El mayor robo de la historia de criptomonedas. Por el momento, es el ataque más grande en finanzas descentralizadas (DeFi), ya que piratas informáticos desconocidos utilizaron un exploit en el protocolo de cross-chain de Poly Network para congelar al menos 611 millones de dólares proveniente de tres cadenas. En concreto Ethereum: $273M, Binance Smart Chain: $253M y de Polygon: $85M, un total de 611 millones.
Poly Network es una plataforma descentralizada que para el intercambio de tokens o cryptomonedas entre diferentes blockchains, como pueden ser Ethereum, Binance Smart Chain, Polygon, etc. Mediante una red de bloques propia y smart contracts desplegados en las redes participantes, permite la transferencia segura de activos entre las mismas.
Robados 611 millones dólares en criptomonedas gracias a una vulnerabilidad de PolyNetwork
Atacantes robaron al menos USD 600 millones a través de un exploit que afectó tres cadenas de Poly. Poly Network dijo que los ataques habían eliminado activos de Binance Chain y las redes de Ethereum y Polygon. Figuras de la industria como los CEO de Binance y OKEx ofrecen su apoyo.
Las 3 billeteras:
ETH: 0xC8a65Fadf0e0dDAf421F28FEAb69Bf6E2E589963
BSC: 0x0D6e286A7cfD25E0c01fEe9756765D8033B32C71
Polygon: 0x5dc3603C9D42Ff184153a8a9094a73d461663214
- Ethereum: 0xC8a65Fadf0e0dDAf421F28FEAb69Bf6E2E589963 ($273 millones)
- Binance Smart Chain: 0x0D6e286A7cfD25E0c01fEe9756765D8033B32C71 ($253 millones)
- Polygon: 0x5dc3603C9D42Ff184153a8a9094a73d461663214 ($85 millones)
Según una actualización de este martes en Twitter, Poly Network dijo los ataques habían eliminado activos de Binance Chain, Ethereum y Polygon. Los datos de Blockchain de las respectivas redes muestran que los piratas informáticos robaron
- USD 273 millones de Ethereum
- 85 millones de dólares en USD Coin (USDC) de la red Polygon
- 253 millones de dólares de Binance Smart Chain
Figuras de DeFi y la industria cripto se acercaron para ofrecer asistencia y apoyo ante la noticia de la ruptura del hack. El CEO de OKEx, Jay Hao, dijo que el equipo del exchange estaba “observando el flujo de monedas e intentaría manejar la situación. El Director (CTO) de Tether, Paolo Ardoino, informó que el proyecto había congelado aproximadamente USD 33 millones en USDT de una de las direcciones afectadas.
El CEO de Binance, Changpeng Zhao, dijo que el exchange estaba coordinando con sus socios de seguridad "para ayudar de forma proactiva" después del hackeo.
"No hay garantías", dijo Zhao. “Haremos todo lo que podamos. Manténgase SAFU", en referencia al Fondo de Activos Seguros de la compañía, también conocido como "SAFU".
Poly Network es un proyecto de colaboración de Ontology, Neo y Switcheo lanzado el año pasado, para traer una “alianza de protocolo de interoperabilidad heterogénea” que integra las blockchains en el ecosistema de cross-chain más grande. El protocolo permite a los usuarios hacer trading de tokens en diferentes blockchains.
¿Cómo lo hizo?
https://slowmist.medium.com/the-root-cause-of-poly-network-being-hacked-ec2ee1b0c68f
Una transferencia de tokens entre dos blockchains consiste, por un lado, en el bloqueo de los activos en la red de origen, y posteriormente transferirlos a la cuenta en la red de destino. Este proceso requiere que los diferentes contratos dispongan de liquidez suficiente en la red de destino, que fue el objetivo del atacante.
Una vulnerabilidad en el código de los smart contracts que gestionan las llamadas entre cadenas, en concreto, la función _executeCrossChainTx del contrato EthCrossChainManager.
Tanto el contrato llamado, como su método o los aragumentos no son verificados adecuadamente y están bajo el control del usuario. Es posible, por tanto, realizar llamadas arbitrarias a otras funciones, obteniendo un nombre de método, mediante un proceso de fuerza bruta, cuya firma colisione con la de la función que se quiere llamar.
En las transacciones realizadas durante el ataque, se comprueba que el objetivo fue reemplazar la clave pública que controla el desbloqueo de fondos. Aunque ésta se encuentra definido en otro contrato, EthCrossChainData, su propietario es el contrato vulnerable. Una vez reemplazado, es posible realizar transacciones que envíen cantidades arbitrarias de fondos a cualquier dirección, que es lo que hizo el atacante.
Preguntas frecuentes FAQ contestadas por el atacante:
Fuente:
https://es.cointelegraph.com/news/hackers-stole-at-least-600m-in-poly-exploit-across-three-chains
No hay comentarios:
Publicar un comentario