Über 600 Millionen Dollar bei größtem Kryptowährungs-Diebstahl aller Zeiten gestohlen

  • Der größte Hack in der aufgezeichneten Geschichte fand gestern statt, als Angreifer eine Schwachstelle ausnutzten, die die “Hüterrolle” eines Blockchain-Vertrags ändern und eine beliebige Transaktion wie eine Abhebung durchführen konnte, so ein Medium-Post von Poly Network.

    Poly Network, eine Plattform, die darauf abzielt, verschiedene Blockchains miteinander zu verbinden, damit sie zusammenarbeiten können, bestätigte, dass die Schwachstelle auf das Durchsickern des privaten Schlüssels eines Keepers zurückzuführen ist.

    In einem Tweet-Thread bestätigte SlowMist, dass über 610 Mio. $ gestohlen wurden

    1)Das kettenübergreifende Interoperabilitätsprotokoll @PolyNetwork2 wurde angegriffen, und insgesamt wurden mehr als 610 Millionen US-Dollar an 3 Adressen übertragen. Die Auswirkungen verursachten die Übertragung großer Vermögenswerte des O3 Swap Cross-Chain-Pools.

    – SlowMist (@SlowMist_Team) August 10, 2021

    Das Sicherheitsteam hat auch bestätigt, dass es “die Mailbox, IP und Geräte-Fingerabdrücke des Angreifers durch On-Chain- und Off-Chain-Tracking erhalten hat.”

    Die Details des Angriffs sind laut SlowMist wie folgt:

    “Der Kern dieses Angriffs besteht darin, dass die Funktion verifyHeaderAndExecuteTx des EthCrossChainManager-Vertrags über die Funktion _executeCrossChainTx bestimmte kettenübergreifende Transaktionen ausführen kann”, erklärt SlowMist. “Da der Eigentümer des EthCrossChainData-Vertrags der EthCrossChainManaget-Vertrag ist, [it] den Hüter des Vertrags durch Aufruf der Funktion putCurEpochConPubKeyBytes ändern kann…”

    SlowMist führt weiter aus, dass der Angreifer nur die sorgfältig konstruierten Daten über die Funktion verifyHeaderAndExecuteTx übergeben muss, um den Aufruf zum Ändern der Hüterrolle auf die Adresse der angegebenen Angreifer auszuführen. “Nach dem Ersetzen der Adresse der Hüterrolle kann der Angreifer nach Belieben eine Transaktion konstruieren und einen beliebigen Geldbetrag aus dem Vertrag abheben.”

    Bei dem angegriffenen Vertrag handelte es sich um einen Bscscan- und einen Etherscan-Kontrakt, die jetzt mit $0 bewertet werden. Nachdem der Angriff auf den Vertrag beendet war, wurde der Keeper geändert, was dazu führte, dass andere “normale Transaktionen” rückgängig gemacht wurden, so SlowMist.

    Die von SlowMist und Poly Network veröffentlichten Transaktionen zeigen, dass der Angreifer drei Abhebungen vom Bscscan-Kontrakt vornahm: $133.023.777,79, $85.519.813,63, $87.594.029,67, $132.907.573,59, $132.907.574,59 und $133.029927,08 (USD). Beim Etherscan-Kontrakt wurden $93.343.903,87 Ether abgezogen ($182.628.360,16 USD).

    Poly Network bestätigte auf Twitter, dass der Angriff stattgefunden hat und wandte sich direkt an die Hacker: “Wir möchten die Kommunikation mit Ihnen aufnehmen und fordern Sie auf, die gehackten Vermögenswerte zurückzugeben.”

    pic.twitter.com/Yzw4oDenjC

    – Poly Network (@PolyNetwork2) August 10, 2021

    In diesem Tweet bestätigt die Allianz, dass es sich bei dem Hack um den größten in der Geschichte der dezentralen Finanzplattform (DeFi) handelt und warnt die Hacker, dass die Strafverfolgungsbehörden dies als “großes Wirtschaftsverbrechen” betrachten würden.

    Poly Network hat außerdem die Miner der betroffenen Blockchains – BinanceChain, Ethereum und Polygon – aufgefordert, Token, die von den veröffentlichten Adressen stammen, auf eine schwarze Liste zu setzen.

    Einige Teile dieses Artikels stammen aus:
    www.infosecurity-magazine.com