Aunque parecía que los piratas informáticos estaban en declive, recientemente, el mercado fue testigo de uno de los ataques más grandes en la historia joven de las finanzas descentralizadas (DeFi), en el que un pirata informático desconocido pudo explotar una laguna en la cadena cruzada. el marco digital del protocolo Poly Network, lo que se lleva a cabo con $ 610 millones de dólares de tres cadenas de bloques separadas.

The Poly Network es un proyecto colaborativo dirigido por Ontology, Neo y Switcheo. Busca fomentar una “alianza de protocolo de interoperabilidad heterogénea” que integre blockchains en el ecosistema de cadena cruzada más grande. Gracias a su infraestructura, el protocolo permite a los usuarios intercambiar tokens entre diferentes cadenas de bloques sin problemas.

Más detalladamente sobre el desarrollo, el equipo principal de desarrolladores de Poly Network ha revelado que el ataque resultó en aproximadamente $ 273 millones de Ethereum, $ 85 millones en USD Coin (USDC) de la red Polygon y $ 253 millones de Binance Smart Chain comprometidos. Además, también se perdieron cantidades considerables de renBTC, Bitcoin envuelto (wBTC) y Ether envuelto (wETH) como parte del exploit.

Con respecto a cómo ocurrió el hack, Anton Bukov, cofundador del agregador DeFi 1inch Network, le dijo a Cointelegraph que uno de los subsistemas de Poly Network, diseñado para ser capaz de reenviar las interacciones de contratos inteligentes de los usuarios entre diferentes blockchains, resultó ser defectuoso, agregando:

“El pirata informático unió las interacciones de transacciones falsas en una cadena para hacer que el sistema se contraiga en otra, transfiriendo los derechos de propiedad de la bóveda de los activos a la clave pública del pirata informático. Los desarrolladores y auditores de Poly Network no notaron la vulnerabilidad, lo que permitió múltiples llamadas arbitrarias de usuarios a través de un contrato inteligente que tiene muchos privilegios “.

Ponerse un sombrero blanco

Al proporcionar sus pensamientos sobre el asunto, John Jefferies, analista financiero jefe de CipherTrace, le dijo a Cointelegraph que este incidente ha sido especialmente interesante en comparación con cualquier pirateo de DeFi del pasado, que generalmente usaba una forma de préstamos flash y arbitraje para explotar un contrato inteligente y robar fondos, agregando:

“El hacker esencialmente encontró un exploit que le permitió eludir las claves privadas y hacer que el contrato se enviara los fondos a sí mismo. En todo el intercambio que el hacker ha hecho en un esfuerzo por ocultar su rastro, parece que en un momento el hacker había reutilizado una billetera que ya tenía transacciones anteriores con algunos intercambios prominentes que tendrían información de identificación de KYC sobre él “.

Además, Jefferies no está del todo convencido de cuáles eran las intenciones del pirata informático, a pesar de que todos los fondos robados ahora están de vuelta a donde pertenecen. “Es poco probable que un sombrero blanco hubiera tomado las medidas para intentar ofuscar el rastro de los fondos si siempre hubieran tenido la intención de devolver el dinero”, opinó.

En un extraño pero interesante giro de los acontecimientos, poco después de la infracción, el hacker de Poly Network realizó una autoentrevista al estilo de Ask Me Anything, utilizando mensajes incrustados en las transacciones de Ethereum. Cuando se le preguntó por qué se eligió Poly Network, en particular, como objetivo, el pirata informático respondió “la piratería entre cadenas está caliente”, y agregó que pasaron una buena cantidad de tiempo tratando de identificar vulnerabilidades en la red para explotar.

No solo eso, el hacker afirmó que el plan nunca fue quedarse con los $ 610 millones, sino exponer la vulnerabilidad a las masas antes de que los desarrolladores de Poly Network pudieran solucionar el error en secreto. “Me gustaría darles [Poly Network] consejos sobre cómo proteger sus redes, de modo que puedan ser elegibles para administrar mil millones [dollar] proyecto en el futuro “. Continuó agregando:

“Al detectar el error, tuve sentimientos encontrados. Pregúntese qué haría si se enfrentara a tal fortuna. ¿Pedirle cortésmente al equipo del proyecto para que puedan solucionarlo? Cualquiera podría ser el traidor dado mil millones. ¡No puedo confiar en nadie! La única solución que se me ocurre es guardarlo en una cuenta de confianza “.

