Взлом межсетевого протокола Poly Network стал крупнейшим в истории DeFi проектов. Хакер смог украсть $611 миллионов 10 августа 2021 года, но по просьбе команды Poly Network вернул деньги и раскрыл все детали. В этой статье вы узнаете подробности взлома Poly Network.

10 августа в официальном аккаунте Poly Network в сети Twitter появилось сообщение о том, что проект был атакован и хакеру удалось вывести средства на несколько кошельков:

ETH: 0xC8a65Fadf0e0dDAf421F28FEAb69Bf6E2E589963
BSC: 0x0D6e286A7cfD25E0c01fEe9756765D8033B32C71
Polygon: 0x5dc3603C9D42Ff184153a8a9094a73d461663214

Представители проекта попросили майнеров и биржи внести в черный список эти кошельки и транзакции, которые через них проходят.

Хакер увел с баланса протокола многие токены, включая $USDC, $WBTC, $WETH, $RenBTC, $DAI, $UNI, $SHIB, $FEI и другие.

Проект открыто рассказывал о деталях взлома по мере их обнаружения.

Сообщество быстро отреагировало на ситуацию. Через час после информации о взломе, CEO Binance подтвердил то, что они следят за ситуацией, а Tether и вовсе заблокировал $33 миллиона на счету хакера.

Пользователь твиттер под ником Hsaka отправил на кошелек хакера транзакцию с предупреждением о том, что украденные средства внесены в черный список, на что хакер ответил транзакцией в 13,37 ETH ($42,000) с благодарностью.

Вечером 10 августа появилась информация о том, что компания Slowmist смогла отследить хакера и получить его IP-адрес и электронную почту через китайский обменник Hoo, которым хакер воспользовался для обмена популярного у хакеров токена Monero на BNB, ETH и Matic, которые были использованы при взломе.

Еще пару часов спустя представители Poly Network обратились к хакеру с просьбой вернуть средства и указали контакт для связи.

Ко всеобщему удивлению, хакер вышел на связь и пообещал вернуть украденные миллионы.

О возврате Poly Network отчитывались почти в прямом эфире. В первой транзакции хакер вернул $4,7 миллиона, а в течение суток проект получил уже $342 миллиона. К моменту написания этой статьи ожидался возврат $268 миллионов через блокчейн Ethereum.

Самое интересное то, что хакер дал интервью. Свои ответы он встроил в текст транзакции. Для того чтобы увидеть ответы нужно перейти на сайт etherscan.io, кликнуть на “Click to see More” и под блоком “Input Data” переключить отображение “View Input As” на кодировку “UTF-8”.

Рассказ хакера кратко:

• взлом совершен ради веселья
• выбор сделан в пользу Poly Network, потому что взламывать кросс-чейн протоколы круто

У меня были смешанные чувства, когда я увидел баг. Спросите себя, что бы вы сделали, если бы вам так повезло. Спросили бы у проекта могут ли они закрыть баг? Любой мог бы стать предателем, если бы ему дали миллиард. Я никому не мог доверять. Единственный вариант, который я увидел, это сохранить деньги в безопасном аккаунте, оставаясь при этом анонимным и в безопасности. Теперь каждый чувствует заговор в произошедшем. Думаете это инсайдер? Не я, но кто знает? Я взял на себя ответственность показать уязвимость до того как о ней узнали инсайдеры и смогли воспользоваться багом.

Poly Network это хорошая система. Это была одна из самых сложных атак, которой может насладиться хакер. Мне нужно было сделать это быстро, чтобы опередить инсайдеров и хакеров, так что я принял это как дополнительный вызов.

На вопрос был ли хакер раскрыт, он ответил отрицанием. Если расследование и получило его данные, то там лишь временная почта и поддельные сетевые отпечатки.