Кроссчейн-протокол Poly Network был атакован неизвестным хакером 10 августа 2021 года. Хакеру удалось вывести более $600 млн в криптовалютах, что стало крупнейшим взломом в истории всего крипторынка.
Poly Network — это кроссчейн-протокол, который позволяет обмениваться токенами и активами различных блокчейн-сетей. Он был запущен разработчиками из крупнейших блокчейн-проектов, таких как NEO, Switcheo и Ontology, однако это не защитило его от уязвимостей, которые привели ко взлому. Но в отличие от большинства подобных случаев на этот раз хакер, атаковавший Poly Network, вернул все украденные средства, за исключением $33 млн в USDT, которые заморозила компания Tether.
Разобрались, как хакеру удалось вывести столь крупную сумму и почему он решил вернуть все средства пользователям Poly Network.
Содержание:
Как устроен протокол Poly Network?
Poly Network — это протокол, который был создан в Сингапуре в августе 2020 года для обмена активов между различными блокчейнами. Разработчики проекта ранее работали над различными блокчейн-платформами, включая NEO, Ontology и Switcheo. Они утверждают, что строят инфраструктуру для Web 3.0 — интернета следующего поколения. На данный момент протокол поддерживает активы сетей Bitcoin, Ethereum, NEO, Ontology, Elrond, Ziliqa, Binance Smart Chain, Switcheo и Huobi ECO Chain.
Проект создает экосистему, которая позволяет проводить кроссчейн-операции. Благодаря Poly Network эти операции доступны даже блокчейнам, которые не поддерживают технологию смарт-контрактов. В то же время сам проект не имеет собственного токена.
Члены команды Poly Network называют себя пионерами в разработке технологии для совместимости разнородных блокчейнов. Эта технология решает проблему масштабируемости и продвижения блокчейн-приложений. Таким образом, Poly Network предоставляет крипторынку единую экосистему, которая обеспечивает взаимодействие различных блокчейн-сетей и поддерживает атомарные транзакции между ними.
Гомогенные (системы одного типа, которые работают по одинаковым правилам) и гетерогенные (системы, которые работают по разным правилам) публичные блокчейны могут подключаться к экосистеме Poly Network через открытый и прозрачный механизм, который позволяет им обмениваться информацией друг с другом. Этот механизм основан на двухуровневой архитектуре и использует сайдчейны и режим ретрансляции. В рамках данного механизма блокчейн Poly используется в качестве кроссчейн-координатора, многочисленные гомогенные блокчейны выступают в роли исполнителей кроссчейн-транзакций, а режим ретрансляции используется как передатчик информации. Это делает Poly Network оптимальной средой для взаимодействия децентрализованных криптобирж, кредитных протоколов и стейблкоинов.
Проще говоря, в экосистеме Poly Network используются следующие элементы:
По этой причине в таких кроссчейн-сетях, как Poly Network, хранится большой объем ликвидности в различных цифровых активах. Это позволяет всем пользователям совершать операции по обмену токенов и криптовалют.
При этом в Poly Network пользователи не могут выпускать собственные токены. Такой шаг был выбран командой разработчиков для повышения безопасности Poly Network, что тем не менее не спасло проект от крупнейшего взлома в истории DeFi.
Таким образом, Poly Network — это глобальная кроссчейн-платформа, которая объединяет различные блокчейны. Если пользователю нужно перевести активы из блокчейна Ethereum в блокчейн Bitcoin, он может воспользоваться Poly Network для этого. Например, децентрализованная биржа Switcheo использует протокол проекта для повышения скорости транзакций и снижения их стоимости. В то же время в Poly Network есть ключевой смарт-контракт, который хранит ликвидность всех блокчейнов, подключенных к экосистеме — именно он сыграл ключевую роль в атаке хакера, разбор которой идет чуть ниже.
Стоит отметить, что среди партнеров проекта — Национальная блокчей-сеть Китая (BSN). В ноябре 2020 года протокол Poly Enterprise, входящий в экосистему Poly Network, заключил соглашение о стратегическом партнерстве с BSN. Poly Enterprise — это корпоративная версия Poly Network, разработанная компанией Onchain. Она поддерживает протоколы Hyperledger Fabric и FISCO BCOS среди прочих.
Poly Enterprise совместно с BSN Development Association развивают блокчейн-технологии, продвигают и ускоряют их промышленное внедрение и поддерживают инновации. По мнению представителей Poly Enterprise и BSN Development Association, их наработки лягут в основу развития умных городов и будущей цифровой экономики.
Poly Network был вторым протоколом, представленным в сети BSN. Также партнерами компании являются 39 DeFi-проектов, 13 NFT-проектов и 7 децентрализованных криптобирж.