Los fondos están de vuelta

Poly Network emitió un comunicado el jueves anunciando que todos los $ 610 millones de los fondos se habían transferido a una billetera multifirma que está bajo su control junto con el pirata informático. Los únicos tokens restantes incluyen $ 33 millones en Tether (USDT), que se congelaron inmediatamente después de la noticia del ataque.

El hacker de Poly Network comenzó devolviendo una parte significativa de los fondos robados al protocolo DeFi de cadena cruzada. De hecho, poco más de un día después del evento, CipherTrace confirmó que al menos $ 265 + millones se habían devuelto a Poly Network en forma de $ 1 millón en USDC; $ 256.2 millones principalmente a través de Bitcoin BEP-2 (BTCB), Binance pegged-Ether y Binance USD (BUSD); $ 2.637 millones en Binance Coin (BNB); y $ 3.4 millones en Shiba Inu (SHIB), renBTC y Fei.

Desde el principio, el atacante afirmó estar dispuesto a devolver la totalidad de los fondos robados, una promesa que se entregó el jueves pasado, alegando que la intención era enseñarle a Poly una costosa lección sobre sus fallas de seguridad.

Sin embargo, Tom Robinson, científico jefe de la firma de análisis de blockchain Elliptic, opina que el cambio de opinión podría deberse al hecho de que al hacker le resultó extremadamente difícil blanquear / retirar los activos robados debido a la transparencia del blockchain.

Sebastian Bürgel, fundador del protocolo de privacidad de datos basado en Ethereum HOPR, le dijo a Cointelegraph que, si bien los robos nunca son algo bueno, cree que es impresionante que la comunidad DeFi haya podido unirse, desde Tether congelando $ 33 millones en USDT hasta OKEx y Binance ayudó a monitorear los fondos desviados, para evitar que el pirata informático retire o intercambie cualquiera de los activos involucrados, agregando:

“Con suerte, fomentará un mayor enfoque en la seguridad y la auditoría. El entusiasmo de DeFi es contagioso, pero es importante recordar que hay un gran valor en juego. El deseo de moverse rápidamente no puede triunfar sobre la seguridad “.

“No, gracias”, dice “Sr. Sombrero blanco”

Después de determinar que los motivos del pirata informático estaban completamente limpios, un portavoz de Poly Network dijo que la compañía estaba dispuesta a ofrecerle al individuo, a quien la compañía apodó “Sr. White Hat “, una recompensa de $ 500,000 a través de un mensaje que decía:” Le enviaremos la recompensa de 500k cuando se devuelvan los fondos restantes, excepto el USDT congelado “.

Sorprendentemente, el pirata informático se negó cortésmente, afirmando que nunca respondió a la oferta. “Enviaré todo su dinero de vuelta”, dijo, despidiéndose.

Relacionado: ¿Cómo se piratean los protocolos DeFi?

Con todos los fondos nuevamente en su lugar, excepto el USDT congelado antes mencionado, parece que el hackeo más grande en la historia de las finanzas descentralizadas finalmente ha llegado a su fin. Y aunque la identidad del pirata informático sigue siendo un misterio, la empresa china de ciberseguridad SlowMist publicó recientemente una actualización que afirma que su equipo de seguridad había podido identificar la dirección de correo electrónico, la dirección IP y la huella digital del dispositivo del atacante.

Con suerte, este episodio sirve como un severo recordatorio de cómo la seguridad siempre debe ser de suma importancia al sentar las bases de cualquier proyecto, independientemente de su propuesta tecnológica. Por lo tanto, será interesante ver cómo las nuevas empresas y otras empresas que operan dentro de DeFi continúan evolucionando y actualizando sus configuraciones de seguridad existentes porque la próxima vez, es posible que el pirata informático no esté dispuesto a devolver el dinero.