Vào ngày 1 tháng 7 năm 2023, kẻ tấn công đã khai thác lỗ hổng Poly Network để đào tài sản trị giá 42 tỷ USD trên nhiều chuỗi. Mặc dù số lượng tài sản được phát hành khổng lồ, do tính thanh khoản thấp và việc đóng băng một số mã thông báo dự án, kẻ tấn công đã không thể lấy được hơn 10 triệu đô la tài sản từ 5 địa chỉ tài khoản bên ngoài.
danh hiệu cấp một
Tóm tắt sự kiện
Mô tả hình ảnh
Hình ảnh: Địa chỉ ví của kẻ tấn công Poly Network. Nguồn: Debank
Nhưng con số đó thực sự gây hiểu nhầm. Ví dụ: kẻ tấn công đã nắm giữ hơn 34 tỷ USD BNB và BUSD được chốt bằng Poly trên chuỗi khối Metis, nhưng những token này không thể bán được do thiếu thanh khoản. Metis sau đó cũng xác nhận trong một tweet rằng những BNB và BUSD mới được đúc không có sẵn thanh khoản và do đó vô giá trị.
Mô tả hình ảnh
Twitter Revomon
danh hiệu cấp một
Lỗ hổng của cầu xuyên chuỗi
danh hiệu cấp một
quá trình tấn công
Poly Network sử dụng chức năng Khóa và Mở khóa để kết nối tài sản giữa các mạng khác nhau. Người dùng phải “khóa” mã thông báo trên chuỗi nguồn trước khi họ có thể “mở khóa” chúng trên chuỗi mục tiêu.
tiêu đề phụ
Mô tả hình ảnh
Hình ảnh: Kẻ tấn công bắt đầu chuyển tiền xuyên chuỗi với một lượng nhỏ 8 mã thông báo PAY. Nguồn: Etherscan
tiêu đề phụ
chữ
Chức năng mở khóa Mở khóa tương ứng được kích hoạt. Chúng ta có thể thấy từ 4 byte ở đầu cho biết độ dài dữ liệu mà dữ liệu giao dịch hiện tại đã thay đổi.
“0x14feea0bdd3d07eb6fe305938878c0cadbfa16904214e0afadad1d93704761c8550f21a53de3468ba59900e00fc80b54905e35ca0d000000000000000000000000000000000000000000”
tiêu đề phụ
③ Kẻ tấn công lặp lại quy trình theo các bước trên.
Mô tả hình ảnh
theo dõi tài sản
theo dõi tài sản
Trên mạng Ethereum, những kẻ tấn công đã chuyển đổi một số token thành ETH. Quá trình này như sau:
Trong cuộc tấn công, kẻ tấn công cũng đã chuyển 1.592 ETH (khoảng 3,05 triệu USD) trong một giao dịch và 2.240 ETH sang ba tài khoản bên ngoài EOA. Ngoài ra, kẻ tấn công còn thu được khoảng 3,01 triệu USDC và 2,65 triệu USDT, quy đổi lần lượt thành 1557 và 1371 ETH.
Mô tả hình ảnh
viết ở cuối
viết ở cuối
Vào năm 2022, hệ sinh thái Web 3.0 đã phải hứng chịu tác động tàn khốc của các cuộc tấn công cầu nối chuỗi và các dự án như Ronin Bridge, Wormhole và Nomad đều bị ảnh hưởng bởi sự cố bảo mật. Việc phát hiện sớm sự cố Poly Network cho thấy đây là sự cố bảo mật lớn nhất từng xảy ra trong hệ sinh thái web, nhưng do thiếu hỗ trợ thanh khoản cho các token mới được đúc nên thiệt hại đã được giới hạn ở khoảng 10 triệu USD tại thời điểm viết bài. Hiện tại không có sự đồng thuận chính xác về cách kẻ tấn công có thể khai thác Poly Network. Tuy nhiên, các dấu hiệu sơ bộ chỉ ra rằng do các chức năng trên chuỗi hoạt động bình thường nên có thể nguyên nhân là do rò rỉ khóa riêng hoặc lỗ hổng của off-chain.
