açığından kaynaklandığını söyledi.
Bu durumun, akıllı sözleşme tarafından kabul edilerek bilgisayar korsanının doğrulama sürecini atlamasına ve Poly Network'ün Ethereum havuzundan Metis, BNB Chain ve Polygon gibi diğer zincirlerdeki kendi adreslerine token ihraç etmesine olanak sağladığı belirtildi.
Analist, bir noktada hacker'ın cüzdanında yaklaşık 42 milyar dolar değerinde token bulunduğunu ancak bunların yalnızca bir kısmını dönüştürüp çalabildiğini söyledi.
Getting to the bottom of the "34 billion" Poly network hack with a technical postmortem.
— Dedaub (@dedaub) July 2, 2023
TL ; DR
Poly network had a simple 3 of 4 multisig arrangement over 2 years!
Looking at the final event we found that the private keys to the addresses marked were compromised. pic.twitter.com/Y0eMJXcYso
Blokzincir güvenlik çözümleri sağlayıcısı Dedaub, iki yıl boyunca basit bir "4'te 3" çoklu imza düzenlemesine sahip olduğunu belirterek Poly Network'ün çoklu imzasındaki zayıflıklara dikkat çekti.
Dedaub, mantık hatalarından yararlanılmadığı için saldırının karmaşık olmadığını açıkladı. Poly Network'ün yedi saat boyunca yanıt vermekte yavaş kaldığını ve bunun da platforma çalınan kriptoda 5,5 milyon dolara mal olduğunu ekledi. Neyse ki, token'ların çoğunda likidite olmaması daha fazla kayıp yaşanmasını engelledi.