Как хакер взломал Poly Network?
Во вторник, 10 августа, команда DeFi-протокола Poly Network сообщила в своем аккаунте в Twitter, что проект был атакован на блокчейнах Binance Chain, Ethereum и Polygon:
«Важно: к сожалению, протокол PolyNetwork был атакован в сетях Binance Chain, Ethereum и Polygon. Украденные активы переведены на адреса кошельков хакера: ETH: 0xC8a65Fadf0e0dDAf421F28FEAb69Bf6E2E589963 BSC: 0x0D6e286A7cfD25E0c01fEe9756765D8033B32C71».
Тогда же стало известно, что в общей сумме были похищены криптовалюты на $611 млн, из которых:
Среди украденных токенов, о которых сообщили в проекте, были WBTC, WETH, RenBTC, UNI, SHIB, FEI и стейблкоин DAI. Известно, что похищенные USDC и DAI были переведены на DeFi-платформу Curve.
Чуть позже команда Poly Network опубликовала адреса злоумышленника, на которые были переведены украденные криптовалюты, и призвала криптокомьюнити, включая биржи, эмитентов стейблкоинов и майнеров вышеупомянутых блокчейнов, внести в «черный список» токены с этих кошельков. Также в компании предупредили, что будут принимать юридические меры, и призвали хакера вернуть похищенные активы.
10 августа в Poly Network также выпустили обращение к хакеру:
«Дорогой хакер, мы — команда Poly Network. Мы хотим связаться с тобой и убедить вернуть украденные средства. Количество средств, которые ты похитил — крупнейшее в истории DeFi. Правоохранительные органы любой страны отнесутся к этому как к серьезному экономическому преступлению и будут преследовать тебя. С твоей стороны будет очень неразумно пытаться провести транзакции [с украденными средствами]. Деньги, которые ты украл, принадлежат десяткам тысяч участников криптокомьюнити, то есть обычным людям. Ты должен поговорить с нами, чтобы вместе мы могли начать работу над поиском решения этой проблемы. Команда Poly Network».
Через несколько часов после инцидента компания по блокчейн-безопасности SlowMist опубликовала свой анализ ситуации, где объяснила, как хакеру удалось взломать протокол Poly Network. По данным специалистов SlowMist, он смог воспользоваться уязвимостью одного из смарт-контрактов протокола.
Этот смарт-контракт, который позволяет пользователям перемещать токены из блокчейнов Binance Smart Chain, Ethereum и Polygon, имел доступ к большому объему ликвидности, поскольку обеспечивал эффективный обмен активов этих сетей. Хакер смог переписать инструкции смарт-контракта для каждого из трех блокчейнов и направить средства из них на адреса своих криптокошельков.
С техническими подробностями произошедшего взлома и функциями смарт-контракта, которые были использованы хакером, можно ознакомиться в блоге SlowMist (на английском языке) или же в серии твитов разработчика Кельвина Фихтера.
Также эксперты SlowMist заявили, что узнали адрес электронной почты преступника, его IP-адрес и цифровой отпечаток его устройства. Этого удалось добиться после того, как был отслежен идентификатор хакера. Более того, в компании узнали, что для финансирования атаки на протокол злоумышленник мог использовать Monero, которые обменял на BNB, ETH, MATIC и другие токены. По словам специалистов SlowMist, эту информацию удалось получить благодаря китайской криптобирже Hoo и другим площадкам.
Интересно, что после взлома на адреса хакера стали приходить пустые токены с различными сообщениями. Например, один из криптопользователей отправил монету под названием “HelloSerHackerSorryForAskingButWouldYouMindShareingYourWealthImPoorMan”. Дословно это переводится, как:
«Привет, господин хакер. Прошу прощения за беспокойство, но не могли бы вы поделиться своим богатством? Я бедный человек».
Примечательно, что одному из пользователей действительно удалось получить часть похищенных средств обратно. Некто под ником hanashiro.eth посоветовал преступнику не использовать токены USDT, чтобы они не были заблокированы. За это он получил от злоумышленника 13.37 ETH на сумму около $42 000. Однако hanashiro.eth не стал оставлять средства себе и перенаправил их на адрес создателя Ethereum Виталика Бутерина.
Реакция криптосообщества на взлом Poly Network
Крупнейшие криптокомпании откликнулись на призыв Poly Network о помощи. Так, глава крупнейшей криптобиржи Binance Чанпэн Чжао сообщил, что его компания готова помочь Poly Network и сделает все, что в ее силах. В первую очередь Binance скоординировала действия со своими партнерами по безопасности, чтобы оказать активную поддержку проекту.
