Haker stojący za atakiem na PolyNetwork oświadczył, że jest gotów zwrócić środki.
Sprawy związane z największym w historii hackiem DeFi opiewającym na ponad 600 milionów dolarów przybrały niespodziewany obrót. Po tym, jak sprawca próbował potencjalnie pozwolić DAO decydować, gdzie trafią środki, ostatecznie poinformował, że jest gotowy je zwrócić.
„Gotowy, by zwrócić środki”
Nie dalej jak wczoraj informowaliśmy Was wczoraj o jednym z największych hacków w branży DeFi – hakerzy ukradli środki o wartości ponad 600 milionów dolarów z Poly Network.
Natychmiast zaczęły pojawiać się nowe informacje dotyczące ataku, w tym zewnętrzne analizy dotyczące tego, że projekt używał do ochrony środków jednego portfela. Zaangażowany smart kontrakt należący do Poly Network korzystał z jednego portfela, co pozwoliło hakerowi przetransferować od razu na swój adres wszystkie środki. Co więcej, PolyNetwork nie zweryfikował swoich smart kontraktów za pomocą Etherscan.
Poly Network hacked for over $600 million across Ethereum, Polygon, and BSC. https://t.co/e1mJW0gijehttps://t.co/84gmgphqAHhttps://t.co/3ICgaeJgUs
— Mudit Gupta (@Mudit__Gupta) August 10, 2021
Poly network hasn't even verified their contracts on Ethereum so it's tedious to analyze. Here are my current thoughts 🧵👇 pic.twitter.com/WDvMbpGVwN
Poly Network wskazuje, że sprawca wykorzystał lukę w zakresie smart kontraktów:
After preliminary investigation, we located the cause of the vulnerability. The hacker exploited a vulnerability between contract calls, exploit was not caused by the single keeper as rumored.
— Poly Network (@PolyNetwork2) August 10, 2021
W kolejnych godzinach atakujący dokonał transakcji na już oznaczonych adresach, osadzając kod z intencją, co zrobić ze środkami. Komunikat brzmiał następująco: „a co, jeśli stworzę nowy token i pozwolę DAO zdecydować, gdzie trafią tokeny?” Natychmiast pojawiły się dziesiątki komentarzy – od użytkowników proszących o przekazanie ich dla siebie – po wezwania, aby haker zwrócił środki.
Z atakującym skontaktowało się również Poly Network: „Organy ścigania w każdym kraju uznają to za poważne przestępstwo gospodarcze i będziesz ścigany”. Zespół protokołu wezwał go również do zainicjowania kontaktu w sprawie rozwiązania, ponieważ „bardzo nierozsądne jest przeprowadzanie dalszych transakcji”.
— Poly Network (@PolyNetwork2) August 10, 2021
Wygląda na to, że te działania pomogły, ponieważ haker dokonał kolejnej transakcji. Umieścił w niej przekaz: „gotowy do zwrotu środków!” Poly Network zareagowało ponownie, podając wszystkie niezbędne adresy, na które atakujący może wysłać środki z powrotem – na Ethereum, Polygon i Binance Smart Chain.