10.08.2021 кроссчейн-протокол популярной сети Poly Network был успешно взломан анонимным хакером, от которого не осталось никаких следов, кроме вывода на сумму более чем $600 млн. в цифровых активах (криптовалюте). Спустя некоторое время неизвестный хакер вернул практически всю украденную сумму, кроме USDT (Tether), из-за заморозки счёта на сумму $33 млн.
В данной статье мы расскажем, как же хакеру удалось взломать и снять средства с сети, а также почему он решил вернуть всё украденное обратно на баланс сети. Но для начала разберёмся, что же такое протокол Poly Network.
Что такое Poly Network и как он устроен?
Poly Network был создан в Сингапуре 2020 года летом, как протокол для обмена криптовалюты между блокчейнами. Разработчики были подготовлены к разработке данного проекта заранее, так как ранее уже имели опыт в создании проектов в данной сфере и участвовали в создании NEO, Ontology и Switcheo.
Проект не имеет собственного токена, но успешно развивают свою экосистему, суть которой заключается в проведении кроссчейн-операций, даже для блокчейнов не поддерживающих смарт-контракты.
Что используется в экосистеме Poly Network?
В первую очередь это сами криптовалютные кошельки совершенно разных блокчейнов. Для каждого блокчейна есть отдельные кошельки, то есть владельцы BTC и ETH будут иметь средства на совершенно разных кошельках.
Потом, большой набор смарт-контрактов, которые выполняют заданные пользователем действия, так же и на обмен валюты между блокчейнами.
И самое основное, это сама сеть Poly Network, которая содержит в себе все криптовалютные кошельки и набор смарт-контрактов.
Как же взломали Poly Network?
10.08.2021 компания выложила пост в социальной сети Twitter, в содержании которого было сказано про взлом проекта в сети Binance Smart Chain, Polygone и Ethereum.
Было выведено около $611 млн. с трёх блокчейнов, а именно активы с BSC (Binance Smart Chain) на сумму $253 млн., токены с Ethereum на сумму $273 млн. и стейблкоины USDC с Polygone $85 млн.
Чуть позже компания выложила обращение ко всем, где были указаны адреса блокчейнов злоумышленника. И компания также обратилась ко всему криптокомьюнити, чтобы те в свою очередь добавили в "чёрный список" токены с данных адресов.
Так же выложили и обращение к самому хакеру, где написали:
«Дорогой хакер, мы — команда Poly Network. Мы хотим связаться с тобой и убедить вернуть украденные средства. Количество средств, которые ты похитил — крупнейшее в истории DeFi. Правоохранительные органы любой страны отнесутся к этому как к серьезному экономическому преступлению и будут преследовать тебя. С твоей стороны будет очень неразумно пытаться провести транзакции [с украденными средствами]. Деньги, которые ты украл, принадлежат десяткам тысяч участников криптокомьюнити, то есть обычным людям. Ты должен поговорить с нами, чтобы вместе мы могли начать работу над поиском решения этой проблемы. Команда Poly Network».
Спустя пару часов компания по безопасности SlowMist объяснили подробности взлома. Оказалось, что хакер переписал смарт-контракты Ethereum, BSC и Polygone в сети Poly Network, в которых нашёл уязвимости и которые имели больше всего объёма ликвидности в сравнении с другими кошельками блокчейнов. Указав адрес получателя как свой, он получил доступ ко всем транзакциям, которые должны проводиться между пользователями сети. И таким образом он переадресовывал их на свои кошельки.
Почему хакер вернул все средства?
SlowMist получилось получить доступ к информации о хакере спустя время, и они заявили что знают адрес электронной почты, IP и цифровой отпечаток его устройства.
На следующий день хакер отправил транзакцию на счёт компании с сообщением о готовности вернуть все средства, которые он украл. Большим количеством транзакций в течение двух дней он вернул больше половины всех украденных активов, на общую сумму $345 млн., и это подтвердила и сама компания у себя в Twitter. Но возникла одна проблема, что Tether в котором хранилось около $33 млн. заморозили счета злоумышленника, и данные средства не были возращены.
На сегодняшний день стало известно, что хакера не интересовали деньги, а он просто решил неординарным способом сообщить компании о их уязвимых местах в сети, для того чтобы ошибки были исправлены. Средства все возвращены, и компания предложила вознаграждение хакеру в сумме $500 тыс., от чего же в свою очередь хакер отказался.