Эксперты назвали «атакой на $34 млрд» новый эксплойт Poly Network

2 июля неизвестные атаковали межсетевой протокол Poly Network и выпустили токены на десятки миллиардов долларов на нескольких блокчейнах. Команда остановила работу моста.

«Уважаемые пользователи, мы хотели бы сообщить, что Poly Network временно приостанавливает свои сервисы из-за недавней атаки. Мы активно взаимодействуем с соответствующими сторонами и тщательно оцениваем объем затронутых активов», — сообщили разработчики.

Кроссчейн-мосты позволяют переводить токены между сетями, блокируя активы в одной и выпуская в другой. Предположительно, хакеры смогли манипулировать производящим операции смарт-контрактом.

Злоумышленники эмитировали в свою пользу 10 млрд BUSD и 100 млн BNB (~$24,5 млрд на тот момент) на Metis, 999 трлн SHIB на Heco и миллионы токенов в других сетях.

По предварительной оценке команды Poly Network, инцидент затронул 57 различных токенов на 10 блокчейнах.

Согласно PeckShield, на определенный момент в кошельке хакеров находились активы суммарной стоимостью $42,8 млрд.

Эксперты компании Dedaub назвали эксплойт «взломом Poly Network на $34 млрд». По их данным, злоумышленники не использовали какие-либо уязвимости, а скомпрометировали три из четырех закрытых ключей адресов мультиподписи для управления смарт-контрактом.

Специалисты обратили внимание, что команда протокола использовала в течение двух лет простую мультисиг-схему «3 из 4». 

В Dedaub также отметили, что разработчики Poly Network не реагировали на атаку в течение семи часов. Это позволило хакерам продать активы примерно на $5,5 млн. Извлечь большую прибыль им помешало отсутствие достаточной ликвидности в сетях.

Команда Metis подтвердила, что по этой причине у атаковавших протокол не было никакой возможности реализовать выпущенные BUSD и BNB на сумму около $34,5 млрд.

В августе 2021 года неизвестные взломали Poly Network и вывели $611 млн в различных криптовалютах. В течение месяца хакеры вернули протоколу все средства и даже отправленное им вознаграждение в размере 160 ETH (~$500 000 на тот момент).

Напомним, за первую половину 2023 года криптоиндустрия потеряла около $655,6 млн в результате взломов и мошенничеств.