Poly Network exhorte les utilisateurs à se retirer après qu'un exploit a affecté 57 actifs cryptographiques

Des détails supplémentaires sont révélés à la suite d'une attaque du 2 juillet sur la plateforme de pont inter-chaînes Poly Network, qui a permis à un pirate informatique d'émettre des milliards de jetons à partir de rien pour en tirer profit.
Dans une publication Twitter du 2 juillet, Poly Network a confirmé qu'il était devenu la dernière victime d'un exploit DeFi après que des attaquants aient réussi à manipuler une fonction de contrat intelligent sur le protocole de pont inter-chaînes, ajoutant qu'il suspendrait temporairement ses services.
Dans la mise à jour la plus récente, l'équipe a révélé que l'exploit affectait 57 actifs cryptographiques sur 10 blockchains, dont Ethereum, BNB Chain, Polygon, Avalanche, Heco, OKx et d'autres tels que Metis.
Le montant volé lors de l'attaque n'a pas été précisé, mais Peckshield avait précédemment rapporté que l'exploitant avait transféré au moins 5 millions de dollars de crypto-monnaie.
Les jetons ont été transférés hors du réseau Poly. Source : Twitter/PeckShield
« Nous avons déjà initié la communication avec les échanges centralisés et les forces de l'ordre et avons sollicité leur aide », a déclaré l'équipe dans une mise à jour du 3 juillet.
Il a également conseillé aux équipes de projet et aux détenteurs de jetons de retirer des liquidités et de débloquer leurs jetons LP (fournisseur de liquidités).
Décryptage du piratage du réseau Poly Network « 34 milliards »L'analyste de sécurité DeFi @0xArhat a déclaré que l'exploit était le résultat d'une vulnérabilité de contrat intelligent qui permettait au pirate de « créer un paramètre malveillant contenant une fausse signature de validateur et un en-tête de bloc ».
Cela a été accepté par le contrat intelligent permettant au pirate de contourner le processus de vérification lui permettant d'émettre des jetons du pool Ethereum de Poly Network à sa propre adresse sur d'autres chaînes, telles que Metis, BNB Chain et Polygon.
Le processus a été répété pour d’autres chaînes, permettant ainsi à la réserve de jetons de s’accumuler.
À un moment donné, le portefeuille du pirate contenait environ 42 milliards de dollars de jetons, mais il n'a pu en convertir et en voler qu'une fraction, a déclaré l'analyste.
« De cette façon, le pirate a pu créer des milliards de jetons sur diverses blockchains qui n'existaient pas auparavant et les transférer vers leurs propres adresses de portefeuille. »
Le dernier exploit de Poly Network a été surnommé par le fournisseur de solutions de sécurité blockchain Dedaub comme le « piratage de Poly Network à 34 milliards de dollars ».
Dedaub a noté des faiblesses dans le multi-signature du protocole en déclarant qu'il s'agissait d'un simple arrangement multi-signature « 3 sur 4 » sur deux ans, ajoutant :
« En examinant l’événement final, nous avons découvert que les clés privées des adresses marquées étaient compromises. »
Dedaub a expliqué que l'attaque n'était pas complexe car aucun bug logique n'a été exploité. Il a ajouté que Poly Network a mis du temps à réagir, prenant sept heures, ce qui a coûté à la plateforme 5,5 millions de dollars en crypto-monnaies volées. Heureusement, le manque de liquidité de nombreux jetons a permis d'éviter de nouvelles pertes.
Après l'attaque, le PDG de Binance, Changpeng Zhao, a rassuré les clients en déclarant que « cela n'affecte pas les utilisateurs de Binance. Nous ne prenons pas en charge les dépôts depuis ce réseau ».
Cointelegraph a contacté Poly Network pour plus de détails mais n'a pas eu de réponse au moment de la publication.
Le réseau Poly a déjà été attaqué une fois lors de l'un des plus grands exploits du secteur en août 2021, lorsque des pirates informatiques, dont on a découvert plus tard qu'ils étaient liés au collectif de pirates informatiques nord-coréen Lazarus Group, ont dérobé plus de 600 millions de dollars.