Чжао также опубликовал твит со ссылкой на свою статью в блоге Binance о том, как правильно и безопасно хранить криптовалюту. Он даже запостил целую серию твитов, где обсудил с криптосообществом вопросы безопасности и взломов, а также опубликовал рассуждения о том, что безопаснее: DeFi, централизованные биржи или фиат.
Глава OKEx Джей Хао отметил, что биржа следит за украденными криптовалютами и токенами и готова помочь команде Poly Network.
В то же время криптокомпания Tether внесла в «черный список» украденные стейблкоины USDT на базе Ethereum на сумму около $33 млн. Об этом сообщил технический директор Tether и Bitfinex Паоло Ардоино у себя в Twitter.
Сооснователь Huobi Джун Ду отметил, что компания следит за ситуацией, а ее команды по контролю рисков и безопасности отслеживают все адреса преступника.
Почему хакер вернул все средства Poly Network?
На следующий день после взлома хакер сначала отправил пустую транзакцию, в которой сообщил о готовности вернуть средства. Затем он перешел от слов к действиям и начал возвращать украденные средства команде протокола. Это подтвердили и в Poly Network:
«На данный момент мы получили от хакера активы на сумму в $4 772 297.675. Среди них на ETH-адрес пришло $2 654 946.051, на BSC-адрес $1 107 870.815 и на Polygon-адрес $1 009 480.809».
К утру четверга, 12 августа, хакер вернул больше половины похищенных средств на сумму в $342 млн, $256 млн из которых — в токенах на блокчейне Binance Smart Chain.
В комментариях к многочисленным транзакциям хакер также ответил на вопросы о том, почему он решил вернуть средства пользователей. Так, по словам злоумышленника, когда он обнаружил баг в смарт-контракте Poly Network у него возникли смешанные чувства:
«Спросите себя сами, чтобы вы сделали, если бы у вас оказался доступ к такому состоянию? Вы бы стали вежливо просить команду исправить ошибку? Кто угодно мог бы оказаться предателем за миллиард! Я не мог никому доверять!» — написал анонимный хакер.
Следуя этой логике, хакер решил отправить скомпрометированные активы на безопасный адрес, а сам предпочел остаться «в тени» и не раскрывать свою личность. При этом он сказал, что не очень заинтересован в деньгах и изначально планировал вернуть средства пользователей обратно команде Poly Network.
Он также признался, что провел атаку «ради забавы». По этой причине, когда команда Poly Network предложила перевести ему $500 000 в рамках баг-баунти — вознаграждение за то, что он нашел уязвимость в смарт-контракте протокола — он ответил, что не хочет:
«Мне предложили награду, но я так и не ответил. Вместо этого я отправил все средства обратно», — рассказал анонимный хакер.
Перспективы Poly Network
Несмотря на репутационные убытки, вызванные взломом анонимного хакера, Poly Network имеет хорошие перспективы развития. Ключевая миссия проекта — предоставить среду взаимодействия для различных блокчейнов — является удачной и востребованной на крипторынке. Об этом говорит партнерство не только с прогосударственной китайской блокчейн-сетью BSN, но и со множеством криптостартапов из различных сфер.
Poly Network предлагает крипторынку важное решение многих проблем, связанных с интероперабельностью различных блокчейн-сетей. А технологии, заложенные в этот протокол, развиваются командой успешных блокчейн-разработчиков, что также может говорить о дальнейших перспективах проекта.
Где выгоднее покупать биткоин? ТОП-5 бирж
Для безопасной и удобной покупки криптовалют с минимальной комиссией, мы подготовили рейтинг самых надежных и популярных криптовалютных бирж, которые поддерживают ввод и вывод средств в рублях, гривнах, долларах и евро.
Надежность площадки в первую очередь определяется объемом торгов и количеством пользователей. По всем ключевым метрикам, крупнейшей криптовалютной биржей в мире является Binance. Также Binance самая популярная криптобиржа в России и на территории СНГ, поскольку имеет наибольший оборот денежных средств и поддерживает переводы в рублях с банковских карт Visa/MasterCard и платёжных систем QIWI, Advcash, Payeer.
Специально для новичков мы подготовили подробный гайд: Как купить биткоин на криптобирже за рубли?
Рейтинг криптовалютных бирж:
# | Биржа: | Cайт: | Оценка: |
---|---|---|---|
1 | Binance (выбор редакции) | https://binance.com | 9.7 |
2 | FTX | https://ftx.com | 7.5 |
3 | Bybit | https://bybit.com | 7.2 |
4 | OKEx | https://okex.com | 7.1 |
5 | Exmo | https://exmo.me | 6.9 |
Критерии по которым выставляется оценка в нашем рейтинге криптобирж:
Источник: mining-cryptocurrency.ru