Эксперты назвали «атакой на $34 млрд» новый эксплойт Poly Network

2 июня неизвестные атаковали межсетевой протокол Poly Network и выпустили токены на десятки миллиардов долларов на нескольких блокчейнах. Команда остановила работу моста. Данные: Twitter. "Уважаемые пользователи, мы хотели бы сообщить, что Poly Network временно приостанавливает свои сервисы из-за недавней атаки. Мы активно взаимодействуем с соответствующими сторонами и тщательно оцениваем объем затронутых активов", — сообщили разработчики. Кроссчейн-мосты позволяют переводить токены между сетями, блокируя активы в одной и выпуская в другой. Предположительно, хакеры смогли манипулировать производящим операции смарт-контрактом. Злоумышленники эмитировали в свою пользу 10 млрд BUSD и 100 млн BNB (~$24,5 млрд на тот момент) на Metis, 999 трлн SHIB на Heco и миллионы токенов в других сетях. По предварительной оценке команды Poly Network, инцидент затронул 57 различных токенов на 10 блокчейнах. Согласно PeckShield, на определенный момент в кошельке хакеров находились активы суммарной стоимостью $42,8 млрд. Эксперты компании Dedaub назвали эксплойт "взломом Poly Network на $34 млрд". По их данным, злоумышленники не использовали какие-либо уязвимости, а скомпрометировали три из четырех закрытых ключей адресов мультиподписи для управления смарт-контрактом. Данные: Twitter. Специалисты обратили внимание, что команда протокола использовала в течение двух лет простую мультисиг-схему "3 из 4".  В Dedaub также отметили, что разработчики Poly Network не реагировали на атаку в течение семи часов. Это позволило хакерам продать активы примерно на $5,5 млн. Извлечь большую прибыль им помешало отсутствие достаточной ликвидности в сетях. Команда Metis подтвердила, что по этой причине у атаковавших протокол не было никакой возможности реализовать выпущенные BUSD и BNB на сумму около $34,5 млрд. Данные: Twitter. В августе 2021 года неизвестные взломали Poly Network и вывели $611 млн в различных криптовалютах. В течение месяца хакеры вернули протоколу все средства и даже отправленное им вознаграждение в размере 160 ETH (~$500 000 на тот момент). Напомним, за первую половину 2023 года криптоиндустрия потеряла около $655,6 млн в результате взломов и мошенничеств.