PolyNetwork akan ditangguhkan selama 24 jam setelah peretasan senilai $5 juta

PolyNetwork masih berusaha pulih dari serangan pada 2 Juli, di mana peretas mencuri sekitar $5,5 juta, meskipun perkiraan nilai episode tersebut dilaporkan $34 miliar. Pengembang poli telah menghentikan sementara semua kontrak pintar untuk mengatasi pelanggaran tersebut.

Menyusul insiden tersebut, beberapa perusahaan keamanan blockchain, termasuk Slomist, Binance Labs, Dedab, dan PeckShield, menawarkan bantuan dalam penyelidikan.

Pengguna yang terhormat,

Selagi kami terus menangani situasi ini, dengan menyesal kami informasikan kepada Anda bahwa layanan kami akan dihentikan sementara.
【1/7】

— Jaringan Poli (@PolyNetwork2) 2 Juli 2023

Beberapa jam kemudian, Dedoub menerbitkan penilaian teknis atas peretasan tersebut yang mengungkapkan bahwa PolyNetwork mengamankan dompetnya dengan pengaturan tiga-empat multisig sederhana selama dua tahun – yang sangat berisiko.

Dalam blockchain, pentingnya meningkatkan keamanan dompet setiap beberapa bulan tidak bisa terlalu ditekankan. Dedoub menemukan bahwa kunci pribadi dari alamat multisig telah dirusak.

Selain itu, PolyNetwork memerlukan waktu tujuh jam untuk menghentikan kontrak pintar. Itu adalah waktu yang lama dalam blockchain, mengingat peretas dapat melakukan kerusakan besar hanya dalam beberapa menit.

Peretasan PolyNetwork memengaruhi 50+ aset di 10 blockchain

Meskipun melakukan peretasan yang memengaruhi lebih dari 50 aset di 10 blockchain berbeda, Dedab mengatakan peretasan tersebut tidak rumit. Peretas menggunakan kunci pribadi yang telah disusupi untuk menandatangani konfirmasi bahwa mereka adalah pemilik protokol BNB. Dari sepuluh blockchain yang terkena dampak, Metis, BSC, Heko, dan Ethereum mengalami kerusakan paling parah.

Penyerang melanjutkan untuk membuat aset di berbagai blockchain dan menjualnya. Namun, penyerang tidak dapat mencairkan semua aset yang dicuri karena tidak ada likuiditas untuk beberapa aset di blockchain tertentu.

Manajer Lintas Rantai PolyNetwork Ditandatangani

Saat Dedab menggali lebih jauh mengenai pelaksanaan peretasan ini, mereka yakin bahwa kunci pribadi tersebut tidak dicuri, artinya peretasan tersebut mungkin merupakan pekerjaan orang dalam. Dedoub sampai pada kesimpulan ini karena kurangnya bug logis dalam eksploitasi.

Saat memeriksa pohon PolyNetwork Merkle, Dedob menemukan seluruh header; Alhasil, jalur negara pun ditandatangani. Selain itu, kode tersebut diterapkan dengan benar oleh 3 orang yang memegang kunci pribadi yang ditunjuk.

Beberapa jam sebelum postmortem Dedoub keluar dengan temuan yang bertentangan, pendiri 3z3 Labs Arhat memposting analisisnya tentang peretasan PolyNetwork. Berdasarkan penilaian mereka, peretasan tersebut disebabkan oleh kerentanan kontrak pintar.

Dengan dilakukannya penyelidikan lebih lanjut atas insiden tersebut, mungkin akan lebih banyak penjelasan yang dapat diberikan tentang bagaimana peretasan ini terjadi dan seberapa besar kerusakan yang ditimbulkannya.

Ikuti kami di Google Berita