Začněte psát a výsledky vyhledávání se zobrazí zde...

Nedávný Poly Network hack – Hrozivý příběh s překvapivě dobrým rozuzlením

Nedávný Poly Network hack – Hrozivý příběh s překvapivě dobrým rozuzlením
Zdroj: kudelskisecurity.com

O krádeži kryptoměn ze sítě Poly Network v hodnotě přes 610 mil. USD (přes 13 mld. Kč) jsme již psali v tomto článku.

Od té doby se ovšem událo mnohé, včetně velmi nečekaného zvratu, kdy hacker, který původně tyto kryptoměny odcizil, naprostou většinu z nich vrátil. Co mohlo být tou největší krádeží v historii DeFi (decentralizovaného finančnictví) má téměř pohádkový konec, ale tato krádež znovu vyvolala mnoho otázek ohledně bezpečnosti blockchainových technologií.

Co je vlastně Poly Network?

Síť, ze které byly kryptoměny ukradeny, má za cíl fungovat jako most mezi různými blockchainy. Například platforma NEO se soustředí na digitální aktiva, platforma Ontology je zaměřená na digitální identitu. Poly Network má za cíl spojit obě tyto platformy s velmi odlišným cílem a vytvořit “nový internet“, jak se sami tvůrci přiznávají ve svém whitepaperu.

Myšlenka je to více než úctyhodná. Nové DeFi projekty vznikají rychleji, než se stihne vytěžit jeden blok Etherea (13–15 sekund) a občas mají i svůj vlastní blockchain. To může znamenat potíže, když chce uživatel využít aplikaci vzniklou například na síti Ethereum, ale k dispozici má pouze BNB, které funguje na síti Binance Smart Chain.

Poly Network má obrovský potenciál, který částečně začala naplňovat. Pak ale zmizelo velké množství kryptoměn.

Co se vlastně stalo?

Pro vysvětlení situace je potřeba začít tím, že ne všichni hackeři jsou špatní. Toto pojmenování má značně negativní nádech, ale na světe existují i tzv. White hats.

Tito profesionálové za peníze napadají různé společnosti a ty jim za to dokonce platí. Chtějí totiž zjistit, jak kvalitně je jejich síť zabezpečena. V případě naší krádeže hacker (s příznačnou přezdívkou Mr. White Hat) odhalil slabinu sítě Poly, využil jí a odcizil kryptoměny v hodnotě přes 610 mil. USD.

Sám ovšem konstatoval, že to udělal jen “pro zábavu” a postupně začal všechny kryptoměny vracet. Nevrátil je ovšem jen tak – 268 mil. USD je zamknuto v tzv. multisig peněžence, tedy peněžence, která pro přístup vyžaduje heslo minimálně dvou osob. V tomto případě od zástupců sítě Poly a již zmíněného hackera.

Dalších 33 mil. USD také zatím vráceno nebylo, neboť společnost Tether Operations Ltd. využila zabudované pojistky a kryptoměnu USDT v této hodnotě zmrazila. Existuje tedy šance, že kdyby Mr. White Hat mohl, vrátil by všechno.

Co hackera vedlo k tomu vrátit 342 mil. USD podle přání zástupců Poly Network a uzamknout dalších 268 mil. USD tak, aby k nim nikdo neměl přístup?

Není známo ani to, jestli by útočník kryptoměny vrátil, pokud nebyl odhalen týmem SlowMist, který se specializuje na bezpečnost blockchainu a zřejmě získal přístup jak k útočníkově emailové adrese, tak i k jeho otisku prstu. Detailně se SlowMist útokem zabývá v tomto reportu.

Útočník byl schopen nahradit několik důležitých funkcí ve zdrojovém kódu blockchainu Poly Network a to se speciálně vytvořenými daty, které zasílal na síť a tím ji modifikoval (nejednalo se tedy o zvrácení privátního klíče). Nic mu pak už nestálo v cestě a všechno co našel, mimo podle něj bezcenných shitcoinů (nově vzniklý, téměř bezcenný token) v pravděpodobné hodnotě asi 400 mil. USD (přes 8,5 mld. Kč), zaslal na několik svých osobních peněženek.

I bez zbytku coinů ovšem tato krádež získala pomyslné olympijské zlato a stala se tou největší v DeFi světě.

Zdroj: Poly Network
Reakce Poly Network
Reakce Poly Network

Jaký je další postup?

