» »

Po vdoru v PolyNetwork heker vrnil vse ukradeno

Po vdoru v PolyNetwork heker vrnil vse ukradeno

Slo-Tech - Sredi meseca so neznani hekerji vdrli v PolyNetwork in odnesli za 600 milijonov dolarjev kriptovalut, kar je bil eden največjih vdorov v zgodovini. Čudežno so čez nekaj dni vrnili približno tretjino plena, sedaj pa je nazaj še preostanek. V nedeljo zvečer je neznani heker objavil potrebne tri četrtine zasebnih ključev (multisig), ki so PolyNetworku zadoščali za obnovitev sredstev. Z nakazilom zadnjih 141 milijonov dolarjev je v celoti povrnjena izguba. Vsem komitentom, ki so bili prizadeti v vdoru, bodo sedaj obnovili sredstva na računih. Gre predvsem za kriptožetone Ethereum, Binance in Dogecoin.

Delo pa še ni končano, saj morajo odmrzniti še za 33 milijonov dolarjev USDT in ponovno vzpostaviti polno delovanje Poly Bridgea, ki komitentom omogoča prenos sredstev med različnimi verigami blokom (menjava kriptožetonov). Heker, ki stoji za vdorom, vztraja, da ga je izvedel zato, da bi opozoril na hrošča in preprečil, da bi kriptopremoženje ukradel kdo drug. PolyNetwork je imel reden stik z njim, sedaj pa so ga povabili tudi delati kot varnostnega svetovalca. Kako točno je izvedel krajo, še ni povsem jasno. Kot kaže, ni odtujil zasebnih ključev, temveč je izrabil ranljivost na strani in sprovedel transakcije, ki jih ne bi bil smel. V eni je bilo celo opravičilo.

PolyNetwork pa medtem dodaja, da bodo zagnali tudi projekt nagrajevanja odkritih hroščev (bug bounty).

11 komentarjev

LeQuack ::

A ga je pekla vest?
Quack !

fikus_ ::

Insajder?!
Učite se iz preteklosti, živite v sedanjosti in razmišljajte o prihodnosti.

kow ::

Malo cudne izraze uporabljate. "Vdor"? Saj ni vrtal v banko ali hackal centralnega streznika.
Pa je*eni uppercase uporablja :D

Zgodovina sprememb…

  • spremenil: kow ()

Phantomeye ::

kow je izjavil:

Malo cudne izraze uporabljate. "Vdor"? Saj ni vrtal v banko ali hackal centralnega streznika.
Pa je*eni uppercase uporablja :D


Vdor = nepooblaščen vstop (v informacijski sistem). Kaj je tu čudnega?

Kakšna je razlika med vdorom v "centralni strežnik" in vdorom v Polynetwork? Da je prvi primer "vdor" po tvoji definiciji, drugi primer pa ni?

kow ::

Če te prav razumem, je tvoj argument, da PolyNetwork ni kripto? V kripto ne moreš vdreti, saj nima nobenega "vhoda", "vrat", "centralnega streznika" ipd.
Kako boš nepooblaščeno vstopil v bitcoin omrežje?

Phantomeye ::

kow je izjavil:

Če te prav razumem, je tvoj argument, da PolyNetwork ni kripto? V kripto ne moreš vdreti, saj nima nobenega "vhoda", "vrat", "centralnega streznika" ipd.
Kako boš nepooblaščeno vstopil v bitcoin omrežje?


PolyNetwork NI kriptovaluta, ampak je platforma. Haker je izrabil ranljivost v PolyNetwork-u in s tem pridobil dostop do kriptovalut. Glede na to, da mu tega niso dovolili je to po definiciji nepooblaščen vstop v informacijski sistem.

kow ::

Beseda "platforma" (mi) ne pomeni nic. Ponavadi jo v informatiki uporabljamo, ko ne vemo o cem govorimo. Clanek seveda ne razlozi v kaj tocno so vdrli.
Ce prav razumem, gre za neki chain + relayer med razlicnimi blockchaini. Ki je ocitno semi centraliziran?

Glede na objave na njihovem blogu, ne gre za vdor, ampak krajo. Torej nekdo je izkoristil bug v pametni pogodbi.

Zgodovina sprememb…

  • spremenil: kow ()

BitMiljonar ::

Code is law.


