Poly Network exhorte les utilisateurs à effectuer des retraits à la suite d'un piratage affectant 57 actifs crypto

De nouveaux détails sont révélés à la suite d'une attaque du 2 juillet sur la plateforme du pont cross-chain Poly Network, qui a permis à un pirate d'émettre des milliards de tokens à partir de rien et à des fins lucratives.

Dans un message publié le 2 juillet sur Twitter, Poly Network a confirmé qu'il était devenu la dernière victime d'un piratage DeFi après que les pirates aient réussi à manipuler une fonction de smart contract sur le protocole de pont cross-chain, ajoutant qu'il allait suspendre temporairement ses services.

Dans la mise à jour la plus récente, l'équipe a révélé que l'attaque affectait 57 actifs crypto sur 10 blockchains - y compris Ethereum, BNB Chain, Polygon, Avalanche, Heco, OKx et d'autres comme Metis.

Il n'a pas précisé le montant volé lors de l'attaque, mais Peckshield a précédemment signalé que le pirate avait transféré au moins 5 millions de dollars de cryptomonnaies vers l'extérieur.

*Les tokens transférés à partir de Poly Network. Source : Twitter/PeckShield*

« Nous avons déjà commencé à communiquer avec les exchanges centralisés et les organismes chargés de l'application de la loi et nous avons demandé leur aide. », a déclaré l'équipe dans une mise à jour datée du 3 juillet.

Elle a également conseillé aux équipes de projet et aux détenteurs de tokens de retirer les liquidités et de débloquer leurs tokens LP (liquidity provider).

Le piratage de 34 milliards de Poly Network

L'analyste de sécurité DeFi @0xArhat a déclaré que l'attaque résultait d'une vulnérabilité du smart contract qui permettait au pirate de « créer un paramètre malveillant contenant une fausse signature de validateur et une fausse en-tête de bloc ».

Cela a été accepté par le smart contract permettant au pirate de contourner le processus de vérification leur permettant d'émettre des tokens à partir du pool Ethereum de Poly Network vers leur propre adresse sur d'autres blockchains, telles que Metis, BNB Chain et Polygon.

Le processus a été répété pour d'autres blockchains permettant à la réserve de tokens de s'empiler.

À un moment donné, le portefeuille du pirate contenait environ 42 milliards de dollars de tokens, mais il n'a pu en convertir et en voler qu'une fraction, a déclaré l'analyste.

« De cette façon, le pirate a pu émettre des milliards de tokens sur diverses blockchains qui n'existaient pas auparavant et les transférer vers leurs propres adresses de portefeuille. »

Le dernier piratage de Poly Network a été baptisé par le fournisseur de solutions de sécurité blockchain Dedaub le piratage de 34 milliards de Poly Network.

Getting to the bottom of the "34 billion" Poly network hack with a technical postmortem.

TL ; DR

Poly network had a simple 3 of 4 multisig arrangement over 2 years!

Looking at the final event we found that the private keys to the addresses marked were compromised. pic.twitter.com/Y0eMJXcYso
— Dedaub (@dedaub) July 2, 2023

Faire la lumière sur le piratage de "34 milliards" de Poly Network avec un post-mortem technique. TL ; DR. Poly Network a eu un simple arrangement multisig 3 sur 4 pendant 2 ans ! En regardant l'événement final, nous avons constaté que les clés privées des adresses marquées ont été compromises. pic.twitter.com/Y0eMJXcYso
- Dedaub (@dedaub) 2 juillet 2023

Dedaub a noté des faiblesses dans la multi-signature du protocole, déclarant qu'il avait un simple arrangement multisig "3 sur 4" sur deux ans, ajoutant :

« En examinant l'événement final, nous avons constaté que les clés privées des adresses marquées étaient compromises. »

Dedaub a expliqué que l'attaque n'était pas complexe car aucun bug logique n'a été exploité. Il a ajouté que Poly Network avait mis sept heures à réagir, ce qui a coûté à la plateforme 5,5 millions de dollars en cryptomonnaies volées. Heureusement, un manque de liquidité dans de nombreux tokens a permis d'éviter des pertes supplémentaires.

Après cette attaque, le PDG de Binance, Changpeng Zhao, a rassuré ses clients en déclarant : « Cela n'affecte pas les utilisateurs de Binance. Nous ne prenons pas en charge les dépôts provenant de ce réseau. »

Poly Network got rekt again; allegedly because of compromised hot keys.

It's going to keep happening untill our industry changes our approach to security.

Smart contract audits only scratch the surface.

ps Poly network has NOTHING to do with Polygon. https://t.co/n1qI48b4Kb
— Mudit Gupta (@Mudit__Gupta) July 2, 2023

Poly Network s'est encore fait avoir, prétendument à cause de touches de raccourci compromises. Cela continuera à se produire tant que notre industrie ne changera pas son approche de la sécurité. Les audits de smart contracts ne font qu'effleurer la surface. ps Poly network n'a RIEN à voir avec Polygon. https://t.co/n1qI48b4Kb - Mudit Gupta (@Mudit__Gupta) 2 juillet 2023

Cointelegraph a contacté Poly Network pour plus de détails, mais n'a pas eu de réponse au moment de la publication de cet article.

Poly Network a déjà été attaqué une fois dans l'un des plus grands piratage de l'industrie en août 2021, lorsque des pirates, dont il a été révélé plus tard qu'ils étaient liés au collectif de piratage nord-coréen Lazarus Group, se sont emparés de plus de 600 millions de dollars.