2023 年 7 月 2 日這個星期日,保利網絡一種加密貨幣橋,即允許資產從一個區塊鏈轉移到另一個區塊鏈的網關,已被駭客攻擊。該協議宣布暫時停止其社交網路服務。行動結束後,小偷帶著一大筆錢離開了。550 萬美元以數位貨幣形式。共有 57 個代幣不同的資金透過十個區塊鏈被抽取,其中包括以太坊網路。
根據記錄,Poly Network 已於 2021 年遭到駭客攻擊。事實上,一名駭客已經成功奪取了 6 億美元,並意識到最大的駭客當時的加密貨幣產業。不久之後,自稱道德駭客的攻擊者,同意歸還贓物,保證他從來沒有保留它的意圖。他將全部戰利品歸還給 Poly Network 開發商。作為合作的交換,Poly Network 甚至向駭客提供了 50 萬美元的賞金和安全顧問的職位。他寧願拒絕這個提議。
駭客如何利用缺陷創建加密貨幣?
在最新的攻擊中,攻擊者利用了安全漏洞在一個智能合約,或智慧合約,是允許在區塊鏈之間交換加密貨幣的橋樑的自動化程序。駭客使用了一種功能,允許他們在完全沒有任何內容的情況下創建區塊鏈上不存在的數位資產。
Arhat 解釋說,作為去中心化新創企業孵化器 3z3 Labs 的創始人,他們能夠發行“各種區塊鏈上以前不存在的數十億代幣,並將它們轉移到自己的錢包地址”。具體來說,駭客首先將惡意參數注入到智慧合約中來欺騙它。然後,他們利用該合約發行了代幣在不應該託管這些加密貨幣的管道上。例如他們發行了1億個BNB和100億美元的BUSD,這兩種加密貨幣幣安,在 Metis 網路上。駭客多次重複這個過程。
攻擊發生後,駭客的數位錢包中就包含了高達 4,200 萬美元的資金。不幸的是,對於犯罪分子來說,一些選擇的加密貨幣嚴重缺乏流動性,這使得贓物減少到 550 萬美元。事實上,部分山寨幣Arhat 強調,至少在所選的管道上,發行最終沒有絲毫價值。 Métis 上發行的 BNB 和 BUSD 就是這種情況。網路上缺乏流動性,導致犯罪者無法提取獎金。在以太坊和其他網路上,駭客仍然能夠透過去中心化平台轉換他們的代幣。
在襲擊事件發生期間,保利網路團隊要求投資者從協議中提取資金作為一項安全措施。開發者還聯繫了當局和交易平台,以找到被盜資金並敦促攻擊者歸還資金。目前,沒有跡象表明它打算償還被盜的款項……而且,保利網路仍然處於停止服務狀態。
區塊鏈橋樑的危險
區塊鏈之間的橋樑是一部分海盜的特權目標。它們代表了最有利可圖的駭客行為的很大一部分。讓我們以與以太坊區塊鏈平行的網路Ronin 被駭客攻擊為例,該網路導致6.24 億美元被盜,Wormhole(3.26 億美元)、Nomad(1.9 億美元)和Harmony(1 億美元)被駭客攻擊。
根據 Chainaanalysis 專家的說法,這些協議是特別容易受到攻擊,特別是因為他們傾向於為了透明度而在網路上公開其整個程式碼,包括智慧合約的程式碼。因此,竊賊可以隨意探索程式碼,因為他們希望找到漏洞。此外,事實證明,大量去中心化金融協議在發布前都忽略了由專家對其代碼進行適當的審計。
來源 : 解密