Blockchain nima "Term of Use" ali drugih pravil, ampak le pravila ki so zapisana v kodi. Kdor zna zelo dobro brati kodo, lahko mnogokrat vidi, da nekje v kodi je tudi pravilo/dovoljenje, da lahko vsa sredstva vzameš vsem uporabnikom/vlagateljem.

Oziroma ultimativno:
social consensus is law
Poglejte primer tistega TheDAO "hack"-a na Ethereumu zaradi katerega so preko skupnostenga konsenza naredili izjemo v pravilih kode Ethereum blockchaina in izjemoma (v nasprotju s predhodnimi pravili) odvzeli "sredstva" t.i. "hackerju" in ga nazaj dodelili vlagateljem.

PolyNetwork je bil grobo malomaren, ker je centralizirano le v navadnem računu (brez multisig, le 1 sam navaden zasebni ključ) hranil vsa sredstva. To je popolnoma proti varnostnim praksam. Sedaj so pod zahtevami dobronamernega "hekerja" spravili sredstva v multisig denarnico - Gnosis Safe, v kateri mnogo uporabnikov hrani skupno preko 56 MILIJARD USD)

Phantomeye ::

BitMiljonar je izjavil:

social consensus is law
Poglejte primer tistega TheDAO "hack"-a na Ethereumu zaradi katerega so preko skupnostenga konsenza naredili izjemo v pravilih kode Ethereum blockchaina in izjemoma (v nasprotju s predhodnimi pravili) odvzeli "sredstva" t.i. "hackerju" in ga nazaj dodelili vlagateljem.


Mislim, glede na to, da je bil rezultat tega ločitev na eth in eth classic, ni bil konsenz 100 % :P

BitMiljonar ::

Phantomeye je izjavil:

BitMiljonar je izjavil:

social consensus is law
Poglejte primer tistega TheDAO "hack"-a na Ethereumu zaradi katerega so preko skupnostenga konsenza naredili izjemo v pravilih kode Ethereum blockchaina in izjemoma (v nasprotju s predhodnimi pravili) odvzeli "sredstva" t.i. "hackerju" in ga nazaj dodelili vlagateljem.


Mislim, glede na to, da je bil rezultat tega ločitev na eth in eth classic, ni bil konsenz 100 % :P

Da, rezultat TheDAO "hacka" je bil razcep Ethereuma na Ethereum ETH in EthereumClassic ETC. Prosti trg (trejderji na borzah) je potrdil kateri je vrednejši, torej "pravi" in legitimen.

Phantomeye je izjavil:

ni bil konsenz 100 % :P

Nikjer nisem zapisal soglasni konsenz, nikjer 100%. Dovolj, da se strinja [velika] večina, a to je potrebno na več "frontah": pri uporabnikih, developerjih, kripto-vlagateljih, kripto-borzah, projektih, kripto-firmah, minerjih/stakerjih, node operatorjih,... t.i. community. Je pa težek nerešen problem kako to strinjanje/glasovanje zanesljivo izmerit. To ("governance") je težek problem v kriptu, ki še ni rešen (goli "coin-voting" je naivna in ni varna rešitev) - morda bo rešitev tega neka kombinacija KYC + social-connections/vouching/web-of-trust + on-chain-reputation + minimum-balance.

Če pa pogledaš danes ceno 1 ETC proti 1 ETH vidiš, da naposled je v nekem smislu "konsenz" zelo blizu 100%:
1 ETC = 63 USD
1 ETH = 3150 USD
63/3150 = 0.02
To je približno 98% "konsenz".

kow ::

Governance je (ocitno) izredno tezak problem v splosnem, ne (samo) v kriptu. Kripto celo potencialno nudi nove koordinacijske mehanizme oz. resitve.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Po vdoru v PolyNetwork heker vrnil vse ukradeno

Oddelek: Novice / Kriptovalute
115575 (2876) kow
»

Vdor v Poly Network odnesel za 600 milijonov dolarjev kriptovalut, tretjina že nazaj

Oddelek: Novice / Kriptovalute
65826 (920) Markoff
»

Na internetu terabajt zaupnih podatkov iz Saudi Aramca

Oddelek: Novice / Varnost
104261 (2348) Mr.B
»

Hekerji ukradli za 7,7 milijona dolarjev kriptovalute EOS

Oddelek: Novice / Varnost
55144 (2097) Red_Mamba
»

Heker od arabske banke neuspešno zahteval tri milijone dolarjev

Oddelek: Novice / Kriptovalute
2311307 (8377) mihec87

Več podobnih tem