32.7 C
New York
martes, agosto 9, 2022

Poly Network Hack: el mayor criptohack (confirmado) de la historia

La historia del hack criptográfico más extraño donde el único motivo del hacker era mejorar la seguridad de la red y mantener seguros a los inversores. ¡Lee mas!

A pesar de ser considerados como sistemas seguros e inmutables, los sistemas de bloques de bloques están sujetos a un número creciente de ataques cibernéticos. Esto ha planteado una pregunta sobre la seguridad ofrecida por proyectos centralizados de intercambios y crypto. A diferencia de otros tipos de piratería, los hacks criptográficos generalmente se realizan por los «atacantes blancos» o los «atacantes», los primeros no tienen un interés monetario y simplemente hacke para exponer los defectos de la seguridad. Ataques grises. ‌no‌ ‌tiene‌ ‌intención‌ ‌‌de‌ ‌causar‌ ‌daño‌ ‌financiero‌ ‌pero‌ ‌‌los‌ ‌motivos‌ ‌siguen‌ ‌poco claros. ‌

¿Qué es el truco de la red Poly?

La última y más grande estafa criptográfica se ejecutó en la plataforma de cadena cruzada, Poly Network. La plataforma con sede en China permite múltiples interacciones y ofertas de blockchain:

  • Una billetera separada para varios proyectos de blockchain a los que atiende, como Ethereum, Bitcoin y NEO.
  • Contratos inteligentes que permiten a los usuarios intercambiar tokens nativos de las plataformas antes mencionadas y más.
  • La plataforma Poly Network donde operan los contratos inteligentes.

Uno de los contratos inteligentes de la red fue atacado por un hacker. Esto resultó en una transferencia de $ 612 millones en ETH, USDT y NEO a múltiples billeteras proxy.

¿Cuándo ocurrió?

La transferencia de tokens tuvo lugar el 10 de agosto de 2021 en el sitio de finanzas descentralizadas (DeFi). El curso de acción respaldado debe ser la transferencia de los fondos pirateados a un intercambio descentralizado anónimo. Poly Network solicitó proyectos para incluir en la lista negra los fondos pirateados para volverlos inútiles para el hacker. Tether respondió congelando $ 33 millones en USDT.

Poly Network se comunicó directamente con el atacante y le solicitó que devolviera los fondos. La plataforma admitió haber notado la laguna en su seguridad e incluso se ofreció a nombrar al pirata informático como su «Director de seguridad». Algunos inversores y la propia empresa pusieron un precio a la devolución de los fondos por parte del atacante. Fue inútil, ya que el atacante envió un mensaje:

No me conoces. El dinero significa poco para mí, a algunas personas se les paga para hackear, prefiero pagar por la diversión. Estoy considerando tomar la recompensa como una bonificación para los piratas informáticos públicos si pueden piratear Poly Network. (Pueden ganar el doble si sienten que el plan actual es incómodo). Si Poly no da la recompensa imaginaria, como todos esperan, tengo suficiente presupuesto para que el espectáculo continúe. Solo algunos pensamientos divertidos, pero probablemente pueda hacerlos realidad. Si todavía estás confundido, pregúntale a algunos amigos más ricos, ¿para qué sirve el dinero? Confío en parte de su código, elogiaría el diseño general del proyecto, pero nunca confío en todo el equipo de poly. Mi única culpa fue provocada por los refugiados. Todas mis acciones fueron determinadas desde que tomé la decisión final de ser eterna. Estoy un poco sorprendido de que los llames negociadores profesionales, solo mira sus palabras tensas y repetitivas. Si Poly realmente entendió mi idea inicial, podrían estar menos avergonzados. Publiqué su solicitud para que tuvieran la oportunidad de ser un ganador. ¿Quién crees que está dominando el juego?

El 11 de agosto, el hacker inició la devolución y afirmó que sentía pena por las víctimas.

Inicialmente reacio a reembolsar, el pirata informático finalmente realizó múltiples devoluciones a la billetera configurada por Poly Network con la condición de que se liberaran los USDT congelados. La plataforma prometió reparar la laguna que se aprovechó como parte de su «actualización de la red principal».

