Fatalna luka w Poly Network pozwoliła hakerom wynieść fundusze – ogłosiła platforma we wtorek, jednocześnie prosząc złodziei o zwrot pieniędzy. „Ilość pieniędzy, które ukradziono, jest największa w historii DeFi [decentralized finance – forma finansowania oparta na technologii blockhain – przyp. red.]” – napisała platforma Poly Network na Twitterze w liście otwartym do rabusia. „Pieniądze, które ukradliście, pochodzą od dziesiątek tysięcy członków społeczności kryptowalutowej... Powinniście porozmawiać z nami, aby wypracować rozwiązanie” – cytuje tweeta redakcja CNN.
Poly Network wezwała innych członków ekosystemu kryptowalutowego do stworzenia „czarnej listy” aktywów pochodzących z adresów używanych przez napastnika do wysysania funduszy. Wśród skradzionych kryptowalut są m.in. 33 miliony dolarów w Tether. Tether oświadczył, że zamroził aktywa w ciągu 20 minut od dowiedzenia się o ataku. Giełda kryptowalutowa Binance powiedziała, że „koordynuje działania ze wszystkimi naszymi partnerami w zakresie bezpieczeństwa, aby aktywnie pomóc”. Poly Network łączy ze sobą blockchainy wielu wirtualnych walut, aby stworzyć między nimi interoperacyjność.
Po włamaniu Poly Network ustanowiła kilka adresów, na które, jak twierdzi, haker (bądź hakerzy) mógł zwrócić pieniądze. I wygląda na to, że napastnik współpracuje: Poly Network oświadczył, że platforma otrzymała około 4,7 mln dolarów z powrotem.
Według analizującej blockchain firmy Chainalysis, już około 261 milionów dolarów zostało zwróconych. Ponoć w notatkach dołączonych do niektórych transakcji haker stwierdził, że włamał się do Poly Network „dla frajdy :)” i że podjął się ataku w charakterze wyzwania.
Rabuś napisał: „Biorę na siebie odpowiedzialność za ujawnienie luki w zabezpieczeniach, zanim jakakolwiek osoba wewnątrz firmy ukryje ją i wykorzysta! Wiedziałem, co ryzykuję, nawet jeśli nie chciałem zrobić nic złego. Użyłem więc tymczasowego e-maila, IP czy _tak zwanego_ odcisku palca, które były nie do namierzenia. Wolę pozostać w cieniu i ratować świat”.
Gdy włamanie zyskało uwagę świata, nie było praktycznie żadnego sposobu, by haker mógł bezpiecznie wycofać fundusze, skomentował Chainalysis, ponieważ każda transakcja jest rejestrowana i możliwa do wyśledzenia. „Biorąc pod uwagę transparentność blockchainu i zwrócenie oczu całej branży na sobie, jak jakikolwiek haker kryptowalut mógłby oczekiwać, że ucieknie z zapasem skradzionych funduszy? W większości przypadków najlepszym, na co mógłby liczyć, byłoby uniknięcie zatrzymania, ponieważ fundusze zostaną zamrożone w prywatnym portfelu znajdującym się na czarnej liście” – tłumaczy Chainalysis.
Organy regulacyjne w USA zwiększyły swoją kontrolę platform kryptowalutowych, ponieważ inwestorzy przelewają w waluty cyfrowe miliardy dolarów.
