Os detalhes sobre o roubo de US$ 600 milhões em criptoativos da PolyNetwork demoraram a surgir. Na ausência de uma auditoria abrangente, grupos de segurança cibernética estão buscando explicações para o ocorrido.
De acordo com uma análise inicial do auditor de segurança da China BlockSec, o roubo pode ser o resultado de um “vazamento da chave privada que é usada para assinar a mensagem de cadeia cruzada” ou ” um bug no processo de assinatura da PolyNetwork que foi usado para assinar uma mensagem criada. “
Outros pesquisadores também insinuaram que práticas de segurança inadequadas podem ter levado ao roubo de chaves privadas usadas pela equipe da PolyNetwork para autorizar transações.
O desenvolvedor e pesquisador de segurança da Ethereum, Mudit Gupta, escreveu que a PolyNetwork usa uma carteira multisig para transações. Em sua configuração, quatro pessoas têm acesso à chave para assinar as transações.
“O invasor pegou pelo menos 3 guardiões e os usou para transformá-los em um único guardião.”
A equipe de segurança do Blockchain, SlowMist, afirmou que não foi exatamente isso que aconteceu. Em vez disso, o invasor se aproveitou de uma falha em uma função de contrato inteligente para mudar seu guardião, redirecionando o fluxo de fundos para o endereço do próprio invasor. “Não é o caso de que este evento tenha ocorrido devido ao vazamento da chave privada do detentor”, relatou .
A PolyNetwork retuitou a postagem do blog, enquanto Gupta discordou fortemente da SlowMist, sugerindo até mesmo corrupção.
“Ou o SlowMist está na cama com a Poly Network ou eles são extremamente incompetentes. “
Independentemente de o invasor obter chaves privadas ou explorar um contrato inteligente fraco, uma maneira de fazer qualquer uma dessas coisas é ficando no comando. Mas foi um trabalho interno? De acordo com a empresa de análise de blockchain CipherTrace, os chamados rug pulls, um tipo de golpe de saída, foram a forma mais popular de fraude no ano passado.
É muito cedo para dizer. O SlowMist afirmou que “capturou o email, o IP e as impressões digitais do dispositivo do invasor por meio do rastreamento on-chain e off-chain, e está rastreando possíveis pistas de identidade relacionadas ao invasor da Poly Network.”
Enquanto isso, não está claro se o invasor conseguirá usar os fundos. A PolyNetwork também pediu “aos mineradores de blockchain e exchanges afetadas para colocar tokens na lista negra” de endereços. Em resposta, a Tether disse que congelou US$ 33 milhões em USDT relacionados ao ataque, enquanto executivos da Binance, OKEx e Huobi se comprometeram a ajudar a limitar os danos.
Leia mais: Criador da Cardano tenta organizar manifestações contra projeto sobre as criptomoedas