V tomto okamžiku k ukradeným kryptoměnám nemá přístup ani Poly a ani Mr. White Hat, jelikož k provedení jakékoliv transakce jsou potřeba dvě hesla. Hacker ve svém vyjádření napsal, že peníze vrátí “jakmile_budou_všichni_připraveni“. Co přesně toto vyjádření znamená zatím není jisté.

Poly Network nabídla tomuto člověku (nebo těmto lidem) odměnu 500 tis USD (téměř 11 mil. Kč) za poukázání na bezpečností chybu a podle dostupných informací na tuto nabídku protistrana přistoupila.

Krádež to není první a pravděpodobně ani poslední

V DeFi světě se nejedná o první krádež kryptoměn. Ta zatím největší proběhla v roce 2018 a měla hodnotu 534 mil. USD (téměř 11,5 mld. Kč). Napadena byla kryptoměnová burza Coincheck.

Stříbrnou medaili drží 195 mil. USD (přes 4 mld. Kč) z platformy BitGrail. Na dalším místě stojí problém platformy Coinrail s kradenými kryptoměnami v hodnotě přes 37 mil. USD (téměř 800 mil. Kč).

I když se nejedná o DeFi, tím vůbec největším hackem byla burza Mt. Gox, kde se ztratilo asi 850 tis. kusů bitcoinů. I když se jich podařilo získat zpět asi 200 tis., 650 tis. kusů je pořád ztracených a dnes by mělo hodnotu přes 30 mld. USD (téměř 650 mld. Kč). V době odhalení krádeže byla však hodnota ukradených bitcoinů “pouhých” 450 mil. USD.

Poly Network znovu otevírá věčné téma

Tento hack znovu vynesl na světlo světa otázku bezpečnosti ve světě kryptoměn.

Decentralizované aplikace, které jednou snad nahradí tradiční instituce, fungují na principu tzv chytrých kontraktů, neboli programů fungujících na blockchainu z větší části automaticky. Ty ale musí někdo naprogramovat a je očividné, že ne vždy se to podaří dle představ.

Kde je poptávka, tam je i nabídka. Proto vznikají speciální týmy, které se na bezpečnost specializují. Některé fungují pasivně, tedy že mají svůj kód, kterým automaticky zkontrolují “neprůstřelnost” například nově vzniklého tokenu. Některé, jako zmíněný SlowMist, mají týmy odborníků (např. White Hat hackerů), kteří bezpečnost kódu kontrolují po staru.

Bylo zajímavé vidět, jak se krypto svět v této těžké situaci semkl. SlowMist po analýze útoku okamžitě (a bez nároku na honorář) kontaktoval všechny velké směnárny a upozornil je na možné transakce z peněženek, na kterých byly ukradené kryptoměny uloženy. Poly Network také začal krátce po zveřejnění výše zmíněného reportu s týmem SlowMist spolupracovat a mnoho velkých platforem (Binance, Tether, MetaMask atd.) vyjádřilo Poly Network podporu.

Jestli má někdy DeFi nahradit centralizované služby, bude potřeba nejdříve přesvědčit společnost o výhodách decentralizovaného finančnictví. Stejně tak bude potřeba všechny přesvědčit o bezpečnosti takového přístupu. Nikdo si nebude chtít nechat vyplácet výplatu s vidinou toho, že mu jí jakýsi hacker ze země, o které nikdy neslyšel, ukradne.

Tato krádež rozhodně nevzbudila důvěru široké veřejnosti. Její vyřešení a rychlost s jakou se to povedlo ale udělalo DeFi silnější.

Líbil se vám tento článek?
5
0

Autor

Můj zájem o finance začal v roce 2017. První ránu jsem dostal od kryptoměn. Jejich růst mi kouzlil úsměv na tváři, avšak propad v roce 2018 byl studenou sprchou. Jako další cestu jsem zvolil akcie, u kterých jsem zůstal dva roky. V roce 2020 se dostavil další kryptoměnový bull-run a společně s ním se znovu objevil i můj zájem o Bitcoin.

Tentokrát jsem ale věc vzal za správný konec. Nejprve vzdělávání.

Kryptoměny pro mě znamenají nový finanční systém a věřím, že se postupně dostanou i do běžných životů občanů. Psaní článků zde na Finex.cz mě především pozitivně motivuje k prohlubování znalostí, které mohu následně předat čtenářům.

Přečíst více

Sdílejte tento článek

Mohlo by vás zajímat

Diskuze (0 komentářů)

Připojte se k diskuzi

Tento článek zatím nikdo neokomentoval. Přihlašte se a buďte první! Napište svůj názor a zahajte diskuzi.