هک پالی نتورک و ایجاد میلیون ها توکن در شبکه های مختلف

طبق داده های شرکت امنیت بلاک چین “Dedaub”، هکر برای بار دوم به پالی نتورک حمله کرد و این بار کلیدهای خصوصی را هدف قرار داد. پس از حمله به این پل بین زنجیره ای در 2 جولای، هکر توانست میلیاردها توکن را برای کسب سود ایجاد کند.
کلید خصوصی(Private Key) چیست؟

پالی نتورک در توییتی در 2 جولای تایید کرد که مهاجمان موفق به دستکاری تابع قرارداد هوشمند این پروتکل پل بین زنجیره ای شدند و افزود که خدمات خود را به طور موقت به حالت تعلیق در می آورد.
قرارداد هوشمند چیست؟

در جدیدترین خبر، تیم پالی نتورک فاش کرد که این هک بر 57 ارز رمزنگاری در ده بلاک چین، از جمله اتریوم، بی ان بی چین، پالیگان، آوالانچ، هکو(Heco)، اوکی ایکس و شبکه های دیگر مانند متیس (Metis) تاثیر گذاشته است.

هنوز مشخص نشده که هکر چه مقدار ارز سرقت کرده است، اما پک‌شیلد (Peckshield) قبلا گزارش داده بود که هکرحداقل 5 میلیون دلار ارز رمزنگاری را به کیف پول های خود انتقال داده است.

تیم پالی نتورک در به روزرسانی 3 جولای اعلام کرد که ما با صرافی های متمرکز و سازمان های مجری قانون تماس گرفته ایم و از آنها درخواست کمک کرده ایم. این تیم همچنین به تیم های پروژه ها و هولدرهای توکن توصیه کرد که توکن های تامین نقدینگی (LP) خود را از قفل خارج کرده و دارایی‌‌هایشان را برداشت کنند.

هک 34 میلیاردی پالی نتورک

تحلیلگر امنیت دیفای با نام “@0xArhat” گفت که این هک نتیجه یک آسیب پذیری در قرارداد هوشمند بود که هکر را قادر ساخت “یک پارامتر مخرب حاوی امضای جعلی اعتبار سنج و هدر بلاک را ایجاد کند.”

این پارامتر مخرب توسط قرارداد هوشمند پذیرفته شده و هکر توانسه است فرایند تایید را دور بزند و توکن هایی را از استخر اتریوم پالی نتورک در سایر شبکه ها مانند متیس، بی ان بی چین و پالیگان ایجاد کند و به کیف پول خود انتقال دهد. 

هکر 24 میلیارد توکن BUSD و BNB در بلاک چین متیس، 999 تریلیون توکن SHIB در بلاک چین هکو و میلیون ها توکن دیگر در شبکه های دیگر ایجاد کرد. این بدان معناست که کیف پول هکر بلافاصله پس از این حمله بیش از 42 میلیارد دلار (روی کاغذ) موجودی داشته است. اما هکر موفق به تبدیل و سرقت کسری از این توکن ها شد.

شرکت امنیت بلاک چین Dedaub هک دوم پالی نتورک را “هک 34 میلیاردی پالی نتورک” نامگذاری کرده است.

شرکت Dedaub با اشاره به ضعف هایی که در مالتی‌سیگ یا چند امضایی پالی نتورک وجود دارد، بیان کرد که این پروتکل دارای یک ترتیب مالتی‌سیگ ساده ” 3 از 4 ” به مدت دو سال بوده است. این شرکت افزود:

با نگاهی به آخرین هک متوجه شدیم که کلیدهای خصوصی آدرس های علامت گذاری شده هک شده اند.

شرکت Dedaub توضیح داد که این حمله پیچیده نبوده، چون هکر از باگ ها استفاده موثر نکرده است. این شرکت افزود که پالی نتورک در اقدام علیه این هک، کند عمل کرده و به همین دلیل 5.5 میلیون دلار ارز رمزنگاری به سرقت رفته است. خوشبختانه، کمبود نقدینگی در بسیاری از توکن ها از سرقت بیشتر جلوگیری کرده است.

واکنش ژائو به این هک

چانگ پنگ ژائو پس از این حمله به کاربران بایننس اطمینان داد و گفت که کاربران این صرافی تحت تاثیر این حمله قرار نگرفته اند، چون ما از واریزی های این شبکه پشتیبانی نمی کنیم.

پالی نتورک قبلا در یکی از بزرگ ترین هک های بازار ارز رمزنگاری در آگوست 2021 مورد حمله هکرها قرار گرفت. بعدا معلوم شد که این هکرها با گروه هکری لازاروس (Lazarus) کره شمالی در ارتباط هستند و بیش از600 میلیون دلار را سرقت کرده اند.