A PolyNetwork tornou-se vítima do maior hack Defi da história cripto em US$610 milhões. Os fundos roubados foram enviados para três endereços de carteira, um na rede Ethereum com mais de US$260 milhões, endereço BSC com US$250 milhões e endereço Polygon com US$85 milhões. A distribuição total dos fundos foi a seguinte:
- Ativos BSC: 6613 BNB, 87.603.671 USDC, 26.629 ETH, 1.023 BTCB, 32.107.854 BUSD
- Ativos Polygon: 85.089.719 USDC
- Ativos Ethereum: 96.389.444 USDC, 1.032 WBTC, 673.227 DAI, 43.023 UNI, 14 RENBTC, 33.431.197 USDT, 26.109 WETH, 616.082 FEI
Os hackers por trás do roubo tinham concordado em devolver os fundos mais cedo hoje e exigiram uma carteira multisig depois de não contatar a PolyNetwork.
Leia mais: O FBI Hackeou Chaves Privadas de Carteiras de Bitcoin dos Hackers da Colonial Pipeline?
O hacker disse:
“FALHA AO CONTATAR A POLY. PRECISO DE UMA CARTEIRA SEGURA MULTISIG. JÁ É UMA LENDA QUE GANHA TANTA FORTUNA. SERÁ UMA LENDA ETERNA PARA SALVAR O MUNDO. TOMEI A DECISÃO, SEM MAIS DAO.”
Os hackers começaram a devolver os fundos a partir da PolygonNetwork e já transferiram cerca de um milhão de dólares de USDC.
Leia mais: Projeto de Protocolo DeFi Em Alta COVER É Explorado, Hacker Cunha Tokens COVER Ilimitados
Como o Hacker Conseguiu Roubar uma Quantia Significativa da PolyNetwork?
O hacker gabou-se de que os fundos roubados teriam sido de bilhões, caso tivessem decidido transferir também as “Shitcoins”. A principal razão para a invasão foi a substituição dos “bookkeepers”, alguém que é responsável pela autenticação das transferências de fundos na PolyNetwork. A Poly sendo uma plataforma de cadeia cruzada requer uma assinatura de cadeia cruzada para aprovar transações.
Há duas teorias, uma de que o hacker era de dentro ou alguém vazou a assinatura de cadeia cruzada para o hacker. A segunda teoria sugere que o hacker conseguiu explorar uma lacuna para substituir a assinatura do “bookkeeper” e se tornou o único autenticador, transferindo assim quantidades tão elevadas de ativos.
Os hackers tentaram lavar o dinheiro no protocolo Curve, mas as poucas transações iniciais foram recusadas por causa do congelamento dos fundos USDT por parte da Tether, mas o hacker conseguiu enviar US$76 milhões em USDC para a Curve e outros US$120 milhões em stablecoins para a Ellipsis Finance.
O hack apenas expôs as vulnerabilidades crescentes no ecossistema Defi, uma vez que o número de ataques à Defi continuou apesar da maturidade no mercado.
Leia mais: Bitcoin do Twitter Hack Rastreado Em Serviços de Apostas e Exchanges, Três Presos