Poly Network ofreció una recompensa por errores de $ 500,000 al pirata informático junto con la promesa de que no tendrá repercusiones legales. Sin embargo, el pirata informático dijo que el dinero se distribuirá entre los comerciantes afectados.

Post-Mortem del Hack

La investigación del ataque reveló una laguna en la operación entre dos contratos de Poly: EthCrossChainManager y EthCrossChainData. EthCrossChainData es un contrato de propietario limitado al que nadie más puede acceder. Al obtener acceso a él, el pirata informático pudo mover grandes volúmenes de fondos a múltiples billeteras al mismo tiempo al reemplazar la clave de Keeper con la suya propia. El pirata informático activó EthCrossChainManager para permitir transacciones entre cadenas entre Poly Network y la red Ethereum.

EthCrossChainManager gobierna EthCrossChainData. El primero también es un tipo de contrato de alto privilegio que puede ejecutar transacciones entre cadenas. Al apuntar a EthCrossChainData, el atacante pudo reemplazar la clave de Keeper en EthCrossChainData con la suya propia. Otorgó al atacante el estado de Guardián para múltiples billeteras, incluidas Ethereum, Binance, Neo y Tether. Todos los tokens se canalizaron a la billetera secreta del atacante.

Kelvin Fitcher tuiteó sobre el fiasco:

“Una de las lecciones de diseño más importantes que la gente debe aprender de esto es: si tiene contratos de retransmisión de cadenas cruzadas como este, ASEGÚRESE DE QUE NO SE PUEDAN UTILIZAR PARA LLAMAR CONTRATOS ESPECIALES. El EthCrossDomainManager no debería haber sido propietario del contrato EthCrossDomainData».

Impacto en la comunidad criptográfica

La consecuencia del ataque fue que Poly Network reconoció su laguna de seguridad. También reforzó la idea de que blockchain no es sinónimo de seguridad. La amenaza en criptografía es más o menos la misma que en las transacciones del mundo real.

El CTO de DeversiFi, Konrad Strachan, comentó que el hackeo expuso un «defecto de biblioteca» de Ethereum que hizo vulnerable a la cadena de bloques. En consecuencia, se agregaron capas de seguridad adicionales en un intento de mejorar la seguridad.

Otros hacks criptográficos dignos de mención

La historia de la industria de las criptomonedas y la cadena de bloques está llena de hacks y estafas que ofrecen valiosas lecciones a usuarios y desarrolladores. Algunos de estos incluyen:

  • El truco de Coincheck
  • El truco de KuCoin
  • El truco de Mt. Gox
  • El truco de Bitgrial
  • El truco de Bitfinex
  • Truco de CryptoCore/Lazarus
  • El truco de Africrypt

En conclusión,

Los ataques traen a la vanguardia los cambios necesarios en la codificación de transacciones seguras. La participación de todas las partes interesadas para garantizar un comercio infalible es el requisito previo para evitar las estafas y los hackeos de criptomonedas. Se está considerando una mayor regulación por parte del gobierno como una medida para hacer que las cadenas de bloques sean seguras. Puede crear barreras para los inversores, pero aumentará la seguridad. Las herramientas forenses de blockchain mejoradas para el análisis, la detección de errores y el reconocimiento de piratería pueden garantizar la recuperación y la compensación después de ataques similares.

Estimado lector, si compartes este artículo en tus Redes Sociales nos estarás ayudando a crear más contenido educativo en español. ¡Gracias por tu apoyo!

Nuestras investigaciones y reseñas pueden ayudarte a encontrar excelentes oportunidades. Nuestras guías ayudarán a utilizar las plataformas criptográficas de forma más eficaz. Conozca las mejores prácticas para invertir y comerciar con criptomonedas. Siempre verde y siempre GRATIS.

Gracias por suscribirte.

Algo salió mal.

ELECCIONES DE CRIPTOMUNDO HOY

Lo Último

Recibe lo último
del CriptoMundo

Nuestras investigaciones y reseñas pueden ayudarte a encontrar excelentes oportunidades. Nuestras guías ayudarán a utilizar las plataformas criptográficas de forma más eficaz. Conozca las mejores prácticas para invertir y comerciar con criptomonedas. Siempre verde y siempre GRATIS.

Gracias por suscribirte. No recibirás spam ni correos no deseados.

Algo salió mal.