ביום שלישי השבוע ביצעו האקרים את שוד הקריפטו הכי גדול אי פעם, כשגנבו 613 מיליון דולר במטבעות דיגיטליים מידי Poly Network, פלטפורמה להחלפת טוקנים - וכעבור פחות מ-24 שעות, החזירו 260 מיליון דולר בטוקנים, לדברי הפלטפורמה.
הנה מה שידוע בינתיים על השוד.
| מהי פולי נטוורק?
פולי נטוורק, שם פחות מוכר בעולם הקריפטו, היא פלטפורמת פיננסים מבוזרת (DeFi) שמאפשרת עסקאות ישירות, עם דגש על יכולתם של המשתמשים להעביר או להחליף טוקנים בין בלוקצ'יינים שונים.
למשל, לקוח יכול להשתמש בפולי נטוורק כדי להעביר טוקנים, כמו ביטקוין, מהבלוקצ'יין של את'ריום לבלוקצ'יין של בייננס, Binance Smart Chain, אם הוא מעוניין לקבל גישה ליישום מסוים.
אתר האינטרנט של פולי נטוורק אינו מסביר בבירור היכן הפלטפורמה יושבת או מי מנהל אותה. לדברי אתר הקריפטו האמריקאי Coindesk, את פולי נטוורק הקימו המייסדים של Neo, פרויקט בלוקצ'יין סיני.
| איך ההאקרים גנבו את הטוקנים?
פולי נטוורק פועלת על Binance Smart Chain ועל הבלוקצ'יינים של את'ריום ושל Polygon. הטוקנים מוחלפים בין הבלוקצ'יינים באמצעות חוזה חכם, שכולל הוראות המציינות מתי לשחרר את הנכסים לצדדים בעסקה.
לדברי חברת המחקר CipherTrace, אחד החוזים החכמים שבהם פולי נטוורק משתמשת להעברת הטוקנים בין הבלוקצ'יינים שומר על נזילות בסכומים גדולים, כדי לאפשר למשתמשים להחליף ביעילות טוקנים.
ביום שלישי השבוע דיווחה פולי נטוורק בחשבון הטוויטר שלה כי מחקירה ראשונית עולה שההאקרים ניצלו נקודת תורפה בחוזה החכם הזה.
לפי ניתוח העסקאות שפרסם בטוויטר קלווין פיכטר, מתכנת את'ריום, ההאקרים עקפו ככל הנראה את ההוראות בחוזה לכל אחד משלושת הבלוקצ'יינים, וניתבו את הסכומים לשלוש כתובות של ארנקים (מיקומים דיגיטליים לאחסון טוקנים). מאוחר יותר, פולי נטוורק איתרה אותן ופרסמה אותן.
לדברי חברת המחקר Chainalysis, התוקפים גנבו סכומים ביותר מ-12 סוגים של מטבעות קריפטו, ובהם מטבעות את'ריום ו-USDT.
לפי מסרים דיגיטליים שפורסמו ברשת של את'ריום ופורסמו על ידי Chainalysis, אדם שטוען שביצע את הפריצה אמר שזיהה "באג", בלי לפרט איזה, ורצה "לחשוף את נקודת התורפה" לפני שאחרים יוכלו לנצל אותה.
| לאן הלך הכסף?
לדברי פולי נטוורק, נכון לסוף יום רביעי, ההאקרים החזירו 260 מיליון דולר מהנכסים, אבל 353 מיליון דולר טרם הוחזרו. לא ברור לאן נעלמו שאר הנכסים.
ביום שלישי דווח ב-Coindesk כי ההאקרים ניסו להעביר את הנכסים, ובהם טוקנים של Tether, מאחד משלושת הארנקים אל מאגר הנזילות Curve.fi, אבל המערכת לא אישרה את ההעברה. עוד דווח ב-Coindesk ש-100 מיליון דולר בערך הועברו מארנק אחר מתוך השלושה, והופקדו במאגר הנזילות Ellipsis Finance.
| מי ההאקר?
ההאקר או ההאקרים במקרה זה טרם זוהו.
SlowMist, חברה לאבטחת מטבעות קריפטו, כתבה באתר שלה שזיהתה את תיבת המייל של התוקף, את כתובת פרוטוקול האינטרנט שלו וטביעות אצבע מההתקן, אבל החברה טרם ציינה חשוד מסוים. לדברי SlowMist, השוד היה "ככל הנראה התקפה שתוכננה, אורגנה והוכנה זמן רב מראש".
אף שההאקר לכאורה מזדהה כ"כובע לבן" ("white hat") - האקר מוסרי, שרצה לזהות את נקודת התורפה עבור פולי נטוורק, ו"תמיד" תכנן להחזיר את הכסף - לפי המסרים שפרסמה Chainalysis, חלק ממומחי הקריפטו מפקפקים בכך.
לדברי גרוויס גרג, סמנכ"ל טכנולוגיה ב-Chainalysis וסוכן FBI לשעבר, לא סביר שהאקרים מסוג "כובע לבן" יגנבו כזה סכום גדול. לדבריו, סביר להניח שהם החזירו חלק מהסכום כי התברר שקשה להמיר אותו למזומן.
"קשה לדעת מה המניע. נראה אם הם יחזירו את כל הסכום",
הוסיף.
- רויטרס תרמה תוכן לידיעה זו.
עוד על שוד הקריפטו הענקי בפריצה לפלטפורמת פולי נטוורק, בשיחה עם רועי קצירי, מנהל אתר Investing.com ישראל, בתוכנית הרדיו "צבע הכסף" ברשת ב'.