การวิเคราะห์เหตุการณ์การโจมตีการสูญเสียมูลค่า 10 ล้านดอลลาร์ของ Poly Network

特邀专栏作者

2023-07-04 06:14

บทความนี้มีประมาณ 1540 คำ การอ่านทั้งหมดใช้เวลาประมาณ 3 นาที

เมื่อวันที่ 1 กรกฎาคม 2023 ผู้โจมตีใช้ประโยชน์จากช่องโหว่ใน Poly Network เพื่อออกสินทรัพย์มูลค่า 42 พันล้านดอลลาร์บนเครือข่ายหลายเครือข่าย แม้ว่าจะมีการออกสินทรัพย์จำนวนมาก เนื่องจากสภาพคล่องต่ำและการแช่แข็งโทเค็นของโครงการบางส่วน ผู้โจมตีไม่สามารถได้รับสินทรัพย์มากกว่า 10 ล้านเหรียญสหรัฐจากที่อยู่บ

เมื่อวันที่ 1 กรกฎาคม 2023 ผู้โจมตีใช้ประโยชน์จากช่องโหว่ของ Poly Network เพื่อสร้างสินทรัพย์มูลค่า 42 พันล้านดอลลาร์ในเครือข่ายต่างๆ แม้ว่าจะมีการออกสินทรัพย์จำนวนมาก เนื่องจากสภาพคล่องต่ำและการหยุดโทเค็นของโครงการบางส่วน ผู้โจมตีไม่สามารถรับสินทรัพย์มากกว่า 10 ล้านดอลลาร์จากที่อยู่บัญชีภายนอก 5 แห่ง

ชื่อระดับแรก

สรุปเหตุการณ์

คำอธิบายรูปภาพ

ภาพ: ที่อยู่กระเป๋าเงินของผู้โจมตี Poly Network ที่มา: ดีแบงก์

แต่ตัวเลขนั้นทำให้เข้าใจผิดจริงๆ ตัวอย่างเช่น ผู้โจมตีถือครอง Poly-pegged BNB และ BUSD มากกว่า 34 พันล้านดอลลาร์บนบล็อกเชน Metis แต่โทเค็นเหล่านี้ไม่สามารถขายได้เนื่องจากขาดสภาพคล่อง ต่อมา Metis ยังยืนยันในทวีตว่า BNB และ BUSD ที่เพิ่งสร้างใหม่ไม่มีสภาพคล่องและดังนั้นจึงไร้ค่า

คำอธิบายรูปภาพ

รีโวมอน ทวิตเตอร์

ชื่อระดับแรก

ช่องโหว่ของสะพานข้ามสายโซ่

ชื่อระดับแรก

กระบวนการโจมตี

Poly Network ใช้ฟังก์ชัน ล็อค และ ปลดล็อก เพื่อเชื่อมโยงสินทรัพย์ระหว่างเครือข่ายต่างๆ ผู้ใช้จะต้อง “ล็อค” โทเค็นบนเชนต้นทางก่อนจึงจะสามารถ “ปลดล็อค” โทเค็นบนเชนเป้าหมายได้

ชื่อรอง

คำอธิบายรูปภาพ

ภาพ: ผู้โจมตีเริ่มต้นการถ่ายโอนข้ามสายโซ่ด้วยโทเค็น PAY จำนวนเล็กน้อย 8 รายการ ที่มา: Etherscan

ชื่อรอง

ข้อความ

ฟังก์ชัน UnlockEvent ปลดล็อก ที่สอดคล้องกันเริ่มทำงานแล้ว เราเห็นได้จาก 4 ไบต์ที่จุดเริ่มต้นซึ่งระบุความยาวของข้อมูลที่ข้อมูลธุรกรรมปัจจุบันมีการเปลี่ยนแปลง

“0x14feea0bdd3d07eb6fe305938878c0cadbfa16904214e0afadad1d93704761c8550f21a53de3468ba59900e00fc80b54905e35ca0d000000000000000000000000000000000000000000”

ชื่อรอง

3 ผู้โจมตีทำซ้ำขั้นตอนข้างต้น

คำอธิบายรูปภาพ

การติดตามทรัพย์สิน

บนเครือข่าย Ethereum ผู้โจมตีสามารถแปลงโทเค็นบางส่วนเป็น ETH ได้ กระบวนการมีดังนี้:

ในระหว่างการโจมตี ผู้โจมตียังได้โอน 1,592 ETH (ประมาณ 3.05 ล้านดอลลาร์) ในธุรกรรมเดียว และ 2,240 ETH ไปยังบัญชีภายนอก EOA สามบัญชี นอกจากนี้ ผู้โจมตียังได้รับประมาณ 3.01 ล้าน USDC และ 2.65 ล้าน USDT ซึ่งถูกแปลงเป็น 1557 และ 1371 ETH ตามลำดับ

คำอธิบายรูปภาพ

เขียนในตอนท้าย

ในปี 2022 ระบบนิเวศ Web 3.0 ได้รับผลกระทบร้ายแรงจากการโจมตีสะพานข้ามสายโซ่ และโครงการต่างๆ เช่น Ronin Bridge, Wormhole และ Nomad ล้วนได้รับผลกระทบจากเหตุการณ์ด้านความปลอดภัย การตรวจพบเหตุการณ์ Poly Network ตั้งแต่เนิ่นๆ แสดงให้เห็นว่าเป็นเหตุการณ์ด้านความปลอดภัยที่ใหญ่ที่สุดที่เคยพบในระบบนิเวศของเว็บ แต่เนื่องจากขาดการสนับสนุนด้านสภาพคล่องสำหรับโทเค็นที่เพิ่งสร้างใหม่ ความเสียหายจึงถูกจำกัดไว้ที่ประมาณ 10 ล้านดอลลาร์ในขณะที่เขียน ขณะนี้ยังไม่มีความเห็นตรงกันว่าผู้โจมตีสามารถใช้ประโยชน์จาก Poly Network ได้อย่างไร อย่างไรก็ตาม สัญญาณเบื้องต้นบ่งชี้ว่าเนื่องจากการทำงานปกติของฟังก์ชันบนลูกโซ่ จึงมีแนวโน้มว่าจะเกิดจากการรั่วไหลของคีย์ส่วนตัวหรือช่องโหว่ของนอกลูกโซ่

ความปลอดภัย

ETH

ข้ามโซ่

ยินดีต้อนรับเข้าร่วมชุมชนทางการของ Odaily

กลุ่มสมาชิก