Проект Poly Network позволяет обменивать токены и криптовалюты между различными блокчейнами, включая Биткоин, Эфириум и Ontology. Проект был запущен в рамках альянса между разработчиками Neo, Ontology и Switcheo.
— Poly Network (@PolyNetwork2) August 10, 2021
По данным исследователя издания The Block Игоря Игамбердиева, взлом связан с криптографией. Судя по всему, хакер получил доступ к одному из ключей в рамках множественной подписи. И этого хватило, чтобы получить доступ к средствам пользователей.
Аналитики компании BlockSec считают, что хакер либо получил доступ к ключу для подписи транзакций между блокчейнами, либо обнаружил уязвимость в процессе подписи в смарт-контрактах Poly Chain, что позволило ему генерировать собственные транзакции.
Хакер вывел $273 млн в токенах сети Эфириума, $253 млн в токенах сети Binance Smart Chain и $85 млн в стейблкоинах USDC в сети Polygon. Сразу после атаки компания Tether заблокировала $33 млн украденных USDT. А вот разработчики BUSD и USDC не смогли заблокировать украденные токены.
При этом сам злоумышленник пошел на контакт в подписях к транзакциям в сети Эфириума. Он заявил, что мог украсть миллиард в «шиткоинах», но не слишком заинтересован в деньгах. Поэтому он решил вернуть украденные средства. Однако связаться с представителями Poly Network хакер не сумел:
«Не смог связаться ни с кем из Poly. Мне нужен безопасный кошелек с множественными подписями. Я уже стал легендой, когда украл такое состояние. А когда верну средства, стану вечной легендой. Решение принято».
Компания SlowMist, работающая в области безопасности блокчейнов, заявила, что у нее есть данные хакера – его IP-адрес, адрес электронной почты и «отпечаток» с устройства. По данным компании, для осуществления взлома хакер использовал собственные средства в XMR, которые он обменял на BNB, ETH и MATIC.
В последние месяцы хакеры переключились на взломы проектов DeFi. С начала года произошло более 20 атак на децентрализованные проекты, а сумма убытков превысила $310 млн. Учитывая взлом Poly Network, объем украденных средств приближается уже к $1 млрд.
Ранее хакеры получили доступ к нескольким пулам ликвидности Popsicle Finance и вывели активы на сумму $20 млн.