2021 年一度遭駭六億美元,跨鏈協議Poly Network再次被攻破
跨鏈協議 Poly Network 繼 2021 年一度遭駭 6 億美元後,再次被駭客跨鏈發行超過四百億美元加密資產。
跨鏈橋漏洞惹禍
跨鏈智能合約漏洞
據 3z3 Labs 創辦人 Arhat 的說法,駭客透過引用虛假的驗證者簽名、惡意參數,繞過 Poly Network 的驗證機制。
駭客成功騙過用於管理跨鏈的智能合約 EthCrossChainManager,向 Poly Network 支援的各大公鏈發行大量代幣,在帳面價值上一度超過 420 億美元:
廣告 - 內文未完請往下捲動
-
Heco:999.8 兆 SHIB
-
Metis:9,900 萬 BNB、100 億 BUSD
-
Polygon:87.5 萬 COW、9.99 億 OOE、6.36 億 STACK、8,860 萬 GM
-
Avalanche:3.78 億 STACK、8,280 萬 XTM、1,100 萬 SPAY、8,900 萬 GM
-
Binance Chain:8,000 萬 METIS、9.26 億 DOV、9.78 億 SLD
私鑰遺失、團隊開後門?
資安機構 Dedaub 否定了存在漏洞的說法,認為合約代碼並不存在邏輯錯誤,而是私鑰遭竊、誤用而導致。
這也讓加密社群懷疑是團隊內部所進行。
低迷流動性救了 Poly Network,駭客得手 400 萬美元
由於上述公鏈對特定非主流的競爭幣並沒有太多的賣出流動性,駭客發行的跨鏈資產多數僅存在帳面價值,但據漫霧團隊分析,駭客仍得以在以太坊鏈上套現約 430 萬美元。
Metis 也發佈類了似聲明。
另一鏈上監測機構 PeckShield 則表示被駭資金超過 500 萬美元。
#PeckShieldAlert @PolyNetwork2 exploiter has transferred more than $5M worth of cryptos out on #Ethereum, #BNBChain, and #Polygon, especially 1.5K $ETH ($2.88M) to 0x23f4…c671, 440 $ETH ($844K) to 0xc8Ab…C42F, and 300 $ETH (~$575K) to 0xfD3E…b778https://t.co/EbYdTo3xIg… pic.twitter.com/I5Lg9UJ0eU
— PeckShieldAlert (@PeckShieldAlert) July 2, 2023
Poly Network:暫停服務、尋求執法機構
Poly Network 推文稱暫停服務,並列出受影響地址,強調正尋求交易所、執法機構的幫助。
對此幣安創辦人趙長鵬 (CZ) 也表示,已禁止相關地址入金,安全團隊也正協助調查中。
We also strongly advise users who hold the affected assets to expedite the process of withdrawing liquidity and unlocking their LP tokens.
We deeply appreciate your patience and understanding during this challenging period.
Yours sincerely,
The Poly Network Team
【7/7】— Poly Network (@PolyNetwork2) July 2, 2023
Poly Network 2021 年也一度遭駭 6 億美元
Poly Network 在 2021 年 8 月 10 日時,也同樣因為智能合約 EthCrossChainManager、EthCrossChainData 遭利用,被駭超過 6.11 億美金,一舉超越 2021 上半年的被駭總額 4.74 億美元。
但最終駭客還款,更拒絕了團隊提供的 50 萬美元白帽駭客賞金。
相關事件:
