2023-07-03 16:00:33
跨链互操作性协议Poly Network在昨日遭遇黑客攻击,黑客在多个链上铸造了共超过420亿美元的资产,包括在Metis上增发了99,999,184枚BNB和100亿枚BUSD,不过由于流动性严重不足,不少巨额资产都无法跨链流出。
据派盾监测,攻击者昨日共在以太坊、BNB Chain、Polygon上转移价值超过500万美元的加密货币,包括:
将1500枚ETH(约288万美元)转入0x23f4…c671开头地址
将440枚ETH(约84.4万美元)转入0xc8Ab…C42F开头地址
将300枚ETH(约57.5万美元)转入0xfD3E…b778开头地址
受攻击事件影响,Poly Network昨日已发布公告,宣布将暂停服务,并指此次攻击造成10个区块链上的57种资产受影响,团队已与中心化交易所和执法机构沟通,来寻求帮助,希望攻击者配合、归还用户资产,以避免任何潜在的法律后果。
被黑原因
安全公司Dedaub今日发布分析报告指出,Poly Network被黑事件的实际被盗规模要少很多,因为大多数代币都无法流动,而Dedaub的结论是,被黑原因并非是智能合约上的逻辑错误,反而可能是4分之3的Poly Network管理员私钥被盗或被滥用。
Dedaub提到,Poly Network用7个小时才对此攻击有所反应,同时攻击者在多个链上精心安排几笔交易来利用这一点,值得注意的是,迄今为止,尚无明确证明证明私钥被盗,可能是RugPull,也可能是4分之3管理员的运行链外软体遭攻击。
Dedaub指出,在此次攻击中,明显的事实是,在执行代币传输的智能合约中,没有利用逻辑漏洞,且管理员签署了一份恶意铸造的证明,倘若网路开发者确认攻击与受损签名私钥有关(此情况很可能发生),那么控制这么多资金的中心化跨链桥是否适用就成了一大问题。
此次攻击还表明,Poly Network团队对底层桥的监控不够完善,如果协议已经建立了一个快速监控解决方案,像是Dedaub Watchdog,这将大幅缩短反应时间,并可能挽回一些资金。
2344
