2 июля проект DeFi Poly Network столкнулся с серьезным взломом, в результате которого злоумышленник смог сфабриковать миллиарды цифровых монет на различных блокчейнах.
Хакер использовал лазейку в протоколе межсетевого моста, чтобы производить токены BUSD, BNB и SHIB на нескольких блокчейнах, таких, как Ethereum, BNB Chain, Polygon, Avalanche, Heco и Metis. 24 миллиарда BUSD и BNB были выпущены на Metis, а 999 триллионов SHIB были сгенерированы на Heco. Предполагаемая прибыль хакера составила от $400 тыс. до $4 млн.
После обнаружения эксплойта Poly Network закрыла сервисы для пользователей и обратилась за помощью к централизованным биржам, а также к правоохранительным органам. Она также посоветовала держателям криптовалюты вывести ликвидность и разблокировать токены LP, которые они предоставили заранее.
0xArhat, который является аналитиком по безопасности проектов в сфере DeFi, написал в Твиттере, что эксплойт был вызван уязвимостью смарт-контракта. Злоумышленник смог сгенерировать поддельную подпись валидатора и заголовок блока, что позволило ему обойти этап валидации. После этого он начал выпускать токены из пула эфира Poly Network и переводить их в свой личный кошелек на блокчейнах Metis, BNB Chain и Polygon.
Этот же процесс продолжался и дальше, в результате чего была накоплена большая сумма криптоактивов. По словам эксперта, в кошельке хакера было не менее 42 миллиардов долларов этих цифровых активов, однако ему удалось избавиться лишь от некоторых из-за отсутствия интереса рынка.
Это не первая атака, с которой столкнулась Poly Network, в августе 2021 года было украдено около 611 миллионов долларов. К счастью, хакеру, ответственному за это, удалось вернуть все криптоактивы. В ответ на это компания объединилась с Immunefi для внедрения программы обнаружения уязвимостей.